DevSecOps

ソフトウェア配信のライフサイクルのあらゆる側面にセキュリティを統合します。

ドキュメントを読む

セキュリティで保護された DevOps を実現する Microsoft の製品とサービスについて詳しく見る

サイバー攻撃はますます増えており、アプリケーションを構築して運用するチームは日々、新しくそして困難な課題に直面しています。Azure と GitHub を使用して、クラウド上の (また任意の場所の) アプリに対して、DevSecOps つまりセキュリティで保護された DevOps を実現するための完全なソリューションを Microsoft が提供している方法について、詳しくご覧ください。

セキュリティで保護されたアプリケーションの構築と運用は、開発から運用、そしてサポートまで、すべてのユーザーの関与を必要とする作業です。

シフトレフトのセキュリティの概念では、計画の初期段階から開発、アプリケーションのパッケージ化、デプロイに至るまで、セキュリティの考え方が浸透するようチームを強化し、説明責任を維持する必要があります。

これはツールと同じくらい文化的な変化ですが、Microsoft は Azure や GitHub の製品やサービスを支援することができます。

構築されているほとんどすべての新しいアプリケーションは、オープンソース コンポーネントを含むサードパーティによって作成されたコードを、何らかの形式で利用しています。これには、生産性を高め、さらにコラボレーションを強化できるという明確な利点がある一方で、お使いのソフトウェア サプライ チェーンの制御とセキュリティ保護に関連する課題も生じます。

Microsoft と GitHub は、お客様のコードを検査し、その追跡可能性を使用中のサードパーティ コンポーネント上の作業項目や分析情報にまで掘り下げられるようにすることで、お客様が運用環境で実行しているコードに自信を持てるようにするソリューションを提供します。

Azure では、お客様のアプリケーションをより便利かつ安全に運用できるようにする、広範なサービスのセットを活用できます。

Kubernetes を含むマネージド アプリケーション プラットフォーム上でコードを実行でき、また信頼されたサービスを活用して、お使いのキー、トークン、シークレットを安全に管理できます。ポリシーを使用して、お客様の環境のセキュリティについて自信を高めることができます。そして、お使いのアプリケーションとインフラストラクチャに対しリアルタイム監視ソリューションを活用することにより、スムーズで安全な運用を行うことができます。

厳格なアクセス制御は多くの場合、お客様のアプリケーション、コード、インフラストラクチャを保護するための最初の手順です。Azure は、お客様の組織内のユーザーと、お客様のアプリケーションにアクセスする外部コンシューマーの両方に対し、業界をリードする ID サービスを提供します。

Microsoft の ID プラットフォームを活用して、GitHub 上のお客様のコードへのアクセスをセキュリティで保護し、Azure リソースのアクセス許可をさらに詳細に管理できます。また、お客様のアプリケーションに対する認証と承認のサービスを提供することもできます。

完全なエンドツーエンドの製品とサービスのセットを活用する

または、ご自分に最も関連のあるものだけを選択してください

安全なアプリケーションは安全なコードから始まりますが、お使いのコードをセキュリティで保護するだけでは十分ではない場合があります。自信を持ってソフトウェア サプライ チェーンを管理することは、お客様のコードの安全を確保することと同じくらい重要です。

世界で最も人気のある開発者プラットフォームである GitHub には、お客様のアプリのコードと依存関係をセキュリティで保護できるようにするための高度な機能が用意されています。

  • GitHub Advanced Security は、業界トップレベルのセマンティック コード分析エンジンである CodeQL を利用して、お客様のコード内の脆弱性を識別します。
  • セキュリティの警告と自動セキュリティ更新プログラム (Dependabot) を使用して、依存関係のセキュリティに関する問題を特定し、修復できます。
  • 資格情報とトークンが誤ってソース管理にコミットされた場合に、シークレットのスキャンによりアラートを受け取ることができます。

継続的インテグレーションに Azure Pipelines を使用すると、お使いのコードがコンパイルされ、コミットごとに Docker コンテナーにパッケージ化され、Azure Dev Spaces を使用してテスト環境に自動的にデプロイされます。

さらに、Azure Pipelines の継続的デリバリー機能を使用すると、完全なエンドツーエンドの追跡可能性を備え、運用環境に対応したコンテナー イメージを、自信を持って構築することができます。すべてのイメージのコミット、作業項目、アーティファクトをさかのぼって追跡し、お客様の環境内で実行されているすべてのコードを把握することができます。

運用コンテナー イメージは Azure Container Registry に格納されています。ここでは、Azure Security Center との統合により、脆弱性が自動的にスキャンされます。

AKS は、Microsoft によって管理および保護される Kubernetes クラスターを提供します。

Terraform などのコードとしてのインフラストラクチャ ソリューションを使用して、お使いの CI/CD パイプラインから直接 AKS クラスターをデプロイできます。

Azure Policy を AKS と統合することで、運用が準拠していることを確認できます。

開発およびテスト環境では、Azure Dev Spaces を使用して、ビルドごと、および pull request に応じて、テスト Kubernetes クラスターをプロビジョニングすることができます。

お客様のアプリケーションでは、Azure Key Vault を利用して、キー、証明書、トークン、その他のシークレットを安全に格納し、それをアプリケーションの実行時に読み込むことができます。このようにすると、これらをお使いのアプリケーションのコードに含めるよりも安全になります。

外部向けのアプリを構築している場合でも、社内の基幹業務のものを構築している場合でも、Azure Active Directory (Azure AD) を活用して、ID とアクセス制御を安全に管理することができます。

Azure AD を使用すると、お客様の組織のディレクトリで認証できます。Multi-Factor Authentication、Identity Protection、異常アクティビティ レポートなどの高度なセキュリティ機能を活用できます。

外部向けアプリの場合、Azure AD B2C を使用すると、ソーシャル アカウントを使用している場合でも、外部ユーザーの認証と承認を簡単に管理できます。

また、詳細なロールベースのアクセス制御により、Azure AD ではお使いの Azure リソースや Azure portal へのアクセスも保護されます。

Azure Monitor を使用すると、お使いのアプリケーションとインフラストラクチャの両方をリアルタイムで監視して、お客様のコードや、潜在的な不審アクティビティや異常を特定することができます。

Azure Monitor は Azure Pipelines のリリース パイプラインと統合されており、データの監視に基づいて品質ゲートを自動承認したり、リリースのロールバックを行ったりすることができます。

DevSecOps 製品とサービスについての詳細情報

DevOps に興味がありますか? Microsoft の DevOps ソリューションを見る

詳細情報

Azure での DevSecOps

セキュリティは、あらゆる種類のカスタム データやクライアント データを保存する企業にとって最大の関心事です。このようなデータの管理とインターフェイスに対応するソリューションは、セキュリティを考慮して開発する必要があります。DevSecOps では、開発の最初からセキュリティのベスト プラクティスを利用します。つまり、シフトレフト戦略を採用して、最後の監査段階ではなく、最初の開発段階からセキュリティに重点を置きます。

DevSecOps を開始する準備はできましたか?

ドキュメントを読む