DevSecOps

Integre a segurança em todos os aspectos do ciclo de vida de entrega de software.

Leia a documentação

Explore os produtos e serviços da Microsoft que habilitam o DevOps seguro

Com a ascensão das ameaças cibernéticas, as equipes responsáveis pela criação e operação dos aplicativos estão enfrentando diariamente desafios novos e mais complicados. Saiba como a Microsoft oferece uma solução completa para habilitar o DevSecOps ou proteger o DevOps, para aplicativos na nuvem (e em qualquer lugar) com o Azure e o GitHub.

A criação e a operação de aplicativos seguros é um esforço que exige o envolvimento de todos, desde o desenvolvimento até a operação e o suporte.

O conceito de aplicação da segurança shift-left requer capacitar e responsabilizar as equipes a incluir a preocupação com a segurança já nos estágios iniciais de planejamento, desenvolvimento, empacotamento e implantação do aplicativo.

Embora isso represente uma mudança tanto de cultura, quanto de ferramentas, a Microsoft pode ajudar com os produtos e serviços do Azure e do GitHub.

Quase todos os novos aplicativos sendo criados aproveitam códigos escrito por terceiros, incluindo componentes de software livre, em pelo menos alguns formulários. Apesar dos claros benefícios que isso proporciona, como maior produtividade e melhor colaboração, também surgem desafios relacionados ao controle e à proteção da sua cadeia de fornecimento de software.

A Microsoft e o GitHub oferecem soluções que ajudam a criar confiança nos códigos executados em produção, por meio da inspeção e do rastreamento desses códigos até os itens de trabalho e informações sobre os componentes de terceiros que estão sendo usados.

Com o Azure, você pode aproveitar um amplo conjunto de serviços que tornam o seu aplicativo mais conveniente e seguro de operar.

Execute seu código em plataformas de aplicativos gerenciados, incluindo o Kubernetes e tire proveito de serviços confiáveis para gerenciar suas chaves, seus tokens e seus segredos com segurança. Aumente a confiança na segurança do seu ambiente por meio de políticas. Em seguida, garanta operações tranquilas e seguras por meio de soluções de monitoramento em tempo real para seus aplicativos e infraestrutura.

O controle de acesso rígido é o primeiro passo para proteger seu aplicativo, seu código e sua infraestrutura. O Azure oferece serviços de identidade de vanguarda, tanto para usuários em sua organização quanto para consumidores externos que acessam seus aplicativos.

Aproveite nossa plataforma de identidade para proteger o acesso ao seu código no GitHub, gerenciar permissões para recursos do Azure granularmente e até mesmo oferecer serviços de autenticação e autorização para seus aplicativos.

Tire proveito de um conjunto completo de produtos e serviços de ponta a ponta

Ou escolha apenas aqueles que são mais relevantes para você

Aplicativos seguros começam com código seguro, mas proteger seu código geralmente não é suficiente. Gerenciar sua cadeia de fornecimento de software com confiança é tão importante quanto proteger seu código.

O GitHub, a plataforma de desenvolvedor mais popular do mundo, oferece recursos avançados que ajudam você a proteger o código e as dependências do seu aplicativo:

  • A Segurança Avançada do GitHub usa o CodeQL, o mecanismo de análise de código semântico líder do setor, para identificar vulnerabilidades em seu código.
  • Identifique e corrija problemas de segurança em suas dependências usando alertas de segurança e atualizações de segurança automatizadas (Dependabot).
  • Obtenha alertas com verificação de segredo quando as credenciais e os tokens forem confirmados erroneamente no controle do código-fonte.

Ao usar o Azure Pipelines para integração contínua, seu código é compilado e empacotado em um contêiner do Docker em cada commit e implantado automaticamente em um ambiente de teste com o Azure Dev Spaces.

Além disso, os recursos de entrega contínua do Azure Pipelines permitem que você crie, de maneira confiável, imagens de contêiner prontas para produção, com rastreabilidade completa e de ponta a ponta. Você pode rastrear o histórico de volta até os commits, os itens de trabalho e os artefatos de cada imagem, para entender todo o código em execução no seu ambiente.

As imagens de contêiner de produção são armazenadas no Registro de Contêiner do Azure, onde são verificadas automaticamente em busca de vulnerabilidades graças à integração com a Central de Segurança do Azure.

O AKS oferece um cluster do Kubernetes que é mantido e protegido pela Microsoft.

Você pode implantar o cluster AKS diretamente do pipeline de CI/CD, usando soluções de infraestrutura como código, como o Terraform.

Integre o Azure Policy com o AKS para garantir que as operações estejam em conformidade.

Para ambientes de desenvolvimento e teste, o Azure Dev Spaces pode provisionar um cluster do Kubernetes de teste para cada build e em resposta a solicitações de pull.

Seus aplicativos podem usar o Azure Key Vault para armazenar chaves, certificados, tokens e outros segredos com segurança, para que seus aplicativos possam carregá-los em tempo de execução. Essa é uma alternativa mais segura do que incluí-las junto com o código de seus aplicativos.

Independentemente de você estar criando um aplicativo voltado para o exterior ou uma linha de negócios interna, você pode tirar proveito do Azure AD (Azure Active Directory) para gerenciar com segurança a identidade e o controle de acesso.

Use o Azure AD para autenticar com o diretório da sua organização, tirando proveito de recursos avançados de segurança, como a Autenticação Multifator, o Identity Protection e o Relatório de Atividades Anômalas.

Para aplicativos externos, Azure AD B2C permite que você gerencie convenientemente a autenticação e a autorização de usuários externos, até mesmo usando contas sociais.

O Azure AD também protege o acesso aos recursos do Azure e ao portal do Azure, graças ao controle de acesso baseado em função granular.

Com o Azure Monitor, você pode monitorar seus aplicativos e infraestruturas em tempo real, identificando problemas com seu código e possíveis anomalias e atividades suspeitas.

O Azure Monitor se integra com pipelines de versão no Azure Pipelines para habilitar a aprovação automática de portões de qualidade ou reversão de versão com base em dados de monitoramento.

Saiba mais sobre os produtos e serviços do DevSecOps

Interessado no DevOps? Veja as soluções de DevOps da Microsoft

Saiba mais

DevSecOps no Azure

A segurança é uma preocupação primária para as empresas que armazenam qualquer tipo de dados personalizados ou de clientes. A solução que é dá cobertura ao gerenciamento e à interface deve ser desenvolvida tendo a segurança em mente. O DevSecOps envolve a utilização de melhores práticas de segurança desde o início do desenvolvimento, fazendo com que o foco na segurança deixe de ser na auditoria no final do processo e passe a ser no desenvolvimento no início do processo, usando uma estratégia shift-left.

Pronto para começar a usar o DevSecOps?

Leia a documentação