DevSecOps

Integre a segurança em todos os aspetos do ciclo de vida da entrega de software.

Leia a documentação

Explore os produtos e serviços da Microsoft que permitem DevOps seguro

Com o aumento das ciberameaças, as equipas que compilam e operam aplicações estão a enfrentar desafios novos e difíceis todos os dias. Saiba como é que a Microsoft oferece uma solução completa para permitir DevSecOps, ou DevOps seguro, para as aplicações na cloud (e em qualquer outro ambiente) com o Azure e o GitHub.

A compilação e o funcionamento de aplicações seguras é um esforço que exige o envolvimento de todos, desde o desenvolvimento às operações e ao suporte.

O conceito de segurança "shift-left" requer capacitar, e responsabilizar, as equipas para incluir a conceção da segurança nas primeiras fases do planeamento, ao desenvolvimento, ao embalamento e à implementação da aplicação.

Apesar de este conceito ter tanto de mudança cultural como das ferramentas utilizadas, a Microsoft pode ajudar com produtos e serviços do Azure e do GitHub.

Quase todas as aplicações novas a serem criadas tiram partido de código escrito por terceiros, incluindo componentes open-source, pelo menos em algumas formas. Embora tal proporcione vantagens óbvias, permitindo mais produtividade e melhor colaboração, também cria desafios relacionados com o controlo e a proteção da rede de distribuição de software.

A Microsoft e o GitHub oferecem soluções para confiar no código que está a executar em produção ao inspecionar o seu código e permitir a rastreabilidade do mesmo até aos itens de trabalho e às informações nos componentes de terceiros que estão a ser utilizados.

Com o Azure, pode beneficiar de um alargado conjunto de serviços que tornam o funcionamento da sua aplicação mais prático e seguro.

Execute o seu código em plataformas de aplicações geridas, incluindo o Kubernetes, e tire partido de serviços fiáveis para gerir as chaves, os tokens e os segredos em segurança. Aumente a confiança na segurança do seu ambiente com políticas. Depois, assegure operações suaves e seguras ao utilizar soluções de monitorização em tempo real nas suas aplicações e infraestrutura.

Muitas vezes, o controlo de acesso apertado é o primeiro passo para proteger a sua aplicação, o seu código e a sua infraestrutura. O Azure oferece serviços de identidade líderes do setor, tanto para utilizadores da sua organização, como para consumidores externos que acedem às suas aplicações.

Tire partido da nossa plataforma de identidade para proteger o acesso ao seu código no GitHub, gerir permissões para o Azure com granularidade e até mesmo oferecer serviços de autenticação e autorização para as suas aplicações.

Tire partido de um conjunto completo de produtos e serviços

Ou escolha os que forem mais relevantes para si

As aplicações seguras começam com código seguro. No entanto, muitas vezes, a segurança do código não chega só por si. A gestão da rede de distribuição de software com confiança é igualmente importante.

O GitHub, a plataforma mais popular do mundo para programadores, oferece funcionalidades avançadas que ajudam a proteger o código e as dependências da sua aplicação:

  • O GitHub Advanced Security utiliza o CodeQL, o motor de análise de código semântico líder do setor, para identificar vulnerabilidades no código.
  • Utilize os alertas de segurança e as atualizações de segurança automatizadas (Dependabot) para identificar e remediar problemas de segurança.
  • Receba alertas com análise de segredos quando são consolidadas credenciais e tokens erradamente no controlo de código fonte.

Ao utilizar o Azure Pipelines para integração contínua, o seu código é compilado e empacotado num contentor do Docker em cada consolidação e implementado automaticamente num ambiente de teste com o Azure Dev Spaces.

Além disso, com as capacidades de entrega contínua do Azure Pipelines, pode compilar com confiança imagens de contentores prontas para produção com rastreabilidade completa. Pode rastrear até às consolidações, itens de trabalho e artefactos de todas as imagens para compreender todo o código que está em execução no seu ambiente.

As imagens de contentores de produção estão armazenadas no Azure Container Registry, onde são analisadas automaticamente quanto a vulnerabilidades graças à integração no Centro de Segurança do Azure.

O AKS oferece um cluster do Kubernetes que é mantido e protegido pela Microsoft.

Pode implementar o seu cluster do AKS diretamente a partir do pipeline de CI/CD mediante a utilização de soluções de infraestrutura como código, como o Terraform.

Integre o Azure Policy no AKS para garantir a conformidade das operações.

Relativamente a ambientes de desenvolvimento e teste, o Azure Dev Spaces pode aprovisionar um cluster do Kubernetes de teste para cada compilação como resposta a pedidos pull.

As suas aplicações podem tirar partido do Azure Key Vault para armazenar em segurança chaves, certificados, tokens e outros segredos, o que lhes permite carregá-las no runtime. Esta é uma alternativa mais segura face a incluí-los no código das aplicações.

Quer esteja a compilar uma aplicação externa ou uma aplicação de linha de negócio interna, pode tirar partido do Azure Active Directory (Azure AD) para gerir em segurança a identidade e o controlo de acesso.

Utilize o Azure AD para autenticar com o diretório da sua organização, beneficiando das funcionalidades de segurança avançada, como Multi-Factor Authentication, o Identity Protection e o Relatório de Atividades Anómalas.

Quanto às aplicações externas, o Azure AD B2C permite-lhe gerir, de forma prática, a autenticação e autorização dos utilizadores externos, mesmo que estejam a utilizar contas de redes sociais.

E graças ao controlo de acesso baseado em funções granular, o Azure AD também protege o acesso aos seus recursos do Azure e ao portal do Azure.

Com o Azure Monitor, pode monitorizar a aplicação e a infraestrutura em tempo real, identificando problemas no código e potenciais atividades suspeitas e anomalias.

O Azure Monitor integra-se em pipelines de versão no Azure Pipelines para permitir a aprovação automática de portões de qualidade ou reversões de versões com base nos dados de monitorização.

Saiba mais sobre os produtos e serviços de DevSecOps

Interessado em DevOps? Veja as soluções de DevOps da Microsoft

Saiba mais

DevSecOps no Azure

A segurança é uma das principais preocupações das empresas que armazenam qualquer tipo de dados personalizados ou de clientes. A solução que abranja a gestão e a interface destes dados deve ser desenvolvida tendo em conta a segurança. O DevSecOps envolve a utilização das melhores práticas de segurança desde o início do desenvolvimento, afastando o foco na segurança da auditoria no final para o desenvolvimento no início, mediante uma estratégia "shift-left".

Tudo a postos para começar com o DevSecOps?

Leia a documentação