跳到主内容

DevSecOps

在受信任的平台上构建安全的应用。在你的开发人员工作流中嵌入安全性,促进开发人员、安全实践者和 IT 操作员之间的协作。

以 DevOps 的速度安全地交付创新应用

随着新型网络安全攻击的增加,可通过在开发周期的早期集成安全性来增强开发环境和软件供应链。DevSecOps 将 GitHub 与 Azure 产品和服务相结合,以促进 DevOps 和 SecOps 团队之间的协作。使用完整的解决方案以 DevOps 的速度提供更安全、更具创新性的应用。

通过让组织中的所有人都参与构建和运行安全应用程序,来帮助保护你的环境。“左移”安全性是指在开发的早期阶段(从计划到开发、打包、部署)纳入安全思维。使用 Microsoft Visual Studio 和 GitHub 将安全性集成到开发人员工作流中,在代码评审期间自动检测潜在的安全漏洞。

在对应用程序使用第三方代码和开源软件时,更好地控制软件供应链。使用 Azure 和 GitHub 产品和服务自信地进行开发,这些产品和服务可检查生产中的代码并跟踪在使用的第三方组件来提高安全性。

使用一组丰富的 Azure 服务,使应用程序操作起来更方便、更安全。在托管应用程序平台(包括 Kubernetes)上运行代码,并使用受信任的服务更安全地管理密钥、令牌、机密。通过策略增强对环境安全性的信心。凭借适用于应用程序和基础结构的实时监视解决方案,帮助确保操作顺畅且安全。

通过严格的访问控制帮助保护应用程序、代码和基础结构。Azure 为组织的内部用户和访问应用程序的外部使用者提供领先的标识服务。使用 DevSecOps 工具和标识平台安全地访问 GitHub 上的代码,管理 Azure 资源的粒度权限,并为应用程序提供身份验证和授权服务。

利用一套完整的产品和服务,或仅选择所需的产品和服务

使用 GitHub (全球最受欢迎的开发人员平台)获取有助于保护应用代码和依赖项的高级功能。

  • 通过 GitHub Advanced Security 和业界领先的语义代码分析引擎 CodeQL 来识别代码中的漏洞。
  • 使用 Dependabot 获取安全警报和自动安全更新,进而识别和修正依赖项中的安全问题。
  • 通过机密扫描,可在凭据和令牌被错误地提交到源代码管理中时获取警报。

自信地生成具有端到端完全可溯源性的、生产就绪的容器映像。使用 Azure Pipelines 进行持续集成和持续交付(CI/CD)时,每次提交时代码都会被编译并打包到 Docker 容器中,并会自动部署到测试环境中。可跟踪每个映像的提交、工作项、项目,了解在环境中运行的代码。

使用 GitHub Actions 在推送、问题创建或新发布等任何 GitHub 事件中自动执行和运行软件工作流。对所使用的服务进行合并和配置操作,并使用可同时在多个操作系统中测试的矩阵工作流节省时间。获取任何语言的支持,助你生成、测试、部署代码。

使用 Azure 容器注册表生成、存储、保护、扫描、复制、管理容器映像和项目。使用 Microsoft Defender for Cloud 进行自动扫描,识别 CI/CD 工作流中易受攻击的容器映像。

首先,使用 Azure 资源管理器(ARM)或其他模板安全地配置你的云基础结构即代码(IaC),从而以最小的负担快速帮助开发人员加入。应用并强制执行模板化配置,确保整个组织的安全性一致,并与 Microsoft Defender for DevOps IaC 模板扫描配对,最大限度地减少到达生产环境的云错误配置。

使用基础结构即代码解决方案(例如 Terraform)直接从 CI/CD 管道部署 AKS 群集。

使用 Azure Policy 与 AKS,帮助确保操作符合要求。

使用 Azure Key Vault 安全地存储和管理密钥、证书、令牌和其他机密,以便应用程序可以在运行时加载它们,同时避免在应用程序代码中包含密钥的风险。通过在硬件安全模块(HSM)中导入和生成密钥,可增强安全性以满足 FIPS 140-2 级别 2 和级别 3 合规性。

结合 GitHub Advanced Security 的机密扫描,防止由将机密推送至代码存储库而导致的漏洞。

无论是构建面向外部的应用还是内部业务线应用,都可使用 Azure Active Directory (Azure AD) 管理标识和访问控制。

使用 Azure AD 工作负载联合身份验证功能,消除在 GitHub 密钥存储中管理 Azure 服务主体机密和其他云凭据的需求。在 Azure 中更安全地管理所有云资源访问。这些功能还将最大限度地降低由于 GitHub 中的凭据过期而导致服务停机的风险。

通过组织的目录对用户进行身份验证,并依赖高级安全功能,如多重身份验证Azure AD 标识保护和异常活动报告。

通过基于角色的访问控制(RBAC)帮助保护对 Azure 资源和 Azure 门户的访问。

使用 Azure Active Directory B2C 为外部用户管理对企业到消费者应用程序的访问权限。

使用 Azure Monitor 实时监视应用程序和基础结构。发现代码的问题和潜在的可疑活动及异常。

Azure Monitor 与 Azure Pipelines 中的发布管道集成,可根据监控数据自动批准质量入口或发布回滚。

Microsoft Defender for Cloud 会持续评估、保护、防御 Azure、本地或多云工作负载和安全状况。与 Microsoft Defender for DevOps 集成以全面了解 DevOps 清单以及预生产应用程序代码和资源配置的安全状况。

了解如何保护所有企业 DevOps 环境

探索企业 DevOps 工具和做法的理想安全设置。本电子书重点介绍如何强化开发人员、DevOps 平台和应用程序环境。

相关产品

Visual Studio Code

用于云开发的功能强大的轻型代码编辑器

Azure DevOps

供团队共享代码、跟踪工作和交付软件的服务

GitHub Enterprise

通过将开放源代码和最佳做法安全地引入企业项目,实现大规模创新。

Azure Key Vault

保护密钥和其他机密并保持对它们的控制

Azure Active Directory

同步本地目录并启用单一登录

Azure Monitor

充分洞察应用程序、基础结构和网络

安全中心

保护多云和混合环境

Microsoft Defender for DevOps

通过统一的可见性和策略控制来对接安全和开发团队

Azure 中的 DevSecOps

如果你的企业要存储自定义数据或客户端数据,则需开发解决方案来涵盖此数据的管理和接口,同时考虑到安全性。DevSecOps 从开始开发时就采用了安全最佳做法,而不是在最后进行审核,这使用的是左移策略。

查看解决方案体系结构

客户正在通过 DevSecOps 安全地进行创新

Gjensidige 将安全性置于新应用程序平台的重要位置

Gjensidige 使用 DevSecOps 工具帮助开发人员编写更安全的代码、采用安全最佳做法并快速响应软件供应链漏洞。

Gjensidige

以 DevOps 的速度安全地缩短部署时间

为了缩短部署时间,CDT 为其 DevSecOps 流程、CI/CD 和基础结构实现了 Azure 和 GitHub。现在,其团队可以更快、更安全地协作和发布代码。

California Department of Technology

IT 咨询,由 DevSecOps 提供支持

"As part of the best practices for DevSecOps, we recommend our DevSecOps platform, methods, and GitHub as a key part of this ecosystem. As our customers' processes mature, we expect to see more and more use of GitHub Enterprise."

Naresh Choudhary,Infosys 重用与工具副总裁
Infosys

通过 DevSecOps 将安全作为公司文化

"The culture of the company has been built from communication and interactions where security is everyone's responsibility. Whether you're an engineer or you're a product manager, you have to care about security, just like you have to care about the functionality and quality of the product."

Emilio Escobar,Datadog 首席信息安全官
DataDog

开始使用 DevSecOps

了解如何使用 GitHub 和 Azure 启用 DevSecOps。

详细了解云安全性

了解如何保护多云应用和资源。

准备好了就开始

设置免费 Azure 帐户。

可以给你提供什么帮助?