DevSecOps

将安全性集成到软件交付生命周期的各个方面。

阅读文档

了解支持安全 DevOps 的 Microsoft 产品和服务

随着网络威胁的增加,构建和运行应用程序的团队每天都面临着巨大的新挑战。了解 Microsoft 如何通过 Azure 和 GitHub 为云(以及任何位置)上的应用提供一个支持 DevSecOps 或安全 DevOps 的完整解决方案。

构建和操作安全应用程序这项工作需要从开发到操作,再到支持的所有人的参与。

将安全性向左移动的这一概念要求赋予团队权力并对其负责,使得团队从规划的早期阶段到开发、打包和部署应用程序都秉持着安全性思想。

虽然这既是一种文化转变,也是一种工具转变,但 Microsoft 可以通过 Azure 和 GitHub 的产品和服务提供帮助。

几乎所有正在构建的新应用程序都利用了第三方(包括开放源代码组件)编写的代码,至少在某些方面是如此。虽然这提供了明显的优势,可实现更高的工作效率和更佳的协作,但它也带来了与控制和保护软件供应链相关的挑战。

Microsoft 和 GitHub 提供了一些解决方案,通过检查代码并允许其追溯到第三方组件(正在使用中的组件)的工作项和见解,使你对在生产环境中运行的代码充满信心。

借助 Azure,你可利用各种各样的服务,使应用程序操作起来更方便、更安全。

在托管应用程序平台(包括 Kubernetes)上运行代码,并利用受信任的服务安全地管理密钥、令牌和机密。通过策略增强对环境安全性的信心。然后,通过利用适用于应用程序和基础结构的实时监视解决方案,确保操作顺畅且安全。

通常,严格的访问控制是保护应用程序和代码与基础结构的第一步。Azure 为组织中的用户和访问你的应用程序的外部消费者提供领先的标识服务。

利用标识平台安全地访问 GitHub 上的代码,对 Azure 资源的权限进行精细地管理,甚至可为应用程序提供身份验证和授权服务。

利用一套完整的端到端产品和服务

或者只选取与你最相关的产品和服务

安全的应用程序始于安全的代码,但保护代码通常是不够的。信心从容地管理软件供应链与确保代码安全一样重要。

GitHub 是世界上最受欢迎的开发人员平台。它提供一些高级功能,可帮助你保护应用的代码和依赖项:

  • GitHub 高级安全性利用了业界领先的语义代码分析引擎 CodeQL,用于识别代码中的漏洞。
  • 使用安全警报和自动安全更新 (Dependabot) 识别和修正依赖项中的安全问题。
  • 当凭据和令牌被错误地提交到源代码管理中时,可通过扫描机密获取警报。

若使用 Azure Pipelines 进行持续集成,代码在每次提交时都会被编译并打包到 Docker 容器中,并自动部署到具有 Azure Dev Spaces 的测试环境。

此外,通过 Azure Pipelines 的持续交付功能,可满怀信心地构建生产就绪的容器映像,并提供完整的端到端可跟踪性。可跟踪每个映像的提交、工作项和项目,了解在环境中运行的所有代码。

生产容器映像存储在 Azure 容器注册表中,这些映像在其中会自动进行扫描以确认是否存在漏洞,这要归因于与 Azure 安全中心的集成

AKS 提供由 Microsoft 维护和保护的 Kubernetes 群集。

可使用基础结构即代码解决方案(例如 Terraform)直接从 CI/CD 管道部署 AKS 群集。

Azure Policy 与 AKS 集成,确保操作符合要求。

对于开发和测试环境,Azure Dev Spaces 可为每个生成预配一个测试 Kubernetes 群集以响应拉取请求。

应用程序可利用 Azure Key Vault 安全地存储密钥、证书、令牌及其他机密,使应用程序可在运行时加载它们。这是一种替代方法,比将它们包含在应用程序代码中更安全。

无论是构建面向外部的应用还是内部业务线应用,你都可利用 Azure Active Directory (Azure AD) 安全地管理标识和访问控制。

使用 Azure AD 通过组织的目录进行身份验证,这利用了高级安全功能,如多重身份验证、标识保护和异常活动报告。

对于面向外部的应用,可通过 Azure AD B2C 方便地管理外部用户的身份验证和授权,即使使用社交帐户也是如此。

Azure AD 还可保护对 Azure 资源和 Azure 门户的访问,这要归功于基于角色的粒度访问控制。

利用 Azure Monitor,可实时监视应用程序和基础结构,从而识别代码问题以及潜在的可疑活动和异常。

Azure Monitor 与 Azure Pipelines 中的发布管道集成,可根据监控数据自动批准质量入口或发布回滚。

详细了解 DevSecOps 产品和服务

对 DevOps 感兴趣?查看 Microsoft 的 DevOps 解决方案

了解更多

Azure 中的 DevSecOps

对于存储任意类型的自定义数据或客户端数据的业务来说,安全性是首要考虑的因素。在开发涉及这类数据的管理和对接的解决方案时,应考虑到安全性。DevSecOps 涉及到从开发一开始就利用安全最佳做法,使用左移策略将安全重心从最后通过审核来确保安全的做法,改为在开发的最初阶段就采取安全措施。

准备好开始使用 DevSecOps 了吗?

阅读文档