Povolení DevSecOps pomocí Azure a GitHubu

DevSecOps, někdy označovaný jako Secure DevOps, vychází z principů DevOps , ale zabezpečení je centrem celého životního cyklu aplikace. Tento koncept se nazývá "zabezpečení posunu doleva": přesouvá zabezpečení směrem nahoru od produkčního zájmu, aby zahrnoval počáteční fáze plánování a vývoje. Každý tým a osoba, která pracuje na aplikaci, musí zvážit zabezpečení.

Microsoft a GitHub nabízejí řešení, která vytvářejí důvěru v kód, který spouštíte v produkčním prostředí. Tato řešení kontrolují váš kód a umožňují sledovatelnost pracovních položek a přehledů o komponentách třetích stran, které se používají.

Zabezpečení kódu pomocí GitHubu

Vývojáři můžou použít nástroje pro kontrolu kódu, které rychle a automaticky analyzují kód v úložišti GitHub, a najít chyby zabezpečení a chyby kódování.

Kód můžete vyhledat, určit prioritu a určit prioritu oprav stávajících problémů. Kontrola kódu také brání vývojářům v zavádění nových problémů. Můžete naplánovat kontroly pro konkrétní dny a časy nebo aktivovat kontroly, když dojde k určité události v úložišti, jako je například nabízení. Můžete také sledovat závislosti úložiště a přijímat výstrahy zabezpečení, když GitHub zjistí ohrožené závislosti.

• Skenování kódu pomocí CodeQL a skenování tokenů
• Správa informačních zpravodajů zabezpečení pro vaše projekty
• Zabezpečení závislostí kódu pomocí Dependabotu

Sledování práce s Azure Boards

Týmy můžou ke správě softwarových projektů používat webovou službu Azure Boards. Azure Boards nabízí bohatou sadu funkcí, včetně nativní podpory pro Scrum a Kanban, přizpůsobitelných řídicích panelů a integrovaných sestav.

• Plánování a sledování práce s Azure Boards
• Připojení Azure Boards s Využitím GitHubu

Sestavování a nasazování kontejnerů pomocí Azure Pipelines

Snadno integrujte clustery Azure Pipelines a Kubernetes. Stejné dokumenty YAML můžete použít k vytvoření vícefázových kanálů jako kódu pro kontinuální integraci i průběžné doručování.

Azure Pipelines integruje trasování metadat do imagí kontejnerů, včetně hodnot hash potvrzení a čísel problémů z Azure Boards, abyste mohli kontrolovat aplikace s jistotou.

Možnost vytvářet kanály nasazení se soubory YAML a ukládat je do správy zdrojového kódu pomáhá řídit užší smyčku zpětné vazby mezi vývojovými a provozními týmy, které spoléhají na jasné a čitelné dokumenty.

• Ukládání imagí Dockeru ve službě Azure Container Registry
• Vytvoření image Dockeru pomocí Azure Pipelines
• Nasazení do Kubernetes s plnou sledovatelností
• Zabezpečení služby Azure Pipelines

Spouštění a ladění kontejnerů pomocí Bridge to Kubernetes

Vývoj aplikace Kubernetes může být náročný. Potřebujete konfigurační soubory Dockeru a Kubernetes. Potřebujete zjistit, jak otestovat aplikaci místně a pracovat s dalšími závislými službami. Možná budete muset vyvíjet a testovat více služeb najednou a s týmem vývojářů.

Přemostit na Kubernetes umožňuje spouštět a ladit kód na vývojovém počítači, zatímco stále je připojený ke clusteru Kubernetes se zbytkem vaší aplikace nebo služeb. Umožňuje kompletně otestovat váš kód, využívat zarážky v kódu spuštěném v clusteru a sdílet vývojový cluster mezi členy týmu bez případných rušivých vlivů.

• Další informace o přemísce na Kubernetes

Vynucení zabezpečení kontejnerů pomocí Microsoft Defenderu pro kontejnery a Azure Policy

Microsoft Defender for Containers je cloudové nativní řešení pro zabezpečení kontejnerů.

• Přehled Microsoft Defenderu pro kontejnery
• Principy Azure Policy pro clustery Kubernetes
• Azure Kubernetes Service (AKS)

Správa identit a přístupu pomocí platformy Microsoft Identity Platform

Platforma Microsoft Identity Platform je vývoj vývojářské platformy Azure Active Directory (Azure AD). Umožňuje vývojářům vytvářet aplikace, které se přihlašují ke všem identitám Microsoftu a získávají tokeny pro volání rozhraní MICROSOFT API, jako je Microsoft Graph nebo rozhraní API, která vytvořili vývojáři.

• Dokumentace k platformě Microsoft Identity Platform

Azure AD B2C poskytuje identitu mezi firmami jako službu. Vaši zákazníci používají své preferované identity sociálních, podnikových nebo místních účtů k získání přístupu k vašim aplikacím a rozhraním API s jednotným přihlašováním.

• Dokumentace ke službě Azure AD B2C

Správa přístupu pro cloudové prostředky je důležitou funkcí pro všechny organizace, které cloud používají. Řízení přístupu na základě role v Azure (Azure RBAC) pomáhá spravovat, kdo má přístup k prostředkům Azure, co může s těmito prostředky dělat a k jakým oblastem má přístup.

• Informace o správě přístupu pomocí Azure RBAC

Platformu Microsoft Identity Platform můžete použít k ověření ve zbývajících nástrojích DevOps, včetně nativní podpory v rámci Azure DevOps a integrace s GitHub Enterprise.

• Ověřování ve službě GitHub Enterprise

V současné době cluster Azure Kubernetes Service (AKS) (konkrétně poskytovatel cloudu Kubernetes) vyžaduje identitu k vytvoření dalších prostředků, jako jsou nástroje pro vyrovnávání zatížení a spravované disky v Azure. Tato identita může být spravovaná identita nebo instanční objekt. Pokud používáte instanční objekt, musíte buď zadat jeden nebo AKS, který za vás vytvoří. Pokud používáte spravovanou identitu, automaticky ji vytvoří AKS. V případě clusterů, které používají instanční objekty, se musí instanční objekt obnovit, aby cluster fungoval. Správa instančních objektů zvyšuje složitost, a proto je jednodušší používat spravované identity. Stejné požadavky na oprávnění platí pro instanční objekty i spravované identity.

Spravované identity jsou v podstatě obálkou kolem instančních objektů a zjednodušují jejich správu.

• Použití spravovaných identit v AKS

Správa klíčů a tajných kódů pomocí služby Azure Key Vault

Azure Key Vault se dá použít k bezpečnému ukládání a řízení přístupu k tokenům, heslům, certifikátům, klíčům rozhraní API a dalším tajným kódům. Centralizované ukládání tajných kódů aplikací ve službě Key Vault umožňuje řídit jejich distribuci. Key Vault výrazně snižuje riziko nechtěného úniku tajných klíčů. Když používáte Službu Key Vault, vývojáři aplikací už nemusí ukládat informace o zabezpečení do své aplikace, což eliminuje nutnost, aby tyto informace byly součástí kódu. Aplikace se například může potřebovat připojit k databázi. Místo uložení připojovací řetězec do kódu aplikace ji můžete bezpečně uložit ve službě Key Vault.

• Ukládání certifikátů, klíčů a tajných kódů pomocí služby Azure Key Vault

Monitorování aplikací

S využitím služby Azure Monitor můžete v reálném čase monitorovat své aplikace i infrastrukturu a identifikovat problémy s kódem a potenciálně podezřelé aktivity a anomálie. Azure Monitor se integruje s kanály verzí v Azure Pipelines a umožňuje automatické schvalování bran kvality nebo vracení vydaných verzí na základě dat monitorování.

Zjistěte, jak monitorovat aplikace a infrastrukturu pomocí Aplikace Azure Přehledy a azure Monitoru.

• Správa výkonu aplikací pomocí služby Application Přehledy
• Monitorování kontejnerizovaných aplikací pomocí služby Azure Monitor

Vytvoření správné architektury

Zabezpečení je nejdůležitějším aspektem jakékoli architektury. Zabezpečení poskytuje důvěrnost, integritu a záruky dostupnosti proti záměrným útokům a zneužití cenných dat a systémů. Ztráta těchto jistot může negativně ovlivnit provoz i výnosy vaší firmy a také její pověst na marketplace.

• Architektura aplikací a služeb
• Architektura DevSecOps