Azure ve GitHub ile DevSecOps'ı etkinleştirme

Bazen Secure DevOps olarak da adlandırılan DevSecOps, DevOps ilkelerini temel alır ancak tüm uygulama yaşam döngüsünün merkezine güvenlik getirir. Bu kavram "shift-left security" olarak adlandırılır: Planlama ve geliştirmenin ilk aşamalarını kapsayacak şekilde güvenliği yalnızca üretim endişesinden yukarı akışa taşır. Bir uygulamada çalışan her ekip ve kişinin güvenliği göz önünde bulundurması gerekir.

Microsoft ve GitHub, üretimde çalıştırdığınız kodda güven oluşturmaya yönelik çözümler sunar. Bu çözümler kodunuzu inceler ve kullanımda olan üçüncü taraf bileşenleriyle ilgili iş öğelerine ve içgörülere kadar izlenebilirliğini sağlar.

GitHub ile kodunuzun güvenliğini sağlama

Geliştiriciler, güvenlik açıklarını ve kodlama hatalarını bulmak için GitHub deposundaki kodu hızlı ve otomatik olarak analiz eden kod tarama araçlarını kullanabilir.

Mevcut sorunları bulmak, önceliklendirmek ve düzeltmeleri önceliklendirmek için kodu tarayabilirsiniz. Kod tarama, geliştiricilerin yeni sorunlarla karşı karşıya olmasını da engeller. Belirli gün ve saatler için tarama zamanlayabilir veya depoda belirli bir olay gerçekleştiğinde (gönderme gibi) taramaları tetikleyebilirsiniz. Ayrıca, GitHub güvenlik açığı olan bağımlılıkları algıladığında deponuzun bağımlılıklarını izleyebilir ve güvenlik uyarıları alabilirsiniz.

• CodeQL ve belirteç tarama ile kodunuzu tarama
• Projeleriniz için güvenlik önerilerini yönetme
• Dependabot ile kodunuzun bağımlılıklarının güvenliğini sağlama

Azure Boards ile çalışmanızı izleme

Teams, yazılım projelerini yönetmek için Azure Boards web hizmetini kullanabilir. Azure Boards, Scrum ve Kanban için yerel destek, özelleştirilebilir panolar ve tümleşik raporlama dahil olmak üzere zengin bir özellik kümesi sağlar.

• Azure Boards ile çalışmayı planlama ve izleme
• GitHub ile Azure Boards'Bağlan

Azure Pipelines ile kapsayıcı oluşturma ve dağıtma

Azure Pipelines ve Kubernetes kümelerini kolayca tümleştirin. Hem sürekli tümleştirme hem de sürekli teslim için kod olarak çok aşamalı işlem hatları oluşturmak için aynı YAML belgelerini kullanabilirsiniz.

Azure Pipelines, uygulamalarınızı güvenle inceleyebilmeniz için işleme karmaları ve Azure Boards'tan gelen sorun numaraları dahil olmak üzere meta veri izlemeyi kapsayıcı görüntülerinizle tümleştirir.

YAML dosyalarıyla dağıtım işlem hatları oluşturma ve bunları kaynak denetiminde depolama özelliği, net, okunabilir belgelere dayanan geliştirme ve operasyon ekipleri arasında daha sıkı bir geri bildirim döngüsü oluşturulmasına yardımcı olur.

• Docker görüntülerini Azure Container Registry'de depolama
• Azure Pipelines ile Docker görüntüsü oluşturma
• Tam izlenebilirlikle Kubernetes'e dağıtma
• Azure Pipelines'ınızın güvenliğini sağlama

Bridge to Kubernetes ile kapsayıcıları çalıştırma ve hata ayıklama

Kubernetes uygulaması geliştirmek zor olabilir. Docker ve Kubernetes yapılandırma dosyalarına ihtiyacınız vardır. Uygulamanızı yerel olarak test etme ve diğer bağımlı hizmetlerle etkileşim kurma hakkında bilgi edinmeniz gerekir. Bir kerede ve bir geliştirici ekibiyle birden çok hizmet geliştirmeniz ve test etmeniz gerekebilir.

Kubernetes köprüsü, uygulamanızın veya hizmetlerinizin geri kalanıyla Kubernetes kümenize bağlıyken geliştirme bilgisayarınızda kod çalıştırmanıza ve hata ayıklamanıza olanak tanır. Kodunuzu uçtan uca test edebilir, kümede çalışan koddaki kesme noktalarına isabet edebilir ve bir geliştirme kümesini ekip üyeleri arasında müdahale olmadan paylaşabilirsiniz.

• Kubernetes Köprüsü hakkında daha fazla bilgi edinin

Kapsayıcılar ve Azure İlkesi için Microsoft Defender ile kapsayıcı güvenliğini zorunlu kılma

Kapsayıcılar için Microsoft Defender, kapsayıcılarınızın güvenliğini sağlamaya yönelik bulutta yerel bir çözümdür.

• Kapsayıcılar için Microsoft Defender'a genel bakış
• Kubernetes kümeleri için Azure İlkesi'ni anlama
• Azure Kubernetes Service (AKS)

Microsoft kimlik platformu ile kimlikleri ve erişimi yönetme

Microsoft kimlik platformu, Azure Active Directory (Azure AD) geliştirici platformunun bir evrimidir. Geliştiricilerin tüm Microsoft kimliklerinde oturum açabilen uygulamalar oluşturmasına ve Microsoft Graph gibi Microsoft API'lerini veya geliştiricilerin oluşturduğu API'leri çağırmak için belirteçler almasına olanak tanır.

• Microsoft kimlik platformu belgeleri

Azure AD B2C, hizmet olarak işletmeden müşteriye kimlik sağlar. Müşterileriniz uygulamalarınıza ve API'lerinize çoklu oturum açma erişimi elde etmek için tercih ettikleri sosyal, kurumsal veya yerel hesap kimliklerini kullanır.

• Azure AD B2C belgeleri

Bulut kaynakları için erişim yönetimi, bulutu kullanan tüm kuruluşlar için kritik bir işlevdir. Azure rol tabanlı erişim denetimi (Azure RBAC), Azure kaynaklarına erişimi olan kişileri, bu kaynaklarla neler yapabileceklerini ve hangi alanlara erişebileceklerini yönetmenize yardımcı olur.

• Azure RBAC ile erişim yönetimi hakkında bilgi edinin

Azure DevOps içinde yerel destek ve GitHub Enterprise ile tümleştirmeler dahil olmak üzere diğer DevOps araçlarınızda kimlik doğrulaması yapmak için Microsoft kimlik platformu kullanabilirsiniz.

• GitHub Enterprise'da kimlik doğrulaması

Şu anda bir Azure Kubernetes Service (AKS) kümesi (özellikle Kubernetes bulut sağlayıcısı), Azure'da yük dengeleyiciler ve yönetilen diskler gibi ek kaynaklar oluşturmak için bir kimlik gerektirir. Bu kimlik yönetilen kimlik veya hizmet sorumlusu olabilir. Hizmet sorumlusu kullanıyorsanız, bir hizmet sorumlusu sağlamanız gerekir veya AKS sizin adınıza bir tane oluşturur. Yönetilen kimlik kullanırsanız AKS tarafından sizin için otomatik olarak bir kimlik oluşturulur. Hizmet sorumlularını kullanan kümeler için, kümenin çalışmasını sağlamak için hizmet sorumlusunun sonunda yenilenmesi gerekir. Hizmet sorumlularını yönetmek karmaşıklık katıyor ve bu nedenle yönetilen kimlikleri kullanmak daha kolay hale geliyor. Aynı izin gereksinimleri hem hizmet sorumluları hem de yönetilen kimlikler için geçerlidir.

Yönetilen kimlikler temelde hizmet sorumlularının etrafındaki bir sarmalayıcıdır ve yönetimlerini basit hale getirir.

• AKS'de yönetilen kimlikleri kullanma

Azure Key Vault ile anahtarları ve gizli dizileri yönetme

Azure Key Vault belirteçlere, parolalara, sertifikalara, API anahtarlarına ve diğer gizli dizilere erişimi güvenli bir şekilde depolamak ve denetlemek için kullanılabilir. Key Vault'ta uygulama gizli dizilerinin depolanmasını merkezi hale getirmek, bunların dağıtımını denetlemenize olanak tanır. Key Vault, gizli dizilerin yanlışlıkla sızdırılma olasılığını büyük oranda azaltır. Key Vault'u kullandığınızda, uygulama geliştiricilerinin artık kendi uygulamalarında güvenlik bilgilerini depolaması gerekmez ve bu da bu bilgileri kodun bir parçası yapma gereksinimini ortadan kaldırır. Örneğin, bir uygulamanın bir veritabanına bağlanması gerekebilir. bağlantı dizesi uygulamanın kodunda depolamak yerine Key Vault'ta güvenli bir şekilde depolayabilirsiniz.

• Azure Key Vault ile sertifikaları, anahtarları ve gizli dizileri depolama

Uygulamalarınızı izleme

Azure İzleyici sayesinde hem uygulamanızı hem de altyapınızı gerçek zamanlı olarak izleyerek kodunuzdaki sorunların yanı sıra olası şüpheli etkinlikleri ve anomalileri tespit edebilirsiniz. Azure İzleyici, Azure Pipelines'taki yayın işlem hatlarıyla tümleştirilerek kaliteli geçitlerin otomatik onaylanmasına veya izleme verilerine dayanarak sürümü geri almaya olanak sağlar.

Azure Uygulaması Analizler ve Azure İzleyici'yi kullanarak uygulamalarınızı ve altyapınızı izlemeyi öğrenin.

• Uygulama Analizler ile uygulama performansı yönetimi
• Azure İzleyici ile kapsayıcılı uygulamaları izleme

Doğru mimariyi oluşturma

Güvenlik, her mimarinin en önemli yönlerinden biridir. Güvenlik, değerli verilerinizin ve sistemlerinizin kasıtlı saldırılarına ve kötüye kullanımına karşı gizlilik, bütünlük ve kullanılabilirlik güvenceleri sağlar. Bu olanakları kaybetmek hem iş operasyonlarınızı ve gelirinizi olumsuz etkileyebilir hem de kuruluşunuzun pazardaki itibarını zedeleyebilir.

• Uygulamalar ve hizmetler mimarisi
• DevSecOps mimarisi