Azure 中的 DevSecOps

Boards
Azure DevOps
監視器
Pipelines
原則

解決方案構想

如果您想要瞭解如何使用詳細資訊、實行詳細資料、定價指引或程式碼範例來擴充本文,請讓我們知道 GitHub 意見反應!

針對儲存任何自訂或用戶端資料的企業,安全性是主要的考慮。 涵蓋此資料之管理和介面的解決方案應以安全性為考慮而開發。 DevSecOps 牽涉到從開發開始使用安全性最佳做法,並在一開始就將焦點放在安全性之外,並使用向左移位策略來進行開發。

架構圖表會 下載此架構的SVG

資料流程

  1. Azure Active Directory (AD) 可以設定為 GitHub 的身分識別提供者。 可以啟用多重要素驗證以獲得額外的安全性。
  2. 開發人員認可 GitHub Enterprise,由工作專案和 Azure Boards 追蹤的 bug 所驅動。
  3. GitHub Enterprise 可以透過 GitHub Advanced Security 和 GitHub 開放原始碼安全性來整合自動安全性和相依性掃描。
  4. 提取要求會在 Azure Pipelines 中觸發 CI 組建和自動化測試。
  5. Azure Pipelines 中的 CI 組建會產生 Docker 容器映射,該映射會儲存至 Azure Container Registry,並 Azure Kubernetes Service 在發行時使用此映射。
  6. 上傳至 Azure Container Registry 時,Azure 資訊安全中心會掃描映射是否有 Azure 原生弱點,以及已推送映射的安全性建議。
  7. Azure Pipelines 的版本整合了 Terraform 工具,同時管理雲端基礎結構即程式碼、布建資源(例如 Azure Kubernetes Service、應用程式閘道和 Azure Cosmos DB)。
  8. Azure Pipelines 透過安全的服務連線來存取容器登錄,以啟用持續傳遞 (CD) Azure Kubernetes Service。
  9. Azure 原則可以套用至 Azure Pipelines 來強制執行部署後閘道,而且可以直接套用至 AKS 引擎以強制執行原則。
  10. Azure Key Vault 用來在執行時間將秘密和認證安全地插入應用程式,並將機密資訊從開發人員抽象化。
  11. 終端使用者可以使用 MFA Azure AD B2C 進行驗證,以提供額外的安全性,並透過可進行負載平衡和保護核心服務的應用程式閘道進行路由。
  12. 使用 Azure 監視器的持續監視會根據監視資料擴充至閘道或回復版本。 Azure 監視器也會內嵌安全性記錄檔,而且可能會對可疑活動發出警示。
  13. 作為 DevSecOps 流程的新增和最後一部分,Azure 資訊安全中心將能夠在 Azure Kubernetes Service 的節點層級上,對 (VM 威脅) 和內部的作用中威脅進行監視。

單元

  • Azure Active Directory 為您的組織提供身分識別和存取管理服務,可讓您控制 Azure 內資源的存取權、GitHub Enterprise 和 Azure DevOps。
  • 原始程式碼裝載于 GitHub Enterprise,讓開發人員可以在您的組織內共同作業,以及開放原始碼的群體。 GitHub Enterprise 提供先進的安全性功能,以識別您撰寫的程式碼和開放原始碼相依性中的弱點
  • 使用 Azure Boards 來規劃工作並追蹤其進度,並使用如看板的敏捷式工具。
  • Azure Pipelines 是一種服務,可提供持續整合和持續傳遞作業,以自動建立和發行您的應用程式。
  • Azure Container Registry上裝載您的 Docker 容器映射。 此服務包含與 Azure 資訊安全中心整合的容器映射掃描。
  • Azure Kubernetes Service 提供完全由 Azure 管理的 Kubernetes 叢集,以確保基礎結構的可用性和安全性。
  • Terraform 是 HashiCorp 所開發的協力廠商產品,可允許 Azure 上的基礎結構自動化以及其他環境。
  • Azure 原則 可讓您建立、指派和管理原則。 這些原則會對您的資源強制執行不同的規則和效果,讓這些資源能符合公司標準和服務等級協定的規範。 它也會與 Azure Kubernetes Service 整合。
  • 您可以使用 Azure Key Vault 來儲存憑證、連接字串、權杖和其他秘密。 您的應用程式會在執行時間讀取這些敏感性資訊,因此它會從您的開發人員抽離。
  • Azure Cosmos DB 是全域散發的多模型資料庫服務,完全受控且與多個 api 相容,包括 MongoDB、CASSANDRA、SQL。
  • Azure 應用程式閘道 是第7層負載平衡器,可支援 advanced 路由規則和 Web 應用程式防火牆 (WAF) 。
  • 使用 Azure 監視器 可讓您深入瞭解應用程式和基礎結構的可用性和效能。 它也可讓您存取信號以監視解決方案的健康情況,並及早找出異常活動。
  • 使用 Azure AD B2C 您可以為應用程式 (使用者) 的取用者提供身分識別服務,即使它們不是您組織的一部分也一樣。

下一步