Aktivera DevSecOps med Azure och GitHub

DevSecOps, som ibland kallas Secure DevOps, bygger på principerna för DevOps men sätter säkerheten i centrum för hela programlivscykeln. Det här konceptet kallas "skift-vänster-säkerhet": det flyttar säkerheten uppströms från ett produktionsspecifikt problem för att omfatta de tidiga stadierna av planering och utveckling. Varje team och person som arbetar med ett program måste överväga säkerhet.

Microsoft och GitHub erbjuder lösningar för att skapa förtroende för den kod som du kör i produktion. De här lösningarna inspekterar koden och tillåter dess spårbarhet till arbetsobjekten och insikterna om de komponenter från tredje part som används.

Skydda din kod med GitHub

Utvecklare kan använda kodgenomsökningsverktyg som snabbt och automatiskt analyserar koden på en GitHub-lagringsplats för att hitta säkerhetsrisker och kodfel.

Du kan söka igenom kod för att hitta, sortera och prioritera korrigeringar för befintliga problem. Kodgenomsökning hindrar också utvecklare från att införa nya problem. Du kan schemalägga genomsökningar för specifika dagar och tider eller utlösa genomsökningar när en specifik händelse inträffar på lagringsplatsen, till exempel en push-överföring. Du kan också spåra lagringsplatsens beroenden och ta emot säkerhetsaviseringar när GitHub identifierar sårbara beroenden.

• Skanna koden med CodeQL och tokengenomsökning
• Hantera säkerhetsrekommendationer för dina projekt
• Skydda kodens beroenden med Dependabot

Spåra ditt arbete med Azure Boards

Teams kan använda Azure Boards-webbtjänsten för att hantera programvaruprojekt. Azure Boards innehåller en omfattande uppsättning funktioner, inklusive inbyggt stöd för Scrum och Kanban, anpassningsbara instrumentpaneler och integrerad rapportering.

• Planera och spåra arbete med Azure Boards
• Ansluta Azure Boards till GitHub

Skapa och distribuera containrar med Azure Pipelines

Integrera Azure Pipelines- och Kubernetes-kluster med lätthet. Du kan använda samma YAML-dokument för att skapa pipelines som kod i flera steg för både kontinuerlig integrering och kontinuerlig leverans.

Azure Pipelines integrerar spårning av metadata i dina containeravbildningar, inklusive incheckningshashvärden och ärendenummer från Azure Boards, så att du kan inspektera dina program med säkerhet.

Möjligheten att skapa distributionspipelines med YAML-filer och lagra dem i källkontroll hjälper till att skapa en snävare feedbackslinga mellan utvecklings- och åtgärdsteam som förlitar sig på tydliga, läsbara dokument.

• Lagra Docker-avbildningar i Azure Container Registry
• Skapa en Docker-avbildning med Azure Pipelines
• Distribuera till Kubernetes med fullständig spårningsbarhet
• Skydda dina Azure Pipelines

Köra och felsöka containrar med Bridge to Kubernetes

Det kan vara svårt att utveckla ett Kubernetes-program. Du behöver Docker- och Kubernetes-konfigurationsfiler. Du måste ta reda på hur du testar ditt program lokalt och interagerar med andra beroende tjänster. Du kan behöva utveckla och testa flera tjänster samtidigt och med ett team med utvecklare.

Med Bridge to Kubernetes kan du köra och felsöka kod på utvecklingsdatorn medan du fortfarande är ansluten till Kubernetes-klustret med resten av programmet eller tjänsterna. Du kan testa koden från slutpunkt till slutpunkt, träffa brytpunkter för kod som körs i klustret och dela ett utvecklingskluster mellan gruppmedlemmar utan interferens.

• Läs mer om Bridge to Kubernetes

Framtvinga containersäkerhet med Microsoft Defender för containrar och Azure Policy

Microsoft Defender för containrar är den molnbaserade lösningen för att skydda dina containrar.

• Översikt över Microsoft Defender för containrar
• Förstå Azure Policy för Kubernetes-kluster
• Azure Kubernetes Service (AKS)

Hantera identiteter och åtkomst med Microsofts identitetsplattform

Microsofts identitetsplattform är en utveckling av Utvecklarplattformen för Azure Active Directory (Azure AD). Det gör att utvecklare kan skapa program som loggar in alla Microsoft-identiteter och hämtar token för att anropa Microsoft-API:er, till exempel Microsoft Graph eller API:er som utvecklare har skapat.

• Microsofts identitetsplattform dokumentation

Microsoft Entra Externt ID tillhandahåller företags-till-kund-identitet som en tjänst. Dina kunder använder sina önskade sociala identiteter, företagsidentiteter eller lokala kontoidentiteter för att få enkel inloggningsåtkomst till dina program och API:er.

• Externt ID för Microsoft Entra

Åtkomsthantering för molnresurser är en viktig funktion för alla organisationer som använder molnet. Rollbaserad åtkomstkontroll i Azure (Azure RBAC) hjälper dig att hantera vem som har åtkomst till Azure-resurser, vad de kan göra med dessa resurser och vilka områden de kan komma åt.

• Läs mer om åtkomsthantering med Azure RBAC

Du kan använda Microsofts identitetsplattform för att autentisera med resten av dina DevOps-verktyg, inklusive intern support i Azure DevOps och integreringar med GitHub Enterprise.

• Autentisera till GitHub Enterprise

För närvarande kräver ett AKS-kluster (Azure Kubernetes Service) (specifikt Kubernetes-molnleverantören) en identitet för att skapa ytterligare resurser som lastbalanserare och hanterade diskar i Azure. Den här identiteten kan vara antingen en hanterad identitet eller ett huvudnamn för tjänsten. Om du använder ett huvudnamn för tjänsten måste du antingen ange ett eller så skapar AKS ett för din räkning. Om du använder hanterad identitet skapas en av AKS automatiskt åt dig. För kluster som använder tjänstens huvudnamn måste tjänstens huvudnamn förnyas så småningom för att klustret ska fungera. Att hantera tjänstens huvudnamn ökar komplexiteten, vilket är anledningen till att det är enklare att använda hanterade identiteter i stället. Samma behörighetskrav gäller för både tjänstens huvudnamn och hanterade identiteter.

Hanterade identiteter är i huvudsak en omslutning kring tjänstens huvudnamn och gör deras hantering enklare.

• Använda hanterade identiteter i AKS

Hantera nycklar och hemligheter med Azure Key Vault

Azure Key Vault kan användas för att lagra och styra åtkomsten till token, lösenord, certifikat, API-nycklar och andra hemligheter på ett säkert sätt. Genom att centralisera lagringen av programhemligheter i Key Vault kan du styra deras distribution. Key Vault minskar risken för att hemligheter kan läcka ut av misstag. När du använder Key Vault behöver programutvecklare inte längre lagra säkerhetsinformation i sitt program, vilket eliminerar behovet av att göra den här informationen till en del av koden. Ett program kan till exempel behöva ansluta till en databas. I stället för att lagra anslutningssträngen i appens kod kan du lagra den säkert i Key Vault.

• Lagra certifikat, nycklar och hemligheter med Azure Key Vault

Övervaka dina program

Med Azure Monitor kan du övervaka både ditt program och din infrastruktur i realtid, identifiera problem med din kod och potentiella misstänkta aktiviteter och avvikelser. Azure Monitor integreras med versionspipelines i Azure Pipelines för att möjliggöra automatiskt godkännande av kvalitetsgrindar eller återställning av versioner baserat på övervakningsdata.

Lär dig hur du övervakar dina program och infrastruktur med hjälp av Azure Application Insights och Azure Monitor.

• Hantering av programprestanda med Application Insights
• Övervaka containerbaserade program med Azure Monitor

Skapa rätt arkitektur

Säkerhet är en av de viktigaste aspekterna, oavsett arkitektur. Säkerhet ger konfidentialitet, integritet och tillgänglighetsgarantier mot avsiktliga attacker och missbruk av dina värdefulla data och system. Om du förlorar dessa garantier kan det påverka företagets verksamhet och intäkter negativt, samt organisationens rykte på marknadsplatsen.

• Arkitektur för program och tjänster
• DevSecOps-arkitektur