Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
DevSecOps, иногда называемый Secure DevOps, основывается на принципах DevOps , но ставит безопасность в центр всего жизненного цикла приложения. Эта концепция называется "shift-left security": она перемещает вверх по обеспечению безопасности только для производства, чтобы охватывать ранние этапы планирования и развития. Для обеспечения безопасности требуется каждая команда и человек, работающий над приложением.
Корпорация Майкрософт и GitHub предлагают решения для обеспечения доверия к коду, который выполняется в рабочей среде. Эти решения проверяют код и позволяют отслеживать их до рабочих элементов и аналитических сведений об используемых сторонних компонентах.
Защита кода с помощью GitHub
Разработчики могут использовать средства сканирования кода, которые быстро и автоматически анализируют код в репозитории GitHub для поиска уязвимостей безопасности и ошибок кодирования.
Вы можете сканировать код для поиска, сортировки и определения приоритетов для существующих проблем. Сканирование кода также запрещает разработчикам вводить новые проблемы. Вы можете запланировать сканирование на определенные дни и время или запускать его при возникновении определенного события в репозитории, например принудительной отправки. Вы также можете отслеживать зависимости репозитория и получать оповещения системы безопасности, когда GitHub обнаруживает уязвимые зависимости.
- Сканирование кода с помощью CodeQL и сканирования маркеров
- Управление рекомендациями по безопасности для проектов
- Защита зависимостей кода с помощью Dependabot
Отслеживание работы с Azure Boards
Teams может использовать веб-службу Azure Boards для управления проектами программного обеспечения. Azure Boards предоставляет широкий набор возможностей, включая встроенную поддержку Scrum и Kanban, настраиваемые панели мониторинга и интегрированные отчеты.
Создание и развертывание контейнеров с помощью Azure Pipelines
Интеграция кластеров Azure Pipelines и Kubernetes с легкостью. Вы можете использовать те же документы YAML для создания многоэтапных конвейеров как кода для непрерывной интеграции, так и для непрерывной доставки.
Azure Pipelines интегрирует трассировку метаданных в образы контейнеров, включая хэши фиксации и номера проблем из Azure Boards, чтобы вы могли проверять приложения с уверенностью.
Возможность создавать конвейеры развертывания с файлами YAML и хранить их в системе управления версиями помогает обеспечить более жесткий цикл обратной связи между командами разработки и операций, которые полагаются на понятные, доступные для чтения документы.
- Хранение образов Docker в реестре контейнеров Azure
- Создание образа Docker с помощью Azure Pipelines
- Развертывание в Kubernetes с полной трассировкой
- Защита Azure Pipelines
Запуск и отладка контейнеров с помощью Bridge to Kubernetes
Разработка приложения Kubernetes может быть сложной задачей. Вам нужны файлы конфигурации Docker и Kubernetes. Необходимо выяснить, как протестировать приложение локально и взаимодействовать с другими зависимыми службами. Вам может потребоваться разработать и протестировать несколько служб одновременно и с командой разработчиков.
Bridge to Kubernetes позволяет запускать и отлаживать код на компьютере разработки, а также подключаться к кластеру Kubernetes с остальными приложениями или службами. Вы можете протестировать сквозные точки кода, поставить точки останова в коде, работающем в кластере, и предоставить общий доступ к кластеру разработки между членами команды без вмешательства.
Обеспечение безопасности контейнеров с помощью Microsoft Defender для контейнеров и политики Azure
Microsoft Defender для контейнеров — это облачное решение для защиты контейнеров.
- Общие сведения о Microsoft Defender для контейнеров
- Общие сведения о политике Azure для кластеров Kubernetes
- Служба Azure Kubernetes (AKS)
Управление удостоверениями и доступом с помощью платформы удостоверений Майкрософт
Платформа удостоверений Майкрософт — это эволюция платформы разработчиков Azure Active Directory (Azure AD). Это позволяет разработчикам создавать приложения, которые входят во все удостоверения Майкрософт и получают маркеры для вызова API Майкрософт, таких как Microsoft Graph или API, созданные разработчиками.
Внешний идентификатор Microsoft Entra предоставляет удостоверение клиента как услуга. Клиенты используют предпочитаемые удостоверения социальных удостоверений, корпоративных или локальных учетных записей для получения доступа к приложениям и API.
Управление доступом к облачным ресурсам является важной функцией для любой организации, которая использует облако. Управление доступом на основе ролей Azure (Azure RBAC) помогает управлять доступом к ресурсам Azure, что они могут сделать с этими ресурсами и какие области они могут получить доступ.
Платформу удостоверений Майкрософт можно использовать для проверки подлинности с помощью остальных средств DevOps, включая встроенную поддержку в Azure DevOps и интеграции с GitHub Enterprise.
В настоящее время кластер Службы Azure Kubernetes (AKS) (в частности, поставщик облачных служб Kubernetes) требует удостоверения для создания дополнительных ресурсов, таких как подсистемы балансировки нагрузки и управляемые диски в Azure. Это удостоверение может быть либо управляемым удостоверением, либо учетной записью службы. Если вы используете субъект-службу, необходимо указать один или AKS, создающий его от вашего имени. Если вы используете управляемое удостоверение, он будет создан автоматически AKS. Для кластеров, использующих субъект-службу, субъект-служба должен быть продлен в конечном итоге, чтобы сохранить работу кластера. Управление субъектами-службами упрощает использование управляемых удостоверений. Одинаковые требования к разрешениям применяются как для субъектов-служб, так и для управляемых удостоверений.
Управляемые удостоверения по сути являются оболочкой для субъектов-служб и упрощают управление.
Управление ключами и секретами с помощью Azure Key Vault
Azure Key Vault можно использовать для безопасного хранения и управления доступом к маркерам, паролям, сертификатам, ключам API и другим секретам. Централизованное хранение секретов приложений в Key Vault позволяет управлять их распределением. Key Vault значительно снижает вероятность случайной утечки секретов. При использовании Key Vault разработчики приложений больше не должны хранить сведения о безопасности в своем приложении, что устраняет необходимость сделать эту информацию частью кода. Например, приложению может потребоваться подключиться к базе данных. Вместо хранения строки подключения в коде приложения его можно безопасно хранить в Key Vault.
Мониторинг приложений
С помощью Azure Monitor вы можете отслеживать как приложение, так и инфраструктуру в режиме реального времени, выявлять проблемы с кодом и потенциальными подозрительными действиями и аномалиями. Azure Monitor интегрируется с конвейерами выпуска в Azure Pipelines, чтобы включить автоматическое утверждение шлюзов качества или откат выпуска на основе данных мониторинга.
Узнайте, как отслеживать приложения и инфраструктуру с помощью Azure Application Insights и Azure Monitor.
- Управление производительностью приложений с помощью Application Insights
- Мониторинг контейнерных приложений с помощью Azure Monitor
Создание правильной архитектуры
Безопасность является одним из наиболее важных аспектов любой архитектуры. Безопасность обеспечивает конфиденциальность, целостность и гарантии доступности от преднамеренной атаки и злоупотреблений ценными данными и системами. Потеря этих гарантий может негативно повлиять на ваши бизнес-операции и доходы, а также репутацию вашей организации в Marketplace.