Implementación y operaciones de seguridad en el desarrollo
En este artículo se describen la implementación y las operaciones de su organización en el contexto de la seguridad de desarrollo.
Siga la arquitectura de procedimientos recomendados para la seguridad en el desarrollo. Use implementaciones de zonas de aterrizaje seguras con herramientas y controles de gobernanza y de seguridad repetibles, que aportan rápidamente una línea base de seguridad a la organización. La materia de línea base de seguridad de Cloud Adoption Framework no reemplaza a los procedimientos, procesos y equipos de TI que use la organización en la actualidad para proteger los recursos implementados en la nube.
La materia de línea base de seguridad es clave para la implementación y para las operaciones en curso. Sirve para identificar los riesgos empresariales relacionados con la seguridad y proporcionar instrucciones sobre la mitigación de riesgos al personal responsable de la infraestructura y el desarrollo de la organización. A medida que desarrolla procesos y directivas de gobernanza, asegúrese de implicar a los equipos de TI pertinentes en sus procesos de revisión y planificación.
Use herramientas de repositorio, como la administración de flujos de trabajo de GitHub y la contribución de código basada en PR, para aplicarlas en los procesos, las directivas y los conjuntos de herramientas que desarrolle. Siga los procedimientos recomendados de seguridad en todas las herramientas de Azure DevOps y en las Acciones de GitHub.
En el diagrama siguiente se muestra la arquitectura de DevSecOps con la estrategia de desplazamiento a la izquierda. La seguridad se integra en los flujos de trabajo del desarrollador desde el principio y permanece integrada en todo el ciclo de vida del desarrollo. El flujo de datos complejo de este escenario comienza con Microsoft Entra ID configurado como proveedor de identidades de GitHub (con la autenticación multifactor habilitada para mayor seguridad).
El flujo de DevSecOps finaliza con la supervisión de amenazas activas de Microsoft Defender for Cloud en Azure Kubernetes Service en el nivel de los nodos (VM), y también supervisa las amenazas internas.
Para obtener instrucciones técnicas detalladas sobre cómo evaluar e implementar cargas de trabajo bien diseñadas, consulte Marco de buena arquitectura de Microsoft Azure.
Implemente los procesos, las directivas y las herramientas de las secciones anteriores para seguir aplicando el enfoque de ingeniería de seguridad. Integre la seguridad en los procesos de las operaciones (OSA) y los ciclos de vida (SDL) del desarrollo de la seguridad.
Asegúrese de que los desarrolladores de la organización usan herramientas coherentes y se centran en el pilar de seguridad de la Revisión de buena arquitectura de Microsoft Azure.
Controles de DevSecOps
Obtenga información sobre cómo integrar procesos y herramientas de seguridad en el proceso de desarrollo de DevOps.
Aprenda a implementar una innovación segura y rápida para su organización:
Para más información sobre los controles de seguridad principales de DevOps en Azure Security Benchmark, consulte Control de seguridad v3: seguridad de DevOps.
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de