Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
A DevSecOps, más néven Biztonságos DevOps a DevOps alapelveire épül, de a teljes alkalmazás-életciklus középpontjába helyezi a biztonságot. Ezt a koncepciót "bal műszakos biztonságnak" nevezzük: a biztonságot csak éles környezetből helyezi át, hogy magában foglalja a tervezés és fejlesztés korai szakaszait. Minden alkalmazáson dolgozó csapatnak és személynek figyelembe kell vennie a biztonságot.
A Microsoft és a GitHub olyan megoldásokat kínál, amelyekkel bizalmat építhet az éles környezetben futtatott kódba. Ezek a megoldások ellenőrzik a kódot, és lehetővé teszik annak nyomon követését a használatban lévő külső összetevők munkaelemeire és elemzéseire.
Kód védelme a GitHubon
A fejlesztők olyan kódolvasó eszközöket használhatnak, amelyek gyorsan és automatikusan elemzik a kódot egy GitHub-adattárban a biztonsági rések és a kódolási hibák megkereséséhez.
A meglévő problémák megoldásainak megkereséséhez, osztályozásához és rangsorolásához beolvashatja a kódot. A kódvizsgálat azt is megakadályozza, hogy a fejlesztők új problémákat vezessenek be. A vizsgálatokat ütemezheti adott napokra és időpontokra, vagy aktiválhatja a beolvasásokat, amikor egy adott esemény történik az adattárban, például leküldéssel. Nyomon követheti az adattár függőségeit, és biztonsági riasztásokat is kaphat, amikor a GitHub sebezhető függőségeket észlel.
- Kód beolvasása CodeQL-lel és jogkivonat-vizsgálattal
- A projektek biztonsági tanácsadóinak kezelése
- A kód függőségeinek védelme a Dependabottal
Az Azure Boards használatával végzett munka nyomon követése
A Teams az Azure Boards webszolgáltatással kezelheti a szoftverprojekteket. Az Azure Boards számos funkciót kínál, beleértve a Scrum és a Kanban natív támogatását, a testre szabható irányítópultokat és az integrált jelentéskészítést.
- Az Azure Boards-ral végzett munka tervezése és nyomon követése
- Azure Boards csatlakoztatása a GitHubhoz
Tárolók létrehozása és üzembe helyezése az Azure Pipelines használatával
Az Azure Pipelines és a Kubernetes-fürtök egyszerűen integrálhatók. Ugyanezekkel a YAML-dokumentumokkal többfázisú folyamatokat hozhat létre kódként a folyamatos integráció és a folyamatos teljesítés érdekében.
Az Azure Pipelines integrálja a metaadat-nyomkövetést a tárolórendszerképekbe, beleértve a véglegesítési kivonatokat és az Azure Boardsból származó problémák számát, hogy megbízhatóan vizsgálhassa az alkalmazásokat.
Az üzembehelyezési folyamatok YAML-fájlokkal való létrehozásának és forrásvezérlésben való tárolásának lehetősége segít szorosabb visszajelzési ciklust kialakítani a fejlesztési és üzemeltetési csapatok között, akik világos, olvasható dokumentumokra támaszkodnak.
- Docker-rendszerképek tárolása az Azure Container Registryben
- Docker-rendszerkép létrehozása az Azure Pipelines használatával
- Üzembe helyezés a Kubernetesben teljes nyomon követhetőséggel
- Az Azure Pipelines védelme
Tárolók futtatása és hibakeresése a Bridge to Kubernetes használatával
A Kubernetes-alkalmazások fejlesztése kihívást jelenthet. Docker- és Kubernetes-konfigurációs fájlokra van szükség. Ki kell derítenie, hogyan tesztelheti az alkalmazást helyileg, és hogyan használhat más függő szolgáltatásokat. Előfordulhat, hogy egyszerre több szolgáltatást kell fejlesztenie és tesztelnie egy fejlesztői csapattal.
A Kubernetes-híd lehetővé teszi a kód futtatását és hibakeresését a fejlesztői számítógépen, miközben továbbra is csatlakozik a Kubernetes-fürthöz az alkalmazás vagy szolgáltatások többi részével. Tesztelheti a kód végpontok közötti tesztelését, töréspontokat érhet el a fürtben futó kódon, és interferencia nélkül megoszthatja a fejlesztői fürtöt a csapattagok között.
Tárolóbiztonság kényszerítése a Microsoft Defender for Containers és az Azure Policy használatával
A Microsoft Defender for Containers a tárolók biztonságossá tételének felhőalapú natív megoldása.
- A Microsoft Defender for Containers áttekintése
- Az Azure Policy for Kubernetes-fürtök ismertetése
- Azure Kubernetes Service (AKS)
Identitások és hozzáférés kezelése a Microsoft identitásplatformjával
A Microsoft identitásplatform az Azure Active Directory (Azure AD) fejlesztői platformjának fejlődése. Lehetővé teszi a fejlesztők számára, hogy olyan alkalmazásokat építsenek, amelyek minden Microsoft-identitásba bejelentkeznek, és jogkivonatokat kapnak a Microsoft API-k, például a Microsoft Graph vagy a fejlesztők által létrehozott API-k meghívásához.
A Microsoft Entra külső azonosítója szolgáltatásként biztosítja az ügyfelek közötti identitást. Az ügyfelek az előnyben részesített közösségi, vállalati vagy helyi fióki identitásaikat használják az egyszeri bejelentkezéshez való hozzáféréshez az alkalmazásokhoz és API-khoz.
A felhőerőforrások hozzáférés-kezelése kritikus fontosságú a felhőt használó szervezetek számára. Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) segítségével kezelheti, hogy kinek van hozzáférése az Azure-erőforrásokhoz, mit tehetnek ezekkel az erőforrásokkal, és milyen területekhez férhetnek hozzá.
A Microsoft identitásplatformjával hitelesítheti magát a Többi DevOps-eszközzel, beleértve az Azure DevOps natív támogatását és a GitHub Enterprise-integrációt.
Jelenleg egy Azure Kubernetes Service-fürtnek (pontosabban a Kubernetes-felhőszolgáltatónak) szüksége van egy identitásra, amely további erőforrásokat, például terheléselosztókat és felügyelt lemezeket hoz létre az Azure-ban. Ez az identitás lehet felügyelt identitás vagy szolgáltatási főazonosító. Ha szolgáltatásnevet használ, meg kell adnia egyet, vagy az AKS létrehoz egyet az Ön nevében. Ha felügyelt identitást használ, az AKS automatikusan létrehoz egyet. A szolgáltatásnevet használó fürtök esetében a szolgáltatásnevet végül meg kell újítani a fürt működésének fenntartása érdekében. A szolgáltatásnevek kezelése összetettebbé teszi a szolgáltatást, ezért egyszerűbb a felügyelt identitások használata. Ugyanezek az engedélykövetelmények vonatkoznak a szolgáltatásnevekre és a felügyelt identitásokra is.
A felügyelt identitások lényegében a szolgáltatásnevek burkolói, és egyszerűbbé teszik a felügyeletüket.
Kulcsok és titkos kódok kezelése az Azure Key Vaulttal
Az Azure Key Vault segítségével biztonságosan tárolhatja és szabályozhatja a jogkivonatokhoz, jelszavakhoz, tanúsítványokhoz, API-kulcsokhoz és egyéb titkos kódokhoz való hozzáférést. Az alkalmazás titkos kulcsainak központi tárolása a Key Vaultban lehetővé teszi azok terjesztésének szabályozását. A Key Vault jelentősen csökkenti annak az esélyét, hogy a titkos kulcsok véletlenül kiszivárognak. A Key Vault használatakor az alkalmazásfejlesztőknek többé nem kell biztonsági információkat tárolniuk az alkalmazásukban, ami szükségtelenné teszi, hogy ezeket az információkat a kód részévé tegyék. Előfordulhat például, hogy egy alkalmazásnak csatlakoznia kell egy adatbázishoz. Ahelyett, hogy a kapcsolati sztringet az alkalmazás kódjában tárolné, biztonságosan tárolhatja a Key Vaultban.
Alkalmazások monitorozása
Az Azure Monitorral valós időben monitorozhatja az alkalmazást és az infrastruktúrát, azonosítva a kóddal kapcsolatos problémákat, valamint a potenciális gyanús tevékenységeket és rendellenességeket. Az Azure Monitor integrálható az Azure Pipelines kiadási folyamataival a minőségi kapuk automatikus jóváhagyásához vagy a kiadás visszaállításához a figyelési adatok alapján.
Megtudhatja, hogyan monitorozhat alkalmazásait és infrastruktúráját az Azure Application Insights és az Azure Monitor használatával.
- Alkalmazásteljesítmény-kezelés az Application Insights használatával
- Tárolóalapú alkalmazások monitorozása az Azure Monitorral
A megfelelő architektúra létrehozása
A biztonság minden architektúra esetében az egyik legfontosabb szempont. A biztonság bizalmassági, integritási és rendelkezésre állási garanciákat biztosít az értékes adatokkal és rendszerekkel való szándékos támadások és visszaélések ellen. Ezeknek a garanciáknak a elvesztése negatív hatással lehet az üzleti műveletekre és a bevételre, valamint a vállalat piaci hírnevére.