Utforma och implementera standarder för att skydda programutveckling

  • 20 minuter

Eftersom DevOps i sig är en framväxande disciplin med en hög grad av processvariationer, hänger framgångsrika DevSecOps på att förstå och eftertänksamt integrera säkerhet i utvecklingsprocessen. Att lägga till säkerhet bör börja med smidiga ändringar i koden, utvecklingsprocesserna och infrastrukturen som hanterar arbetsbelastningen. Fokusera först på ändringar med den högsta positiva effekten på säkerheten samtidigt som du lägger en låg börda på DevOps-processer och färdigheter.

Den här dokumentationen granskar varje steg i en CI/CD DevOps-process (kontinuerlig integrering och kontinuerlig leverans) och vilka säkerhetskontroller vi rekommenderar att du integrerar först. Diagram som visar DevSecOps-kontroller.

Planera och utveckla

Normalt följer modern utveckling en flexibel utvecklingsmetodik. Scrum är en implementering av agil metodik som har varje sprintstart med en planeringsaktivitet. Införandet av säkerhet i den här delen av utvecklingsprocessen bör fokusera på:

  • Hotmodellering för att se applikationen ur en potentiell angripares perspektiv
  • IDE-säkerhetsinsticksprogram och förincheckningskrokar för enkel statisk analyskontroll i en integrerad utvecklingsmiljö (IDE).
  • Kollegial granskning och säkra kodningsstandarder för att identifiera effektiva standarder för säker kodning, kollegiala granskningsprocesser och pre-commit-krokar.

Det är inte obligatoriskt att lägga till alla dessa steg. Men varje steg hjälper till att avslöja säkerhetsproblem tidigt, när de är mycket billigare och lättare att åtgärda.

Hotmodellanalys

Hotmodellering är utan tvekan den viktigaste säkerhetspraxis. Det ger omedelbara resultat och hjälper till att skapa ett säkerhetstänk hos utvecklare för att förbättra säkerheten i alla sina framtida projekt.

Hotmodellering är ett enkelt begrepp, även om det kan vara detaljerat och tekniskt om det behövs. Hotmodellering visar och dokumenterar en realistisk säkerhetsvy för ditt program som innehåller:

  • Hur angripare kan missbruka programmets design
  • Så här åtgärdar du sårbarheter
  • Hur viktigt det är att åtgärda problem

Hotmodellering sätter dig effektivt i en angripares tankesätt. Det låter dig se programmet via en angripares ögon. Du lär dig hur du blockerar försök innan angripare kan göra något åt det. Om ditt team har användarpersoner i designen kan du behandla angriparen som en fientlig användarpersona.

Det finns publicerade metoder för hotmodellering som sträcker sig från enkla fråge- och svarsmetoder till detaljerad verktygsbaserad analys. Du kan basera din metod på metoder som STRIDE-modellen, DREAD-modellen eller OWASP-hotmodellering.

Hotmodellering: Börja enkelt

Eftersom vissa metoder för hotmodellering kan vara tidskrävande och kunskapsintensiva rekommenderar vi att du börjar med en enklare metod med grundläggande frågor. Enklare metoder är inte lika noggranna, men de startar processen för kritiskt tänkande och hjälper dig att snabbt identifiera större säkerhetsproblem.

Med följande enkla frågemetoder kommer du igång:

  • Enkel frågemetod från Microsoft: Den här metoden ställer specifika tekniska frågor som är utformade för att visa vanliga misstag vid säkerhetsdesign.
  • OWASP-hotmodellering: Den här metoden fokuserar på att ställa enkla, icke-tekniska frågor för att få igång hotmodelleringsprocessen.

Du kan använda en eller båda dessa metoder, beroende på vad som fungerar bättre för ditt team.

När ditt team blir mer bekvämt med processen kan de använda mer avancerade tekniker från Microsofts livscykel för säkerhetsutveckling. Och de kan integrera verktyg för hotmodellering som Microsofts verktyg för hotmodellering för att få djupare insikter och hjälpa till att automatisera processen.

I en efterföljande lektion diskuteras hotmodellering i större detalj.

IDE-säkerhetsplugins och pre-commit-hooks

Utvecklarna fokuserar på leveranshastigheten och säkerhetskontroller kan göra processen långsammare. Vanligtvis inträffar avmattningen om säkerhetskontrollerna startar vid pipelinen. En utvecklare får reda på den potentiella sårbarheten efter att ha push-överfört koden till lagringsplatsen. För att påskynda processen och ge omedelbar feedback är det värt att lägga till steg som säkerhetsplugin för IDE och förincheckningsskript.

Plugin-program för integrerad utvecklingsmiljö (IDE) identifierar olika säkerhetsproblem under utvecklingsprocessen i utvecklarens välbekanta IDE-miljö. Plugin-program kan ge omedelbar feedback om det finns en potentiell säkerhetsrisk i utvecklarens skriftliga kod. Plugin-program kan också avslöja risker i biblioteket eller paketet från tredje part. Beroende på vilken IDE du väljer är många plugin-program med öppen källkod eller kommersiella plugin-program tillgängliga och tillhandahålls av säkerhetsföretag.

Ett annat alternativ att överväga är att använda ett ramverk före incheckningen om versionskontrollsystemet tillåter det. Ett förincheckning-ramverk använder Git-hook-skript som hjälper till att identifiera problem innan en utvecklare skickar kod för kodgranskning. Ett exempel är förhandsincheckning som du kan konfigurera i GitHub.

Peer-granskning och säkra kodningsstandarder

Pull-begäranden är standard i utvecklingsprocessen. En del av pull request-processen är kamratgranskningar som ofta avslöjar oupptäckta defekter, buggar eller problem relaterade till mänskliga fel. Det är bra att ha en säkerhetsansvarig eller en kunnig teammedlem inom säkerhet som kan vägleda utvecklaren under peer-granskningsprocessen innan en pull-begäran skapas.

Riktlinjer för säker kodningspraxis hjälper utvecklare att lära sig viktiga säkra kodningsprinciper och hur de ska tillämpas. Det finns säkra kodningsmetoder, till exempel säkra kodningsmetoder för OWASP som ska införlivas med allmänna kodningsmetoder.

Lägg upp koden

Vanligtvis skapar, hanterar och delar utvecklare sin kod på lagringsplatser som GitHub eller Azure Repos. Den här metoden tillhandahåller ett centralt, versionsstyrt kodbibliotek som utvecklare enkelt kan samarbeta med. Att aktivera många medarbetare på en enda kodbas riskerar dock också att ändringar införs. Den risken kan leda till sårbarheter eller oavsiktligt inkludera autentiseringsuppgifter eller tokens i incheckningar.

För att hantera den här risken bör utvecklingsteam utvärdera och implementera en databasgenomsökningsfunktion. Genomsökningsverktyg för lagringsplatser utför statisk kodanalys på källkod i lagringsplatser. Verktygen letar efter sårbarheter eller ändringar av autentiseringsuppgifter och flaggar eventuella objekt som hittas för reparation. Den här funktionen fungerar för att skydda mot mänskliga fel och är ett användbart skydd för distribuerade team där många personer samarbetar på samma lagringsplats.

Beroendehantering

Upp till 90 procent av koden i aktuella program innehåller element i, eller baseras på, externa paket och bibliotek. Med införandet av beroenden i källkoden är det viktigt att hantera potentiella risker. Många bibliotek från tredje part har allvarliga säkerhetsproblem. Utvecklare följer inte heller konsekvent den bästa livscykeln och håller beroenden uppdaterade.

Se till att utvecklingsteamet vet vilka komponenter som ska ingå i deras program. De vill ladda ned säkra och up-to-date-versioner från kända källor. Och de vill ha en process för att hålla versionerna uppdaterade. Ditt team kan använda verktyg som OWASP-Dependency-Check projekt, WhiteSource och andra.

Att bara fokusera på sårbarheter i beroenden eller deras livscykel räcker inte. Det är också viktigt att hantera säkerheten för paketflöden. Det finns kända attackvektorer som riktar sig mot pakethanteringssystem: typosquatting, kompromettering av befintliga paket, ersättningsattacker och andra. Den ansvarsfulla pakethanteringsadministrationen måste därför hantera dessa risker. Mer information finns i Tre sätt att minska risken när du använder privata paketflöden.

Säkerhetstest för statiska program

När ditt team har adresserat tredjepartsbibliotek och pakethantering är det viktigt att flytta fokus och förbättra kodsäkerheten. Det finns olika sätt att förbättra kodsäkerheten. Du kan använda plugin-program för IDE-säkerhet. Eller så kan du koppla inkrementella statiska analyser före incheckning och incheckningskontroller enligt beskrivningen tidigare. Det är också möjligt att göra en fullständig källkodssökning för att fånga misstag som missats i föregående steg. Det är nödvändigt, men det kan ta timmar eller till och med dagar att skanna ett stort kodblock. Den här metoden kan därför göra utvecklingen långsammare och medföra börda.

Men ett team måste börja någonstans när de implementerar metoder för statisk kodgenomsökning. Ett sätt är att introducera statisk kodanalys i kontinuerlig integrering. Den här metoden verifierar säkerheten så snart kodändringarna sker. Ett exempel är SonarCloud. Den omsluter flera SAST-verktyg (Static Application Security Testing) för olika språk. SonarCloud utvärderar och spårar tekniska skulder med fokus på underhåll. Den tittar på kodkvalitet och stil och har säkerhetsspecifika kontroller. Men det finns många andra kommersiella verktyg och verktyg med öppen källkod på marknaden.

För att säkerställa att feedbackloopen är effektiv är det viktigt att justera verktyget. Du vill minimera falska positiva identifieringar och ge tydlig och användbar feedback om problem som kan åtgärdas. Det är också bra att implementera ett arbetsflöde som förhindrar kodåtaganden till standardgrenen om det finns fynd. Du vill ta upp både kvalitets- och säkerhetsresultat. Därför blir säkerhet en del av enhetstestningsupplevelsen.

Säkra rörledningar

DevOps tar automatiseringen till en annan nivå eftersom allt i utvecklingslivscykeln går igenom en pipeline. Kontinuerlig integrering och kontinuerlig leverans (CI/CD) är en viktig del av moderna utvecklingscykler. I CI/CD sammanfogar ditt team utvecklarkod till en central kodbas enligt ett regelbundet schema och kör automatiskt standardversioner och testprocesser.

Infrastrukturledningar är en central del av utvecklingen. Men att använda pipelines för att köra skript eller distribuera kod till produktionsmiljöer kan medföra unika säkerhetsutmaningar. Du vill se till att dina CI/CD-pipelines inte blir vägar för att köra skadlig kod, tillåta att autentiseringsuppgifter blir stulna eller ge angripare någon yta för åtkomst. Du vill också se till att endast den kod som ditt team avser släppa och distribuera.

DevOps-teamen måste se till att de implementerar rätt säkerhetskontroller för pipelinen. Beroende på vilken plattform du väljer finns det olika riktlinjer för hur du ska hantera riskerna. Mer information finns i Skydda Azure Pipelines.

Skapa och testa

Många organisationer använder bygg- och versionspipelines för att automatisera och standardisera processerna för att skapa och distribuera kod. Med versionspipelines kan utvecklingsteam snabbt och i stor skala göra iterativa ändringar i kodavsnitt. Teamen behöver inte ägna mycket tid åt att omdistribuera eller uppgradera befintliga miljöer.

Med hjälp av versionspipelines kan team också höja upp kod från utvecklingsmiljöer, genom testmiljöer och slutligen till produktion. Som en del av automatiseringen bör utvecklingsteamen inkludera säkerhetsverktyg som kör skriptbaserade, automatiserade tester när kod distribueras till testmiljöer. Testerna bör omfatta enhetstestning av programfunktioner för att söka efter sårbarheter eller offentliga slutpunkter. Testning garanterar avsiktlig åtkomst.

Dynamisk programsäkerhetstestning

I en klassisk vattenfallsutvecklingsmodell introducerades säkerhet vanligtvis i det sista steget, precis innan produktionen. En av de mest populära säkerhetsmetoderna är intrångstestning eller penntestning. Genom penetrationstestning kan ett team titta på applikationen ur ett black-box-perspektiv, det vill säga, så nära angriparens synsätt som möjligt.

Ett intrångstest består av flera åtgärdspunkter, varav en är DAST (Dynamic Application Security Testing). DAST är ett säkerhetstest för webbprogram som hittar säkerhetsproblem i det program som körs genom att se hur programmet svarar på särskilt utformade begäranden. DAST-verktyg kallas även för sårbarhetsskannrar för webbprogram. Ett exempel är ett verktyg med öppen källkod, OWASP Zed Attack Proxy (ZAP). Den hittar säkerhetsrisker i webbprogrammet som körs. Det finns olika sätt för OWASP ZAP-genomsökningar: en passiv baslinjegenomsökning eller en fullständig genomsökning, beroende på konfigurationen.

Nackdelen med penntestning är att det tar tid. Ett grundligt penntest kan ta upp till flera veckor, och med devops-utvecklingens hastighet kan den tidsramen vara ohållbar. Men det är fortfarande värt att lägga till en lättare version av penntestning under utvecklingsprocessen för att upptäcka problem som missas av SAST och andra steg. DAST-verktyg som OWASP ZAP kan vara till hjälp.

Utvecklare integrerar OWASP ZAP i pipelinen som en uppgift. Under körningen snurrar OWASP ZAP-skannern upp i containern och gör genomsökningen och publicerar sedan resultatet. Den här metoden kanske inte är perfekt eftersom den inte är fullständig intrångstestning, men den är fortfarande värdefull. Det är ytterligare ett kvalitetsmått i utvecklingscykeln för att förbättra säkerhetsstatusen.

Validering av molnkonfiguration och genomsökning av infrastruktur

Förutom att genomsöka och skydda koden för program måste du se till att de miljöer som du distribuerar program till också är säkra. Säkra miljöer är nyckeln för organisationer som vill flytta i takt, förnya och använda ny teknik. Säkra miljöer hjälper också team att snabbt skapa nya miljöer för experimentering.

Med Azure-funktioner kan organisationer skapa säkerhetsstandarder från miljöer, till exempel Azure Policy. Teams kan använda Azure Policy för att skapa principuppsättningar. Principuppsättningarna förhindrar att vissa arbetsbelastningstyper eller konfigurationsobjekt skapas, till exempel offentliga IP-adresser. Dessa skyddsräcken gör det möjligt för team att experimentera i en säker och kontrollerad miljö och balansera innovation och styrning.

Ett sätt för DevOps att få utvecklare och åtgärder i takt med varandra är att stödja konvertering av den befintliga infrastrukturen till en infrastruktur-som-kod-metod.

Infrastruktur som kod (IaC) är hanteringen av infrastruktur (nätverk, virtuella datorer, lastbalanserare och anslutningstopologi) i en beskrivande modell. IaC använder samma versionsmodell som DevOps-teamet använder för källkod. Precis som principen för samma källkod genererar samma binärfil genererar en IaC-modell samma miljö varje gång den tillämpas. IaC är en viktig DevOps-metod som används med kontinuerlig leverans.

DevSecOps flyttar säkerheten åt vänster och visar att säkerhet inte bara handlar om programsäkerhet utan även infrastruktursäkerhet. Ett sätt som DevSecOps stöder infrastruktursäkerhet på är att inkludera säkerhetsgenomsökning innan infrastrukturen distribueras i molnet. När infrastrukturen blev kod skulle du sedan tillämpa samma säkerhetsåtgärder på infrastrukturen som programsäkerheten. Det finns säkerhetsverktyg tillgängliga för att köra säkerhetsgenomsökning av infrastruktur baserat på din valda IaC-strategi.

Med införandet av molnet är containerisering en populär metod som teamen tar i beslut om programarkitektur. Några av containerlagringsplatserna söker igenom avbildningar för att fånga paket med kända säkerhetsrisker. Det finns fortfarande en risk att en container har inaktuell programvara. På grund av den här risken är det viktigt att genomsöka containern efter säkerhetsrisker. Det finns gott om säkerhetsverktyg med öppen källkod och kommersiella säkerhetsverktyg som är inriktade på detta område och som stöder en nära integrering i CD-processen. Säkerhetsverktygen hjälper teamen att använda DevSecOps för infrastruktur som kod och mer specifikt lära sig hur man använder containrar.

Gå till produktion och arbeta

När lösningen går till produktion är det viktigt att fortsätta övervaka och hantera säkerhetstillståndet. I det här skedet av processen är det dags att fokusera på molninfrastrukturen och det övergripande programmet.

Genomsökning av konfiguration och infrastruktur

Om du vill ha insyn i molnprenumerationer och resurskonfiguration i flera prenumerationer använder du Azure-klientorganisationens säkerhetslösning från AzSK-teamet.

Azure innehåller övervaknings- och säkerhetsfunktioner. Dessa funktioner identifierar och varnar eventuella avvikande händelser eller konfigurationer som kräver undersökning och potentiella åtgärder. Tekniker som Microsoft Defender för molnet och Microsoft Sentinel är förstapartsverktyg som integreras internt i Azure-miljöer. Dessa tekniker kompletterar miljö- och kodsäkerhetsverktygen. Och teknikerna ger noggrann säkerhetsövervakning så att organisationer kan experimentera och förnya snabbt och säkert.

Intrångstestning

Intrångstestning är en rekommenderad metod för att söka efter eventuella säkerhetsrisker i infrastrukturen eller programkonfigurationen, vilket kan skapa svagheter som angripare kan utnyttja.

Många produkter och partner erbjuder tjänster för intrångstestning. Microsoft ger vägledning för intrångstestning i Azure.

Testning omfattar vanligtvis följande testtyper:

  • Tester på dina slutpunkter för att upptäcka sårbarheter
  • Fuzz-testning (hitta programfel genom att ange felaktiga indata) för dina slutpunkter
  • Portgenomsökning av dina slutpunkter

Åtgärdsbar intelligens

Verktygen och teknikerna i den här vägledningen erbjuder en holistisk säkerhetsmodell för organisationer som vill röra sig i takt och experimentera med ny teknik som syftar till att driva innovation. En viktig del av DevSecOps är datadrivna, händelsedrivna processer. De här processerna hjälper teamen att identifiera, utvärdera och reagera på potentiella risker. Många organisationer väljer att integrera aviseringar och användningsdata i sin IT-tjänsthanteringsplattform (ITSM). Teamet kan sedan använda samma strukturerade arbetsflöde till säkerhetshändelser som de använder för andra incidenter och begäranden.

Återkopplingsslingor

Skärmbild som visar den kontinuerliga säkerhetsmodellen.

Alla dessa tekniker och verktyg gör det möjligt för team att hitta och flagga risker och sårbarheter som kräver undersökning och potentiell lösning. Driftteam som får en avisering eller upptäcker ett potentiellt problem när de undersöker ett supportärende behöver en väg tillbaka till utvecklingsteamet för att flagga objekt för granskning. En smidig, samarbetsinriktad feedbackloop är avgörande för att snabbt åtgärda problem och minimera risken för en säkerhetsrisk så mycket som möjligt.

Ett vanligt mönster för feedback är att integrera den i ett arbetshanteringssystem för utvecklare, till exempel Azure DevOps eller GitHub. En organisation kan länka aviseringar eller incidenter till arbetsobjekt som utvecklare kan planera och vidta. Den här processen är ett effektivt sätt för utvecklare att lösa problem i sitt standardarbetsflöde, inklusive utveckling, testning och lansering.

Aktivera DevSecOps med Azure och GitHub

DevSecOps, som ibland kallas Secure DevOps, bygger på principerna för DevOps men sätter säkerheten i centrum för hela programlivscykeln. Det här konceptet kallas "skift-vänster-säkerhet": det flyttar säkerheten uppströms från ett produktionsspecifikt problem för att omfatta de tidiga stadierna av planering och utveckling. Varje team och person som arbetar med ett program måste överväga säkerhet.

Microsoft och GitHub erbjuder lösningar för att skapa förtroende för den kod som du kör i produktion. De här lösningarna inspekterar koden och tillåter dess spårbarhet till arbetsobjekten och insikterna om de komponenter från tredje part som används.

Skydda din kod med GitHub

Utvecklare kan använda kodgenomsökningsverktyg som snabbt och automatiskt analyserar koden på en GitHub-lagringsplats för att hitta säkerhetsrisker och kodfel.

Du kan söka igenom kod för att hitta, sortera och prioritera korrigeringar för befintliga problem. Kodgenomsökning hindrar också utvecklare från att införa nya problem. Du kan schemalägga genomsökningar för specifika dagar och tider eller utlösa genomsökningar när en specifik händelse inträffar på lagringsplatsen, till exempel en push-överföring. Du kan också spåra lagringsplatsens beroenden och ta emot säkerhetsaviseringar när GitHub identifierar sårbara beroenden.

Skapa och distribuera containrar med Azure Pipelines

Integrera Azure Pipelines- och Kubernetes-kluster med lätthet. Du kan använda samma YAML-dokument för att skapa pipelines som kod i flera steg för både kontinuerlig integrering och kontinuerlig leverans.

Azure Pipelines integrerar spårning av metadata i dina containeravbildningar, inklusive incheckningshashvärden och ärendenummer från Azure Boards, så att du kan inspektera dina program med säkerhet.

Möjligheten att skapa distributionspipelines med YAML-filer och lagra dem i källkontroll hjälper till att skapa en snävare feedbackslinga mellan utvecklings- och åtgärdsteam som förlitar sig på tydliga, läsbara dokument.

Köra och felsöka containrar med Bridge to Kubernetes

Det kan vara svårt att utveckla ett Kubernetes-program. Du behöver Docker- och Kubernetes-konfigurationsfiler. Du måste ta reda på hur du testar ditt program lokalt och interagerar med andra beroende tjänster. Du kan behöva utveckla och testa flera tjänster samtidigt och med ett team med utvecklare.

Med Bridge to Kubernetes kan du köra och felsöka kod på utvecklingsdatorn medan du fortfarande är ansluten till Kubernetes-klustret med resten av programmet eller tjänsterna. Du kan testa koden från slutpunkt till slutpunkt, träffa brytpunkter för kod som körs i klustret och dela ett utvecklingskluster mellan gruppmedlemmar utan interferens.

Framtvinga containersäkerhet med Microsoft Defender för containrar och Azure Policy

Microsoft Defender för containrar är den molnbaserade lösningen för att skydda dina containrar. Defender for Containers hjälper dig med fyra kärndomäner för containersäkerhet:

  • Hantering av säkerhetsstatus: Övervakar kontinuerligt moln- och Kubernetes-API:er för att identifiera resurser, identifiera felkonfigurationer, bedöma risker och stödja avancerad hotjakt via Defender for Clouds säkerhetsutforskare.

  • Sårbarhetsbedömning: Utför agentlösa genomsökningar av containeravbildningar, containrar som körs och Kubernetes-noder. Den erbjuder reparationsvägledning, dagliga genomsökningar och insikter om sårbarhet, med signerade resultat för autenticitet.

  • Run-Time Threat Protection: Identifierar hot i Kubernetes-miljöer med microsofts hotinformation, mappar risker till MITRE ATT&CK-ramverket och möjliggör undersökning och svar via Defender XDR.

  • Distribution och övervakning: Säkerställer att sensorer distribueras i Kubernetes-kluster, stöder standardövervakningsverktyg och hjälper till att hantera oövervakade resurser effektivt.

Hantera identiteter och åtkomst med Microsofts identitetsplattform

Microsofts identitetsplattform är en molnidentitetstjänst som gör att du kan skapa program som dina användare och kunder kan logga in på med sina Microsoft-identiteter eller sociala konton. Den tillåter åtkomst till dina egna API:er eller Microsoft-API:er som Microsoft Graph. Identitetsplattformen har stöd för utvecklare som skapar verksamhetsspecifika program (LOB) för en enda klientorganisation samt flerklients SaaS-program (programvara som en tjänst).

Microsofts identitetsplattform innehåller:

  • OAuth 2.0 och OpenID Connect (OIDC) standardkompatibel autentiseringstjänst: Detta gör det möjligt för utvecklare att autentisera flera identitetstyper, inklusive:

    • arbets- eller skolkonton som etablerats via Microsoft Entra-ID
    • Externa partner, konsumenter eller företagskunder med hjälp av Microsoft Entra External ID

  • Standardkompatibla bibliotek med öppen källkod: Microsoft Authentication Library (MSAL) ger inbyggt stöd för scenarier med villkorsstyrd åtkomst, funktioner för enkel inloggning (SSO) för dina användare, inbyggt stöd för cachelagring av token med mera. MSAL stöder de olika auktoriseringsbidrag och tokenflöden som används i olika programtyper och scenarier.

  • Slutpunkt för Microsofts identitetsplattform: OIDC-certifierad och fungerar med Microsoft Authentication Libraries (MSAL) eller något annat standardkompatibelt bibliotek för att implementera människovänliga omfång i enlighet med branschstandarder.

  • Programhantering:

    • Programregistrering och konfiguration via administrationscentret för Microsoft Entra
    • Programmatisk konfiguration av dina program via Microsoft Graph API och PowerShell så att du kan automatisera dina DevOps-uppgifter.

Microsofts identitetsplattform erbjuder integrering av moderna innovationer inom identitets- och säkerhetsutrymmet som lösenordslös autentisering, stegvis autentisering och villkorsstyrd åtkomst. Du behöver inte implementera sådana funktioner själv. Program som är integrerade med Microsofts identitetsplattform drar nytta av sådana innovationer.

Hantera nycklar och hemligheter med Azure Key Vault

Azure Key Vault kan användas för att lagra och styra åtkomsten till token, lösenord, certifikat, API-nycklar och andra hemligheter på ett säkert sätt. Genom att centralisera lagringen av programhemligheter i Key Vault kan du styra deras distribution. Key Vault minskar kraftigt risken för att hemligheter sprids av misstag. När du använder Key Vault behöver programutvecklare inte längre lagra säkerhetsinformation i sitt program, vilket eliminerar behovet av att göra den här informationen till en del av koden. Ett program kan till exempel behöva ansluta till en databas. Istället för att lagra anslutningssträngen i appkoden så kan du lagra den säkert i Key Vault.

Övervaka dina program

Med Azure Monitor kan du övervaka både ditt program och din infrastruktur i realtid, identifiera problem med din kod och potentiella misstänkta aktiviteter och avvikelser. Azure Monitor integreras med utgivningspipelines i Azure Pipelines för att möjliggöra automatiskt godkännande av kvalitetskriterier eller återställning av utgivningar baserat på övervakningsdata.