Geliştirici iş akışınıza Sıfır Güven güvenlik ekleme

Bir geliştirici olarak, hızla hareket etmek için kendinizi güvende ve güvende hissetmeniz gerekir. Kodunuzu kopyaladığınız anda güvenlik gereksinimi başlar. Bu makalede, hızlı ve güvenli bir şekilde yenilik yapmak için Sıfır Güven ilkelerini kullanarak geliştirmeyi öğreneceksiniz. Sıfır Güven güvenlik stratejisi ve uygulamaları tasarlama ve uygulama yaklaşımı şu ilkelerden oluşur:

• Açıkça doğrulayın. Tüm kullanılabilir veri noktalarına göre her zaman kimlik doğrulaması ve yetkilendirme.
• En az ayrıcalık erişimi kullanın. Tam Zamanında ve Yeterli Erişim (JIT/JEA), risk tabanlı uyarlamalı ilkeler ve veri koruması ile kullanıcı erişimini sınırlayın.
• İhlal olduğunu varsayalım. Patlama yarıçapı ve segment erişimini en aza indirin. Uçtan uca şifrelemeyi doğrulayın ve görünürlük elde etmek, tehdit algılamayı yönlendirmek ve savunmayı geliştirmek için analiz kullanın.

İş akışınıza güvenlik eklemek şunları oluşturmanıza yardımcı olur:

• Güvenlik açıklarını daha hızlı belirleyin.
• Daha güvenli geliştirici araçları sağlayın.
• Güvenlik ve geliştirme ekipleri arasındaki işbirliğini geliştirmek için bağlantılar oluşturun.

Kod oluştururken iş akışınızda yenilik yapın ve güvenliğini sağlayın

Aşağıdaki diyagramda gösterilen Microsoft'un birleşik çözümü, koddan buluta geliştirmeyi hızlandırmanıza ve güvenliğini sağlamanıza yardımcı olmak için DevOps ve SecOps ekipleri arasında köprüler oluşturur.

Diyagram başlığı: Microsoft birleşik bir çözüm sağlar. Diyagram alt başlığı: Koddan buluta geliştirmeyi hızlandırmanıza ve güvenliğini sağlamanıza yardımcı olur. Listelenen teknolojiler: Visual Studio Code, GitHub Codespaces, Visual Studio, Microsoft DevBox, GitHub Advanced Security, Azure Pipelines, GitHub Actions, Microsoft Entra ID, Azure.

DevOps'u korumaya yönelik çözümümüz iki ana bileşene dayanır: geliştiricilere yenilikleri güçlendiren araçlar sağlamak ve geliştiriciler kod oluştururken geliştirici iş akışının güvenliğini sağlamak. Bu bileşenlerin geliştirme ortamınızın güvenliğini nasıl sağlayabileceğini öğrenmek için Microsoft Build 2022'denKodunuzu bulut geliştirmesine hızlandırma ve güvenliğini sağlama oturumunu izleyin.

Geliştirme çözümünüzün güvenliğini sağlamak için Azure ve GitHub'da birlikte çalışan aşağıdaki en iyi yöntemleri uygulayın.

• Geliştiriciler kod kopyaladığında güvenlik başladığından , DevOps ve SecOps ekipleri arasında köprü oluşturmak ve geliştirme ortamlarınızın güvenliğini sağlamak için Azure ve GitHub ile DevSecOps'ı etkinleştirin.
• Visual Studio ve Visual StudioCode ile tüm geliştirici, dil ve yığınlar için esnek ve güçlü geliştirici araçları sağlayın.
• GitHub Codespaces ve Microsoft Dev Box kullanarak bulutta geliştirme yaşam döngüsü aracının tamamıyla yeni geliştirici ekleme ve işbirliğini basitleştirin.
• Artık birden fazla konuma dağıtmadığınız kodlar için yerleşik fikri mülkiyet koruması ekleyin. GitHub Actions ve Azure Pipelines ile ekiplerinizin istedikleri yerde işbirliği yapmasına, kod geliştirmelerine, otomatikleştirmelerine ve dağıtmalarına yardımcı olun.
• GitHub Gelişmiş Güvenlik'i kullanarak kod tarama, gizli dizi tarama ve bağımlılık incelemesi ile geliştirici iş akışında güvenlik yönergelerini ve sürekli güvenlik geri bildirimlerini alın.
• Microsoft Entra Id'deki kimlik yönetimi hizmetlerini kullanarak kuruluşunuz genelinde sıfır güven güvenliği sağlayın.

Sıfır Güven güvenliği geliştirme yaşam döngünüze sığdırma

Dağıtım ve çalıştırma ve izleme aracılığıyla işlemeye kadar tüm geliştirme yaşam döngüsü aşamalarınızda güvenlik çözümlerine ihtiyacınız vardır.

Ön komut aşaması

• Tehdit modelleme
• IDE güvenlik eklentisi
• Ön komut kancaları
• Güvenli kodlama standartları
• Eş gözden geçirme

Kod hatalarının yüzde seksen beşi geliştirme öncesi aşamasında, çoğunlukla insan hatasından kaynaklanır. Güvenlik açıklarını belirlemek ve kodun güvenliğini sağlamak için kodunuzu Visual Studio Code, Visual Studio veya GitHub Codespaces'a yazarak kodunuzu işlemeden önce güvenliğe odaklanın. Güvenli kodlama uygulamalarını teşvik etmek için eş gözden geçirmelerini kullanın.

İşleme (CI) aşaması

• Statik kod analizi
• Güvenlik birimi testleri
• Bağımlılık yönetimi
• Kimlik bilgisi taraması

İşleme aşamasında kodunuzu gözden geçirmek (statik kod analizi dahil) ve kaynak denetiminizde denetlerken kodunuzu taramak için kapsamlı güvenlik yöntemleri kullanın. Kod tabanına yanlışlıkla tanıtabileceğiniz kimlik bilgilerini kullanıma açmak için kimlik bilgisi taramasını (gizli dizi tarama veya belirteç taraması olarak da bilinir) kullanın. Bağımlılık gözden geçirmesi ile ortamınıza tanıtmadan önce güvenli olmayan bağımlılıkları yakalayın.

Dağıtma (CD) aşaması

• Kod olarak altyapı (IaC) taraması
• Dinamik güvenlik taraması
• Bulut yapılandırma denetimleri
• Güvenlik kabul testleri

Dağıtım aşamasında kod tabanınızın genel durumuna bakın ve riskleri belirlemek için üst düzey güvenlik taraması gerçekleştirin. Kurumsal güvenlik hedefleriyle uyumlu olduğundan emin olmak için bulut yapılandırma denetimleri, altyapı kod denetimleri ve güvenlik kabul testleri gerçekleştirin.

Çalışma ve izleme aşaması

• Sürekli izleme
• Tehdit bilgileri
• Suçsuz otopsiler

Çalışma ve izleme aşamasında, zaman içinde devralabileceğiniz genel bağımlılık güvenlik açıklarını azaltmak için sürekli izleme ve tehdit bilgilerini kullanın. Alınan dersleri almak ve DevOps döngünüzde yinelemeye devam etmek için otopsiler yapın.

Bağımlılık, kod ve gizli dizi taraması uygulama

Geliştiricilerin kod güvenliğini kolaylaştırmak için yerel ve otomatik özellikleri kullanarak geliştirme yaşam döngünüz boyunca sürekli güvenlik özellikleriyle sürekli geri bildirim sağlayın. GitHub Gelişmiş Güvenlik bağımlılık tarama, kod tarama ve gizli dizi tarama ile geliştiricilere ve topluluklara genel güvenlik sağlayın.

Bağımlılık taraması

• Bağımlılıkların tümleşik gözden geçirilmesi
• Uyarılar ve güvenlik güncelleştirmeleri

Sürekli bağımlılık taramasıyla kod tabanınızdaki güvenlik açığı bulunan bağımlılıklara karşı risk düzeylerini ve otomatik düzeltmeleri alın. Sürekli bir süreç olarak, geliştiricilerinizi kolay ve göze çarpmayan bir şekilde doğru yönde iter.

Kod tarama

• Kod tarama için genişletilebilir çerçeve
• Geliştirici iş akışıyla tümleştirilmiş
• Sektör lideri CodeQL altyapısı tarafından desteklenen

Ayrı konumlarda çalıştırılacak başka bir adım olmadan kod oluştururken kod taramayı uygulayın. Tarama sonuçlarını tanıdık GitHub kullanıcı deneyiminizde görüntüleyerek geliştirme yaşam döngünüzün başlarında düzeltmeleri kolaylaştırın.

Gizli dizi taraması

• Genel ve özel depolarda sızdırılan gizli dizileri tarama
• 40'ın üzeri sağlayıcıyla ortaklık
• Anında iletme koruması
  • Düzeltmeden önlemeye geçme
  • Yüksek güvenilirlikli gizli dizileri denetleme
  • Tek bir seçimle korumayı etkinleştirme

Gizli dizi taramasıyla kodunuzu sabit kodlanmış kimlik bilgileri ve belirteçler için tarayın. Kod tabanınıza göndermeden önce gizli diziler ve belirteçler için anında iletme koruması taramaları. Geliştiriciler kod göndererek GitHub gizli dizi tanımladığında gönderimi engelleyen yüksek güvenilirlikli gizli dizileri denetleyin.

İş yükü kimliklerini yönetme ve güvenliğini sağlama

• Yaşam Döngüsü yönetimi
• Erişim idaresi
• Güvenli uyarlamalı erişim

İş yükü kimliklerinizin etkinliğine ilişkin görünürlük elde edin ve düzenli temizlemeyi etkinleştirin. İş yükü kimliklerinin kime ait olduğunu ve bu bilgileri kuruluş değişiklikleri arasında nasıl güncel tutabileceğinizi belirleyin. İş yükü kimliklerini en son ne zaman kullandığınızı, belirteçleri en son ne zaman yayımladığınızda ve belirteçlerin süresinin ne zaman dolduğunda izleyin.

Sızdırılan gizli diziler ve kimlik bilgileri olasılığını azaltmak için düzenli aralıklarla erişim gözden geçirmeleri gerçekleştirin. Kullanıcıların iş yükü kimliklerini gözden geçirmesini ve gereksiz erişim ayrıcalıklarını kaldırmasını zorunlu kılar. Kullanıcıların fazla ayrıcalıklı ve az kullanılan erişim ayrıcalıklarını bildirmelerini sağlayın. İş yükü kimliklerini ihlallere karşı nasıl koruyabileceğinizi tartışın. Erişimin beklenen kaynaklardan kaynaklandığından emin olmak için koşullu erişimi etkinleştirin.

GitHub OIDC ve Microsoft Entra İş Yükü Kimliği Federasyonu ile kimliklerin güvenliğini sağlama

Kuruluşunuzun güvenliğini daha da sağlamak için Microsoft Entra İş Yükü Kimliği Federasyonu ile GitHub OpenID Connect (OIDC) kullanın ve gizli dizileri depolama ve erişim gereksinimini en aza indirin. Süresi dolan kimlik bilgileri nedeniyle hizmet kapalı kalma süresini en aza indirmek için Azure sunucu sorumlusu gizli dizilerini ve diğer uzun süreli bulut kimlik bilgileri kaynaklarını güvenli bir şekilde yönetin. Uygulamalarınızı güvenli bir şekilde oluşturmak için GitHub Actions gibi geliştirici platformlarıyla tümleştirin.

Aşağıdaki diyagramda gösterilen önerilen İş Yükü Kimliği Federasyonu iş akışımız altı adımdan oluşur.

1. Microsoft Entra Kimliği'nde güveni ayarlayın ve bir belirteç isteyin.
2. GitHub iş akışını, eylemlerin belirteci almasına izin verecek şekilde yapılandırın.
3. GitHub iş akışı Azure kimliğine bir istek gönderir.
4. Microsoft Entra Id uygulamadaki güveni doğrular ve belirteci doğrulamak için anahtarları getirir.
5. Microsoft Entra Id belirteci erişir ve verir.
6. Dağıtma eylemi, Azure'daki kaynaklara dağıtmak için Microsoft Entra erişim belirtecini kullanır.

Kıdemli Bulut Danışmanı ve DevOps Uygulama Lideri April Edwards'ın İş Yükü Kimliği Federasyonu iş akışının tanıtımını izleyin. Tanıtım, Microsoft Build 2022 oturumunda 19:14'te başlar ve kodunuzu bulut geliştirme için hızlandırın ve güvenliğini sağlayın.

Sonraki adımlar

• Azure'da çalışmaya başlama süresini hızlandıran açık kaynak bir araç olan Azure Geliştirici CLI'ya kaydolun.
• Azure'ı GitHub'ın OIDC'sine federasyon kimliği olarak güvenecek şekilde yapılandırın. OpenID Connect (OIDC), GitHub Actions iş akışlarınızın Azure kimlik bilgilerini uzun ömürlü GitHub gizli dizileri olarak depolamaya gerek kalmadan Azure'daki kaynaklara erişmesine olanak tanır.
• Microsoft Entra ID'yi merkezi bir kimlik yönetim sistemi olarak kullanarak 22-09 numaralı mutabakat anlaşmasında açıklandığı gibi Sıfır Güven ilkelerini uygulayın (ABD yönetim emri 14028'i desteklemek, Ulusun Siber Güvenliğini Geliştirmek için).
• Geliştiricilere bulut deneyimi için en hızlı ve en güvenli kodu sunan araçlarla Azure DevOps ile kodunuzu hızlandırın ve güvenliğini sağlayın.
• Geliştirici ortamının güvenliğini sağlama , en az ayrıcalık, dal güvenliği ve güven araçları, uzantıları ve tümleştirmeleri için en iyi yöntemlerle geliştirme ortamlarınızda Sıfır Güven ilkelerini uygulamanıza yardımcı olur.
• Sıfır Güven için Güvenli DevOps ortamları , bilgisayar korsanlarının geliştirici kutularını tehlikeye atmasını, yayın işlem hatlarına kötü amaçlı betikler bulaştırmasını ve test ortamları aracılığıyla üretim verilerine erişim kazanmasını önlemek için DevOps ortamlarınızın güvenliğini sağlamaya yönelik en iyi yöntemleri açıklar.
• Belirteçleri Özelleştirin, Microsoft Entra belirteçlerinde alabileceğiniz bilgileri tanımlar. En az ayrıcalıkla uygulama sıfır güven güvenliğini artırırken esnekliği ve denetimi geliştirmek için belirteçlerin nasıl özelleştirileceği açıklanır.
• Belirteçlerde grup taleplerini ve uygulama rollerini yapılandırma , uygulama rol tanımlarıyla uygulamalarınızı yapılandırmayı ve uygulama rollerine güvenlik grupları atamayı gösterir. Bu yöntemler, en az ayrıcalıkla uygulama sıfır güven güvenliğini artırırken esnekliği ve denetimi geliştirmeye yardımcı olur.