まとめ

• 2 分

インフラストラクチャをコードとして定義すると、コードから "すべて" のインフラストラクチャをデプロイし、パイプラインを使用してデプロイ プロセスを自動化するときに、最大限の利点が得られます。

このモジュールでは、最も影響が大きい制御を戦略的にターゲットにできるように、環境を計画する方法について学習しました。 次に、デプロイ パイプラインとコードが非常に重要であることから、パイプラインとリポジトリに制御を適用する方法を学習しました。 最後に、緊急アクセスを許可しつつも、承認されたプロセスを使用して、すべての変更が確実にデプロイされるように Azure 環境を構成する方法について学習しました。

このモジュールの目的は、Azure デプロイに対する自信を高めるとともに、セキュリティを向上させることです。 このモジュールを学習したことで確実に、一貫したプロセスに従って変更を行い、変更が監査およびログ記録され、承認されたユーザーによってのみ実行されるようになりました。

その他のリソース

• プラットフォームの自動化に関する考慮事項の詳細について学習します。
• デプロイ プロセスのガバナンスの詳細については、次を参照してください。
  • CI/CD を使用する場合の Azure でのエンドツーエンド ガバナンス
  • Azure のクラウド導入フレームワークでの DevOps に関する考慮事項。
• Azure ランディング ゾーンについてさらに学習する。
• Bicep を使用した Azure リソースのデプロイに関するガイダンスについては、次を参照してください。
  • Bicep を使用して Azure RBAC リソースを作成する
  • Bicep を使用してシークレットを管理する
  • Bicep を使って仮想ネットワーク リソースを作成する

リポジトリとパイプラインをセキュリティで保護する

Azure DevOps 環境と GitHub 環境のセキュリティ保護と強化の詳細については、次のリソースを確認してください。

• ユーザー、グループ、およびアクセス許可を管理する:
  • 条件付きアクセス
  • 多要素認証
  • Microsoft Entra SSO と GitHub Enterprise Cloud Organization の統合
• 重要なコード ブランチを保護する:
  • Azure Repos ブランチ ポリシー
  • GitHub の保護されたブランチ
• パイプラインのサービス プリンシパルをセキュリティで保護する:
  • マネージド ID
  • ワークロード ID フェデレーション
  • GitHub Actions ワークフローのワークロード ID フェデレーション
  • Azure DevOps セキュリティ
• Azure DevOps で監査ログを使用する
• Azure Pipelines をセキュリティで保護する
• サード パーティのアクションを使用する
• GitHub セキュリティ機能を使用する:
  • GitHub Actions のセキュリティ強化
  • Dependabot
  • シークレット スキャン
  • GitHub セキュリティの概要

Azure 環境のセキュリティ保護

Azure のセキュリティとガバナンスには、多くの要素が含まれています。 このモジュールで紹介されているサブジェクトの詳細については、次のリンクから確認できます。

• Microsoft Entra ID の非常事態用アカウント
• Microsoft Entra Privileged Identity Management
  • Privileged Identity Management とその使用目的とは? (ブログ)
  • Privileged Identity Management のドキュメント
• Microsoft Sentinel