总结

已完成

从代码部署所有基础结构并使用管道自动化部署过程时，将基础结构定义为代码可为你带来最大的好处。

在本模块中，你了解了如何规划环境，以便战略性地将控制措施面向影响最大的方面。 然后，由于部署管道和代码非常重要，所以你学习了如何对管道和存储库应用控件。 最后，你学习了如何配置 Azure 环境，以确保使用已批准的过程来部署所有更改，同时仍允许紧急访问。

本模块的目的是增加你对 Azure 部署的信心，以及提高该部署的安全性。 本模块帮助你确保更改遵循一致的过程，经过审核和记录，并且只能由授权用户执行。

更多资源

• 详细了解平台自动化的注意事项。
• 若要详细了解部署过程的治理，请参考：
  • 使用 CI/CD 时 Azure 中的端到端治理
  • Azure 云采用框架中的 DevOps 注意事项。
• 详细了解 Azure 登陆区域。
• 有关使用 Bicep 部署 Azure 资源的指南，请参考：
  • 使用 Bicep 创建 Azure RBAC 资源
  • 使用 Bicep 管理机密
  • 使用 Bicep 创建虚拟网络资源

保护存储库和管道

若要详细了解如何保护和强化 Azure DevOps 和 GitHub 环境，请查看以下资源：

• 管理用户、组和权限：
  • 条件访问
  • 多重身份验证
  • Microsoft Entra SSO 与 GitHub Enterprise Cloud 组织的集成
• 保护重要的代码分支：
  • Azure Repos 分支策略
  • GitHub 中受保护的分支
• 保护管道的服务主体：
  • 托管标识
  • 工作负荷联合身份验证
  • GitHub Actions 工作流的工作负载联合身份验证
  • Azure DevOps 安全
• 在 Azure DevOps 中使用审核日志
• 保护 Azure Pipelines
• 使用第三方操作
• 使用 GitHub 安全功能：
  • GitHub Actions 的安全强化
  • Dependabot
  • 机密扫描
  • GitHub 安全概述

保护 Azure 环境

Azure 安全性和治理包括许多元素。 以下链接提供有关本模块中介绍的主题的详细信息：

• Microsoft Entra ID 中的 Break-glass 帐户
• Microsoft Entra Privileged Identity Management
  • 什么是 Privileged Identity Management 以及为什么使用它？ （博客）
  • Privileged Identity Management 文档
• Microsoft Sentinel