Résumé
N’oubliez pas que l’équipe Contoso DevOps déploie des comptes de stockage sans l’indicateur HTTPS uniquement ? À présent, la configuration manquante n’atteint jamais la production. Un développeur ouvre une demande de tirage (pull request) avec un modèle Bicep, l’action Sécurité Microsoft DevOps exécute Template Analyzer et Checkov, et la recherche de sécurité s’affiche sous la forme d’une annotation en ligne dans l’examen de la demande de tirage. Le développeur corrige la configuration avant la fusion, et même s’il a essayé de déployer manuellement le modèle non conforme, l’effet Azure Policy Refuser le bloque au niveau de la couche Azure Resource Manager.
Vous avez configuré Sécurité Microsoft DevOps pour analyser l’infrastructure en tant que code dans votre pipeline CI/CD, en exposant les résultats directement dans les demandes de tirage et en alimentant les recommandations dans Defender for Cloud. Pour les référentiels sans intégration de pipeline, vous avez activé l’analyse sans agent pour exécuter des vérifications de sécurité quotidiennes avec zéro changement de flux de travail. Vous avez appliqué les effets "Refuser" d'Azure Policy pour créer une couche de contrôle au niveau de la plateforme qui empêche les déploiements non conformes, quels que soient leurs déclencheurs. Enfin, vous avez exploré la stratégie d’entreprise en tant que code (EPAC) pour la gestion des définitions et affectations de stratégie au niveau du groupe d’administration via le contrôle de code source et le déploiement continu.
Vous avez terminé votre implémentation de la gouvernance de la sécurité et de la conformité réglementaire. L’équipe Contoso a commencé avec les ressources déployées sans configurations de sécurité. Contoso avait des coffres de sauvegarde dépourvus de protection contre la suppression, 37 identités ayant un accès excessif et aucune révision de sécurité automatisée pour l’infrastructure en tant que code. Dans ce parcours d’apprentissage, vous avez mis en place des verrous d'application de politiques et des verrous de ressources, standardisé des bases de référence de conformité, ajusté le contrôle d'accès basé sur les rôles, protégé l'infrastructure de sauvegarde, et désormais empêché le déploiement de configurations non sécurisées dès le départ.