Azure drošības paraugprakse DevOps un nepārtrauktai integrācijai/nepārtrauktai izvietošanai (CI/CD)
Ievads
DevOps un CI/CD palīdz uzlabot programmatūras piegādes ātrumu, kvalitāti un uzticamību; tomēr šī prakse rada arī jaunus drošības riskus. Šajā rakstā ir aplūkotas dažas Azure drošības paraugprakses DevOps un CI/CD, kas var palīdzēt aizsargāt Azure DevOps vidi un aizsargāt lietojumprogrammas no uzbrukumiem.
Nepārtraukta pārbaude
Papildus koda piegādei CI/CD ļauj izmantot arī testēšanu pa kreisi un izstrādāt nepārtrauktas testēšanas stratēģiju. Padarot testēšanu par nepieciešamo savā darbā, varat atrast veidus, kā pārbaudīt drošību pirms CI/CD konveijera izmantošanas laidienu izvietošanai vidēs.
Ierobežot piekļuves privilēģijas
Piešķiriet lietotājiem un lietojumprogrammām tikai minimālās piekļuves atļaujas, kas tām nepieciešamas, lai veiktu savus darbus. Privilēģiju ierobežošana ietver API atslēgu slēpšanu un skaidru drošības akreditācijas datu definēšanu, pamatojoties uz lomām un projektiem CI/CD rīkos. Uz lomu balstītas piekļuves kontroles (RBAC) izmantošana var palīdzēt šajā jautājumā, jo tas ir spēcīgs rīks, kas ļauj kontrolēt, kam ir piekļuve kādam Azure DevOps. Tas palīdzēs vienkāršot procesus un samazināt nesankcionētas piekļuves risku jūsu Azure DevOps resursiem.
Nodrošiniet savu tīklu
Tas ietver atļauju saraksta iestatīšanu, lai ierobežotu noteiktas IP adreses, vienmēr izmantojot šifrēšanu un sertifikātu validāciju. Jums vajadzētu arī ieviest a tīmekļa lietojumprogrammu ugunsmūris (WAF) lai filtrētu, pārraudzītu un bloķētu jebkādu ļaunprātīgu tīmekļa trafiku uz Azure DevOps un no tās. Ir arī ļoti svarīgi īstenot an Incidentu pārvaldības process.
Nodrošiniet savus izvietošanas akreditācijas datus
Cietie kodētie akreditācijas dati un noslēpumi nedrīkst atrasties konveijeros vai avotu krātuvēs. Tā vietā glabājiet tos drošā vietā, piemēram, Azure Key Vault. Turklāt cauruļvadi ir jādarbina, izmantojot bezgalvas drošības principus, piemēram, pārvaldītās identitātes vai pakalpojumu principus, nevis ar savu paroli.
Secinājumi
Noslēgumā jāsaka, ka šajā rakstā sniegtās paraugprakses ievērošana ļaus droši piegādāt programmatūru agrīnā un nepārtrauktā režīmā. To darot, varat labāk aizsargāt savu Azure DevOps vidi.
