Najboljše prakse Azure Security za DevOps in stalno integracijo/neprekinjeno uvajanje (CI/CD)
Predstavitev
DevOps in CI/CD pomagata izboljšati hitrost, kakovost in zanesljivost dostave programske opreme; vendar te prakse predstavljajo tudi nova varnostna tveganja. Ta članek obravnava nekatere najboljše varnostne prakse Azure za DevOps in CI/CD, ki vam lahko pomagajo zavarovati okolje Azure DevOps in zaščititi vaše aplikacije pred napadi.
Kontinuirano testiranje
Poleg zagotavljanja kode vam CI/CD omogoča tudi uporabo testiranja s premikanjem v levo in razvoj strategije neprekinjenega testiranja. Če naj bo testiranje nujen korak pri vašem delu, boste našli načine za preverjanje varnosti pred uporabo cevovodov CI/CD za uvajanje izdaj v okolja.
Omejite privilegije dostopa
Uporabnikom in aplikacijam dajte le minimalna dovoljenja za dostop, ki jih potrebujejo za opravljanje svojega dela. Privilegiji ponovnega nizanja vključujejo skrivanje ključev API in jasno definiranje varnostnih poverilnic na podlagi vlog in projektov v orodjih CI/CD. Uporaba nadzora dostopa na podlagi vlog (RBAC) vam lahko pomaga pri tem, saj je zmogljivo orodje, ki vam omogoča nadzor nad tem, kdo ima dostop do česa v Azure DevOps. To bo pomagalo poenostaviti vaše procese in zmanjšati tveganje nepooblaščenega dostopa do vaših virov Azure DevOps.
Zavarujte svoje omrežje
To vključuje nastavitev seznama dovoljenih za omejitev določenih naslovov IP, vedno uporabo šifriranja in preverjanje potrdil. Prav tako bi morali izvajati a požarni zid spletne aplikacije (WAF) za filtriranje, spremljanje in blokiranje zlonamernega spletnega prometa v in iz Azure DevOps. Zelo pomembno je tudi izvajanje an Proces obvladovanja incidentov.
Zavarujte svoje poverilnice za uvajanje
Trdo kodirane poverilnice in skrivnosti ne smejo biti prisotne v cevovodih ali izvornih repozitorijih. Namesto tega jih hranite na varnem mestu, kot je Azure Key Vault. Poleg tega je treba cevovode upravljati z brezglavimi varnostnimi principali, kot so upravljane identitete ali servisni principali, ne z vašim lastnim geslom.
zaključek
Skratka, upoštevanje najboljših praks v tem članku vam bo omogočilo zgodnjo in neprekinjeno varno dostavo programske opreme. S tem lahko bolje zaščitite svoje okolje Azure DevOps.
