„Azure“ saugos geriausia „DevOps“ ir nuolatinio integravimo / nuolatinio diegimo (CI / CD) praktika
Įvadas
DevOps ir CI/CD padeda pagerinti programinės įrangos pristatymo greitį, kokybę ir patikimumą; tačiau ši praktika taip pat kelia naujų saugumo pavojų. Šiame straipsnyje aptariamos kai kurios geriausios „Azure“ saugos praktikos, skirtos „DevOps“ ir CI / CD, kurios gali padėti apsaugoti „Azure DevOps“ aplinką ir apsaugoti programas nuo atakų.
Nuolatinis testavimas
Be kodo pateikimo, CI/CD taip pat leidžia naudoti testavimą perjungus į kairę ir sukurti nuolatinę testavimo strategiją. Testavimą padarę būtinu savo darbo žingsniu, galite rasti būdų, kaip patikrinti saugą prieš naudojant CI / CD konvejerius diegiant leidimus aplinkoje.
Apriboti prieigos teises
Suteikite vartotojams ir programoms tik minimalius prieigos leidimus, kurių jiems reikia savo darbams atlikti. Privilegijų apribojimas apima API raktų slėpimą ir aiškų saugos kredencialų apibrėžimą, pagrįstą vaidmenimis ir projektais CI / CD įrankiuose. Tai gali padėti naudoti vaidmenimis pagrįstą prieigos valdymą (RBAC), nes tai yra galingas įrankis, leidžiantis valdyti, kas turi prieigą prie „Azure DevOps“. Tai padės supaprastinti procesus ir sumažinti neteisėtos prieigos prie „Azure DevOps“ išteklių riziką.
Apsaugokite savo tinklą
Tai apima leidžiamųjų sąrašo nustatymą, siekiant apriboti konkrečius IP adresus, visada naudojant šifravimą ir patvirtinti sertifikatus. Taip pat turėtumėte įgyvendinti a žiniatinklio programų ugniasienė (WAF) filtruoti, stebėti ir blokuoti bet kokį kenkėjišką žiniatinklio srautą į Azure DevOps ir iš jo. Taip pat labai svarbu įgyvendinti an Incidentų valdymo procesas.
Apsaugokite savo diegimo kredencialus
Konvejeriuose arba šaltinio saugyklose neturėtų būti užkoduotų kredencialų ir paslapčių. Vietoj to turėtumėte juos laikyti saugioje vietoje, pvz., „Azure Key Vault“. Be to, vamzdynai turėtų būti valdomi naudojant begalinius saugos principus, pvz., valdomas tapatybes arba paslaugų principus, o ne savo slaptažodį.
Išvada
Apibendrinant galima pasakyti, kad vadovaudamiesi geriausios praktikos pavyzdžiais šiame straipsnyje galėsite saugiai pristatyti programinę įrangą anksti ir nuolat. Tai darydami galite geriau apsaugoti savo Azure DevOps aplinką.
