Azure Security najbolje prakse za DevOps i kontinuiranu integraciju/kontinuiranu implementaciju (CI/CD)
Uvod
DevOps i CI/CD pomažu u poboljšanju brzine, kvaliteta i pouzdanosti isporuke softvera; međutim, ove prakse uvode i nove sigurnosne rizike. Ovaj članak govori o nekim najboljim Azure sigurnosnim praksama za DevOps i CI/CD koje vam mogu pomoći da osigurate svoje Azure DevOps okruženje i zaštitite svoje aplikacije od napada.
Kontinuirano testiranje
Uz isporuku koda, CI/CD vam također omogućava korištenje testiranja s pomakom ulijevo i razvoj strategije kontinuiranog testiranja. Učinite testiranje neophodnim korakom u vašem radu omogućava vam da pronađete načine za provjeru sigurnosti prije korištenja CI/CD cjevovoda za implementaciju izdanja u okruženja.
Ograničite privilegije pristupa
Korisnicima i aplikacijama dajte samo minimalne dozvole pristupa koje su im potrebne za obavljanje svojih poslova. Ponovno postavljanje privilegija uključuje skrivanje API ključeva i jasno definiranje sigurnosnih vjerodajnica na osnovu uloga i projekata u CI/CD alatima. Upotreba kontrole pristupa zasnovane na ulogama (RBAC) može pomoći u tome, jer je moćan alat koji vam omogućava da kontrolišete ko ima pristup čemu u Azure DevOps-u. To će vam pomoći da pojednostavite svoje procese i smanjite rizik od neovlaštenog pristupa vašim Azure DevOps resursima.
Osigurajte svoju mrežu
Ovo uključuje postavljanje liste dozvoljenih za ograničavanje određenih IP adresa, uvijek koristeći šifriranje i provjeru valjanosti certifikata. Također biste trebali implementirati a firewall web aplikacije (WAF) za filtriranje, praćenje i blokiranje zlonamjernog web-baziranog prometa ka i iz Azure DevOps-a. Takođe je veoma važno implementirati Proces upravljanja incidentima.
Osigurajte svoje vjerodajnice za implementaciju
Čvrsto kodirane vjerodajnice i tajne ne bi trebale biti prisutne u cjevovodima ili izvornim spremištima. Umjesto toga, trebali biste ih držati na sigurnom mjestu kao što je Azure Key Vault. Dodatno, cjevovodima treba upravljati korištenjem bezglavih sigurnosnih principa, kao što su upravljani identiteti ili principali usluga, a ne pomoću vaše vlastite lozinke.
zaključak
U zaključku, praćenje najboljih praksi u ovom članku omogućit će vam bezbednu isporuku softvera na ranoj i kontinuiranoj osnovi. Na taj način možete bolje osigurati svoje Azure DevOps okruženje.
