Най-добри практики за сигурност на Azure за DevOps и непрекъсната интеграция/непрекъснато внедряване (CI/CD)
Въведение
DevOps и CI/CD спомагат за подобряване на скоростта, качеството и надеждността на доставката на софтуер; тези практики обаче въвеждат и нови рискове за сигурността. Тази статия обсъжда някои най-добри практики за сигурност на Azure за DevOps и CI/CD, които могат да ви помогнат да защитите вашата Azure DevOps среда и да защитите вашите приложения от атака.
Непрекъснато тестване
В допълнение към доставянето на код, CI/CD също ви позволява да използвате тестване с изместване наляво и да разработите стратегия за непрекъснато тестване. Превръщането на тестването в необходима стъпка във вашата работа ви позволява да намерите начини да проверите сигурността, преди да използвате CI/CD канали за внедряване на версии в среди.
Ограничете привилегиите за достъп
Дайте на потребителите и приложенията само минималните разрешения за достъп, от които се нуждаят, за да изпълняват работата си. Повторните привилегии включват скриване на API ключове и ясно дефиниране на идентификационни данни за сигурност въз основа на роли и проекти в CI/CD инструменти. Използването на ролеви контрол на достъпа (RBAC) може да помогне с това, тъй като е мощен инструмент, който ви позволява да контролирате кой има достъп до какво в Azure DevOps. Това ще помогне за опростяване на вашите процеси и намаляване на риска от неупълномощен достъп до вашите ресурси на Azure DevOps.
Защитете мрежата си
Това включва създаване на списък с разрешени за ограничаване на конкретни IP адреси, винаги използване на криптиране и валидиране на сертификати. Трябва също така да приложите a защитна стена за уеб приложение (WAF) за филтриране, наблюдение и блокиране на злонамерен уеб базиран трафик към и от Azure DevOps. Също така е много важно да се приложи Процес на управление на инциденти.
Осигурете вашите идентификационни данни за внедряване
Твърдо кодираните идентификационни данни и тайни не трябва да присъстват в конвейери или хранилища на източници. Вместо това трябва да ги съхранявате на сигурно място като Azure Key Vault. Освен това тръбопроводите трябва да се управляват с помощта на принципи за сигурност без глава, като управлявани самоличности или принципали на услуги, а не с вашата собствена парола.
Заключение
В заключение, следването на най-добрите практики в тази статия ще ви позволи безопасно да доставяте софтуер на ранна и непрекъсната основа. По този начин можете по-добре да защитите своята Azure DevOps среда.
