Рекомендации по безопасности Azure для DevOps и непрерывной интеграции/непрерывного развертывания (CI/CD)
Введение
DevOps и CI/CD помогают повысить скорость, качество и надежность доставки программного обеспечения; однако эти методы также создают новые риски безопасности. В этой статье обсуждаются некоторые передовые методы обеспечения безопасности Azure для DevOps и CI/CD, которые помогут вам обезопасить среду Azure DevOps и защитить ваши приложения от атак.
Непрерывное тестирование
Помимо доставки кода, CI/CD также позволяет использовать тестирование со сдвигом влево и разрабатывать стратегию непрерывного тестирования. Сделав тестирование необходимым шагом в своей работе, вы сможете найти способы проверки безопасности перед использованием конвейеров CI/CD для развертывания выпусков в средах.
Ограничить права доступа
Предоставляйте пользователям и приложениям только минимальные права доступа, необходимые им для выполнения своей работы. Ограничение привилегий включает в себя сокрытие ключей API и четкое определение учетных данных безопасности на основе ролей и проектов в инструментах CI/CD. В этом может помочь управление доступом на основе ролей (RBAC), поскольку это мощный инструмент, позволяющий контролировать, кто имеет доступ к чему в Azure DevOps. Это поможет упростить ваши процессы и снизить риск несанкционированного доступа к вашим ресурсам Azure DevOps.
Защитите свою сеть
Это включает в себя настройку белого списка для ограничения определенных IP-адресов, всегда используя шифрование и проверку сертификатов. Вы также должны реализовать брандмауэр веб-приложений (WAF) для фильтрации, мониторинга и блокировки любого вредоносного веб-трафика в Azure DevOps и из него. Также очень важно реализовать Процесс управления инцидентами.
Защитите свои учетные данные для развертывания
Жестко запрограммированные учетные данные и секреты не должны присутствовать в конвейерах или исходных репозиториях. Вместо этого их следует хранить в безопасном месте, например в Azure Key Vault. Кроме того, конвейеры должны работать с использованием безголовых участников безопасности, таких как управляемые удостоверения или субъекты-службы, а не с вашим собственным паролем.
Заключение
В заключение, следуя рекомендациям, изложенным в этой статье, вы сможете безопасно доставлять программное обеспечение на ранней и непрерывной основе. При этом вы можете лучше защитить свою среду Azure DevOps.