Implementación de la seguridad de la canalización
Es fundamental proteger el código protegiendo las credenciales y los secretos. La suplantación de identidad (phishing) es cada vez más sofisticada. En la lista siguiente se incluyen varias prácticas operativas que un equipo debe aplicar para protegerse:
- Autenticación y autorización. Use la autenticación multifactor (MFA), incluso entre dominios internos y herramientas de administración Just-In-Time, como Just Enough Administration (JEA) de Azure PowerShell, para protegerse contra las elevaciones de privilegios. El uso de contraseñas diferentes para diferentes cuentas de usuario limitará los daños si se roba un conjunto de credenciales de acceso.
- Canalización de versión de CI/CD. Si la canalización de versión y la cadencia están dañadas, use esta canalización para recompilar la infraestructura. Administre la infraestructura como código (IaC) con Azure Resource Manager o use la plataforma como servicio (PaaS) de Azure o un servicio similar. La canalización creará automáticamente nuevas instancias y las destruirá. Limita los lugares en los que los atacantes pueden ocultar código malintencionado dentro de la infraestructura. Azure DevOps cifrará los secretos de la canalización. Como procedimiento recomendado, rote las contraseñas como lo haría con otras credenciales.
- Administración de permisos. Puede administrar permisos para proteger la canalización con el control de acceso basado en rol (RBAC), tal como lo haría para el código fuente. Mantiene el control de la edición de las definiciones de compilación y versiones que se usan para producción.
- Análisis dinámico. Es el proceso de probar la aplicación en ejecución con patrones de ataque conocidos. Puede implementar pruebas de penetración como parte de la versión. También puede mantenerse al día con proyectos de seguridad como Open Web Application Security Project (OWASP) Foundation y, a continuación, adoptar estos proyectos en sus procesos.
- Supervisión de producción. Es una práctica crítica de DevOps. Los servicios especializados para detectar anomalías relacionadas con la intrusión se conocen como Administración de eventos e información de seguridad. Microsoft Defender for Cloud se centra en los incidentes de seguridad relacionados con la nube de Azure.
Nota:
En todos los casos, use las plantillas de Azure Resource Manager u otras configuraciones basadas en código. Implemente procedimientos recomendados de IaC, como realizar cambios en las plantillas para que los cambios se realicen de forma rastreable y repetible. Además, puede usar tecnologías de aprovisionamiento y configuración como Desired State Configuration (DSC), Azure Automation y otras herramientas y productos de terceros que se pueden integrar sin problemas con Azure.