Identifier et restreindre l’utilisation non sécurisée des paramètres et des variables
Dans Azure Pipelines, les paramètres et les variables peuvent être utilisés pour passer des valeurs d’exécution aux tâches et scripts de pipeline et pour définir des variables qui peuvent être utilisées dans différentes étapes de pipeline. Toutefois, s’il n’est pas correctement sécurisé, les paramètres et les variables peuvent devenir une vulnérabilité de sécurité, car ils peuvent stocker des informations sensibles telles que des chaînes de connexion, des clés API et d’autres informations d’identification.
Dans cette unité, identifiez et limitez l’utilisation non sécurisée des paramètres et des variables dans Azure Pipelines.
Pourquoi l’utilisation sécurisée des paramètres et des variables est-elle importante ?
L’utilisation sécurisée des paramètres et des variables est essentielle pour garantir la sécurité de votre pipeline et les projets qu’il prend en charge. Les paramètres et variables non sécurisés peuvent entraîner des violations de données, un accès non autorisé et d’autres risques de sécurité. Ils peuvent également entraîner un comportement ou des erreurs inattendus qui peuvent avoir un impact sur la fiabilité et la stabilité de votre pipeline.
Identifier l’utilisation non sécurisée des paramètres et des variables
Voici quelques étapes pour identifier l’utilisation non sécurisée des paramètres et des variables dans Azure Pipelines :
- Vérifiez le fichier YAML de votre pipeline pour tous les paramètres ou variables stockant des informations sensibles, telles que des chaînes de connexion ou des informations d’identification.
- Vérifiez que les valeurs de ces paramètres ou variables ne sont pas codées en dur dans les tâches de pipeline ou le script utilisé par vos tâches, par exemple, bash, PowerShell, etc. Au lieu de cela, ils doivent être définis comme des entrées de pipeline sécurisées, telles qu’un fichier sécurisé ou un groupe de variables.
- Utilisez le journal d’audit du pipeline Azure DevOps pour surveiller l’utilisation des paramètres et des variables dans votre pipeline et identifier les risques de sécurité potentiels ou les vulnérabilités.
- Vérifiez les fichiers de votre modèle pour tous les paramètres ou variables qui stockent des informations sensibles.
- Vérifiez que votre référentiel contient des paramètres ou des variables qui stockent des informations sensibles, par exemple,
appconfig.json,appsettings.json,secrets.jsonetc.
Restreindre l’utilisation non sécurisée des paramètres et des variables
Voici quelques étapes pour restreindre l’utilisation non sécurisée des paramètres et des variables dans Azure Pipelines :
- Définissez vos paramètres et variables en tant qu’entrées de pipeline sécurisées, telles qu’un fichier sécurisé, des variables secrètes ou un groupe de variables.
- Utilisez Azure Key Vault pour stocker des données sensibles, telles que des chaînes de connexion, des clés API ou des certificats, puis les référencer dans votre script de pipeline.
- Liez votre azure Key Vault à votre organisation Azure DevOps, puis utilisez la tâche Azure Key Vault pour récupérer les secrets de votre coffre de clés Azure et les utiliser dans votre pipeline.
- Utilisez des connexions de service avec l’authentification du principal de service.
- Restreindre l’accès aux données sensibles en définissant les autorisations appropriées et les stratégies de contrôle d’accès. Par exemple, limitez l’accès aux variables et paramètres de pipeline à des utilisateurs ou groupes spécifiques.
Défiez-vous-même
Créez un pipeline YAML qui déploie une application web sur Azure App Service. Ajoutez des paramètres et des variables au pipeline qui définissent l’environnement cible, la chaîne de connexion de base de données et d’autres données sensibles. Utilisez les étapes décrites dans cette unité pour vous assurer que le paramètre et l’utilisation des variables sont sécurisés et que les données sensibles sont stockées et gérées en toute sécurité. Testez le pipeline et assurez-vous que le pipeline s’exécute comme prévu tout en conservant la sécurité des données sensibles dans votre journal et en validant le journal d’audit.
Pour plus d’informations sur les variables et les paramètres, consultez :