Implémenter la sécurité du pipeline
Il est fondamental de protéger votre code en protégeant les informations d’identification et les secrets. L’hameçonnage devient de plus en plus sophistiqué. La liste suivante présente plusieurs pratiques opérationnelles qu’une équipe doit appliquer pour se protéger :
- Authentification et autorisation. Utilisez l’authentification multifacteur (MFA), même sur des domaines internes, et des outils d’administration juste-à-temps, tels qu’Azure PowerShell Just Enough Administration (JEA), pour vous protéger contre les élévations des privilèges. L’utilisation de mots de passe différents pour différents comptes d’utilisateur limitera les dommages en cas de vol d’un ensemble d’informations d’identification d’accès.
- Pipeline de mise en production CI/CD. Si le pipeline de mise en production et la cadence sont endommagés, utilisez ce pipeline pour régénérer l’infrastructure. Gérez l’infrastructure en tant que code (IaC) avec Azure Resource Manager ou utilisez la plateforme en tant que (PaaS) Azure ou un service similaire. Votre pipeline crée automatiquement de nouvelles instances, puis les détruit. Il limite les emplacements où les attaquants peuvent masquer du code malveillant à l’intérieur de votre infrastructure. Azure DevOps chiffre les secrets dans votre pipeline. Une meilleure pratique consiste à faire pivoter les mots de passe comme vous le feriez avec d’autres informations d’identification.
- Gestion des autorisations. Vous pouvez gérer les autorisations pour sécuriser le pipeline avec le contrôle d’accès en fonction du rôle, comme vous le feriez pour votre code source. Il vous permet de contrôler la modification des définitions de build et de mises en production que vous utilisez pour la production.
- Analyse dynamique. Il s’agit du processus de test de l’application en cours d’exécution avec des modèles d’attaque connus. Vous pouvez implémenter des tests d’intrusion dans le cadre de votre mise en production. Vous pouvez également tenir à jour des projets de sécurité tels que Open Web Application Security Project (OWASP) Foundation, puis adopter ces projets dans vos processus.
- Supervision de la production. Il s’agit d’une pratique DevOps critique. Les services spécialisés pour la détection des anomalies liées aux intrusions sont connus sous le nom de Security Information and Event Management. Microsoft Defender pour le Cloud se focalise sur les incidents de sécurité liés au cloud Azure.
Notes
Dans tous les cas, utilisez des modèles Azure Resource Manager ou d’autres configurations basées sur du code. Implémentez des meilleures pratiques IaC, telles que la modification de modèles uniquement pour rendre les modifications traçables et reproductibles. En outre, vous pouvez utiliser des technologies d’approvisionnement et de configuration, telles que Desired State Configuration (DSC), Azure Automation et d’autres outils et produits tiers qui peuvent s’intégrer en toute transparence à Azure.