A DevOps-platformok biztonsági szempontjai
A biztonságnak mindig prioritásnak kell lennie a felhőalapú fejlesztési platformokon, például az Azure DevOpsban és a GitHubon. A Microsoft frissíti és fenntartja a mögöttes felhőinfrastruktúra biztonságát, de Önön múlik, hogy áttekintse és konfigurálja a saját Azure DevOps-szervezetei és GitHub-példányai biztonsági ajánlott eljárásait.
Vegye figyelembe a következő kritikus biztonsági területeket, függetlenül attól, hogy a környezeteket infrastruktúrán keresztül helyezi üzembe kódként a folyamatos integrációs és folyamatos üzembehelyezési (CI/CD) folyamatokban, vagy kódot helyez üzembe az Azure-ban üzemeltetett alkalmazásokban.
A DevOps-eszközökhöz való hozzáférés korlátozása
Kövesse a minimális jogosultság elvét szerepköralapú hozzáférés-vezérlés (RBAC) használatával a Microsoft Entra ID-n keresztül. A felhasználóknak és a szolgáltatásoknak minimális hozzáférést kell biztosítaniuk a DevOps-platformokhoz, hogy el tudják végezni az üzleti feladataikat. For more information, see the following articles:
- a szervezet Csatlakozás Microsoft Entra-azonosítóra
- A Microsoft Entra egyszeri bejelentkezés (SSO) integrációja a GitHub Enterprise Cloud szolgáltatással
- Az Azure DevOps biztonsági ajánlott eljárásai
Miután identitáskezelési síkként létrehozza a Microsoft Entra-azonosítót, kövesse az ajánlott eljárásokat az Azure DevOps-szerepkör-hozzárendelések Microsoft Entra-csoporttagságokkal való kezeléséhez. Azure DevOps-szerepköröket rendelhet a Microsoft Entra-csoportokhoz, és módosíthatja a felhasználó Microsoft Entra-tagságát az Azure DevOps-hozzáférés módosításához vagy eltávolításához.
A Microsoft Entra ID jogosultságkezelésével olyan hozzáférési csomagokat hozhat létre, amelyek lehetővé teszik, hogy a Microsoft Entra-felhasználók időhöz kötött hozzáférést férjenek hozzá a szükséges erőforrásokhoz a feladataik elvégzéséhez.
A Microsoft Entra Privileged Identity Managementet is használhatja az igény szerint történő hozzáféréshez, hogy az egyéneket előléptethesse az Azure DevOps Rendszergazda istrator szerepkörökbe egy ideig.
Az Azure DevOps biztonságának kezelése biztonsági csoportok, szabályzatok és beállítások használatával az Azure DevOps-szervezet, projekt vagy objektum szintjén. Ha lehetséges, fontolja meg az engedélyöröklés letiltását az Azure DevOpsban.
Adattár- és ághozzáférés korlátozása
Korlátozza az adattár hozzáférését, engedélyeit és áglétrehozását, hogy megvédje a kódot és a környezeteket a nem kívánt vagy rosszindulatú módosításoktól. Az adattárakhoz való hozzáférés korlátozása biztonsági csoportok használatával az Azure DevOpsban. Az ágengedélyek beállításával korlátozhatja, hogy ki olvashat és frissíthet kódot az ágakban.
Folyamathozzáférés és -engedélyek korlátozása
A rosszindulatú kód ellophatja a vállalati adatokat és titkos kulcsokat, és megsérülhetnek az éles környezetek. Implementáljon védőkorlátokat, hogy megakadályozza a rosszindulatú kód üzembe helyezését a folyamatban. A hozzáférés korlátozásával és a védőkorlátok implementálásával megakadályozhatja a más projektek, folyamatok és adattárak oldalirányú kitettségét a sérült folyamatokból.
Fontolja meg a YAML-folyamatok biztonságossá tételének növekményes megközelítését. További információ: A YAML-folyamatok biztonságossá tételének megtervezése.
Válassza ki a DevOps-ügynököt a biztonsági igények alapján
A Microsoft által üzemeltetett vagy saját üzemeltetésű ügynökökkel azure DevOps- és GitHub-folyamatokat használhat. Minden ügynöktípushoz vannak kompromisszumok.
A Microsoft által üzemeltetett ügynökökkel nem kell aggódnia a frissítések vagy a karbantartás miatt. A saját üzemeltetésű ügynökökkel nagyobb rugalmassággal valósíthatja meg a biztonsági védőkorlátokat. Ön szabályozza az ügynök hardverét, az operációs rendszert és a telepített eszközöket.
Az Azure Pipelines-ügynökökkel áttekintheti az ügynökök típusai közötti különbségeket, és azonosíthatja a lehetséges biztonsági szempontokat.
Biztonságos és hatókörű szolgáltatáskapcsolatok használata
Amikor csak lehetséges, használjon szolgáltatáskapcsolatot infrastruktúra vagy alkalmazáskód üzembe helyezéséhez egy Azure-környezetben. A szolgáltatáskapcsolatnak korlátozott üzembehelyezési hozzáféréssel kell rendelkeznie adott Azure-erőforrásokhoz vagy erőforráscsoportokhoz a lehetséges támadási felületek csökkentése érdekében. Emellett érdemes lehet külön szolgáltatáskapcsolatokat létrehozni fejlesztési, tesztelési, minőségbiztosítási és éles környezetekhez.
Titkos tár használata
Az adattárakban soha ne szerepeljön kód- vagy segéddokumentáció titkos kódja. A támadók tárházakat vizsgálnak, és feltárt bizalmas adatokat keresnek, hogy kihasználhassák azokat. Állítson be egy titkos tárat, például az Azure Key Vaultot, és hivatkozzon az Azure Pipelines áruházára a kulcsok, titkos kulcsok vagy tanúsítványok biztonságos lekéréséhez. További információ: A folyamat és a CI/CD-munkafolyamat védelme. A Key Vault titkos kulcsait a GitHub Actions-munkafolyamatokban is használhatja.
A kód létrehozásához és üzembe helyezéséhez használjon megerősített DevOps-munkaállomásokat
A platform- és fejlesztői csapatok gyakran emelt szintű jogosultságokkal rendelkeznek az Azure-platformon vagy más szolgáltatásokon, például az Azure DevOpson és a GitHubon. Ez a hozzáférés jelentősen növeli a potenciális támadási felületet. Implementáljon védőkorlátokat a kód fejlesztéséhez és üzembe helyezéséhez használt végpontok és munkaállomások védelméhez.
A szigorúan védett rendszergazdai munkaállomások (SAW-k) használatával üzembe helyezheti a nagy kockázatú és éles környezetekben végzett módosításokat. További információ: Biztonságos végpontok Teljes felügyelet.
Biztonsági vizsgálat és tesztelés elvégzése
Akár alkalmazáskódot vagy infrastruktúrát helyez üzembe kódként, implementálja a DevSecOps ajánlott eljárásait és vezérlőit a folyamatokban. A ci/CD-folyamat korai szakaszában integrálhatja a biztonságot, hogy később megelőzze a költséges biztonsági incidenseket. Hozzon létre egy stratégiát a statikus kódelemzés, az egységtesztelés, a titkos kódok vizsgálata és a csomagok/függőségek folyamataiban való implementálásához.
Az olyan vállalati biztonsági eszközök, mint például a Felhőhöz készült Microsoft Defender, integrálhatók a DevOps-eszközökkel. Például Felhőhöz készült Defender azonosíthat sebezhető tárolólemezképeket a CI-/CD-munkafolyamatokban. A GitHub Actions és az adattárak esetében használja a GitHub Advanced Securityt a kód- és titkos kódok vizsgálatához és a függőségek áttekintéséhez.
Rendszeres időközönként tekintse át a naplózási eseményeket, hogy megfigyelje és reagáljon a rendszergazdák és más felhasználók váratlan használati mintáira. Az Azure DevOps-szervezet naplózási naplóit elérheti, szűrheti és exportálhatja. Hosszú távú tároláshoz és részletes napló lekérdezéshez hozzon létre egy naplózási streamet egy Azure Monitor Log Analytics-munkaterületre , vagy egy biztonsági információ- és eseménykezelő (SIEM) rendszerre, például a Microsoft Sentinelre.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: