Szerepköralapú hozzáférés-vezérlés DevOps-eszközökhöz
Amikor felhőalapú megoldásokat helyez üzembe az infrastruktúra üzemelő példányaihoz, a biztonságnak mindig a legfontosabb szempontnak kell lennie. A Microsoft megőrzi a mögöttes felhőinfrastruktúra biztonságát. A biztonságot az Azure DevOpsban vagy a GitHubon konfigurálhatja.
Előfeltételek
Miután eldöntötte, hogy mely Azure Landing Zone-sablonokat kívánja üzembe helyezni, klónozza őket a saját adattárába. Állítsa be a CI/CD-folyamatokat. A GitHub és az Azure DevOps esetében is számos hitelesítési módszer érhető el, például a személyes hozzáférési jogkivonatok (PAT) és az identitásszolgáltatóval való integráció, például a Microsoft Entra ID. További információ: Személyes hozzáférési jogkivonatok használata.
Javasoljuk, hogy integráljon a Microsoft Entra ID-val az összes funkciójának használatához. Az integráció segít egyszerűsíteni a szerepkör-hozzárendelési folyamatot és az identitás életciklusának kezelését. További információ: Csatlakozás szervezetét a Microsoft Entra-azonosítóra. Ha GitHubot használ, fontolja meg a GitHub Enterprise és a Microsoft Entra ID integrálását.
Általános tervezési szempontok
Javasoljuk, hogy szigorúan felügyelje a rendszergazdákat és a szolgáltatásfiók-csoportokat a Microsoft Entra ID-ban és a DevOps-eszközben. Fontolja meg a minimális jogosultság elvének implementálását az összes szerepkör-hozzárendelésben.
Előfordulhat például, hogy a szervezet egy platform- vagy Cloud Excellence-csapattal rendelkezik, amely Azure Resource Manager-sablonokat tart fenn az Azure-beli kezdőzónákhoz. Rendeljen hozzá felhasználókat egy Microsoft Entra-azonosítójú biztonsági csoporthoz, feltéve, hogy identitásszolgáltatóként használja. A DevOps-eszközben szerepköröket rendelhet ehhez a biztonsági csoporthoz, hogy a felhasználók elvégezhessék a munkájukat.
Az Active Directoryban található rendszergazdai vagy kiemelt jogosultságú fiókok esetében azt javasoljuk, hogy a hitelesítő adatok ne szinkronizálódjanak a Microsoft Entra-azonosítóval, és fordítva. Ez a megközelítés csökkenti az oldalirányú mozgás veszélyét. Ha a Microsoft Entra-azonosítóban lévő rendszergazda biztonsága sérül, a támadó nem fog tudni könnyen hozzáférni a felhőbeli eszközökhöz, például az Azure DevOpshoz. Ez a fiók nem tud kártékony feladatokat injektálni a CI/CD-folyamatokba. Ez a lépés különösen fontos a DevOps-környezetben emelt szintű engedélyekkel rendelkező felhasználók, például a Build vagy a Project/Collection Rendszergazda istratorok esetében. További információ: Ajánlott biztonsági eljárások a Microsoft Entra-azonosítóban.
Az Azure DevOps szerepköralapú hozzáférési szempontjai
Az Azure DevOps biztonságának kezelése biztonsági csoportokkal, szabályzatokkal és beállításokkal a szervezet/gyűjtemény, projekt vagy objektum szintjén. Ha integrálható egy identitásszolgáltatóval, például a Microsoft Entra ID-val, érdemes lehet feltételes hozzáférési szabályzatokat létrehozni a többtényezős hitelesítés kikényszerítéséhez az összes felhasználó számára. A szabályzatok lehetővé teszik az Azure DevOps-szervezethez való hozzáférést, valamint részletesebb korlátozásokat az IP-cím, a hozzáféréshez használt eszköz típusa és az eszközmegfeleltség tekintetében.
Az Azure-beli kezdőzónákat kezelő platformcsapat legtöbb tagja számára az alapszintű hozzáférési szintnek és a Közreműködő alapértelmezett biztonsági csoportnak elegendő hozzáférést kell biztosítania. A közreműködői biztonsági csoport lehetővé teszi számukra, hogy szerkesztjék az adattár azure-beli célzónasablonjait, valamint azokat érvényesítő és üzembe helyező CI/CD-folyamatokat.
Javasoljuk, hogy a platformcsapatot az Azure DevOps projektszintjén rendelje hozzá a Közreműködő biztonsági csoporthoz. Ez a megközelítés a minimális jogosultság elvét követi. Ezek a hozzárendelések a Project Gépház alább látható oldalán végezhetők el.
Az Azure DevOps-projektek és -szervezetek egy másik ajánlott eljárása az öröklés letiltása, ahol lehetséges. A felhasználók öröklik a biztonsági csoport hozzárendelései által engedélyezett engedélyeket. Az öröklés alapértelmezés szerint engedélyezett jellege miatt a váratlan felhasználók hozzáférést vagy engedélyeket kaphatnak.
Ha például hozzárendeli a platformcsapat közreműködői biztonsági csoporttagságát, ellenőrizze az engedélyeiket az Azure Landing Zones-adattárban. Rendelkeznie kell ágszabályzatokkal annak ellenőrzéséhez, hogy a biztonsági csoport nem tudja-e megkerülni ezeket a házirendeket a lekéréses kérelmek során. Ellenőrizze ezt a beállítást a Project Gépház> Repositories területen.
Miután engedélyeket rendelt a felhasználókhoz, rendszeres időközönként tekintse át a naplózási eseményeket, hogy megfigyelje és reagáljon a rendszergazdák és más felhasználók váratlan használati mintáira. Először hozzon létre egy naplóstreamet egy Log Analytics-munkaterületen. Ha a munkaterület a Microsoft Sentinelt használja, hozzon létre elemzési szabályokat, hogy figyelmeztetsen a jelentős eseményekre, például az engedélyek helytelen használatára.
További információkért lásd a következőket:
- Az Azure DevOps biztonsági ajánlott eljárásai
- Azure DevOps-csoportok és -engedélyek
- Az Azure DevOps hozzáférési szintjei
A GitHub szerepköralapú hozzáférési szempontjai
Ha az elsődleges DevOps-eszköz a GitHub, a felhasználók hozzáférését az erőforrásokhoz úgy rendelheti hozzá, hogy szerepköröket ad nekik az adattár, a csapat vagy a szervezet szintjén. Miután elágaztatták az Azure Landing Zones-adattárat, és integrálva vannak egy identitásszolgáltatóval, például a Microsoft Entra ID-val, érdemes lehet létrehozni egy csapatot a GitHubon. Rendelje hozzá a csapat írási hozzáférését az új Azure Landing Zone-adattárhoz. A platformcsapat legtöbb tagja számára, akik módosítják és telepítik a célzónát, elegendő írási hozzáféréssel kell rendelkeznie. A csapat projektmenedzserei vagy Scrum-kezelői számára előfordulhat, hogy a karbantartó szerepkört hozzá kell rendelnie az adattárhoz.
Javasoljuk, hogy ezeket a szerepkör-hozzárendeléseket az integrált identitásszolgáltatón keresztül kezelje. Szinkronizálhatja például a GitHubon létrehozott Azure Landing Zone-adattár platformcsapatát a Microsoft Entra ID megfelelő platformcsoport biztonsági csoportjával. Ezután, amikor tagokat ad hozzá vagy távolít el a Microsoft Entra biztonsági csoporthoz, ezek a módosítások megjelennek a GitHub Enterprise Cloud-szerepkör-hozzárendelésekben.
Megjegyzés:
Ha egy adott GitHub-csapatot egy integrált identitásszolgáltatóhoz csatlakoztat, a csoporttagság kezelése rajta keresztül történik.
Következő lépések
A szerepkörök és csapatok GitHubon való kezelésével kapcsolatos további információkért tekintse meg az alábbi erőforrásokat: