Pijplijnbeveiliging implementeren

Voltooid

Het is essentieel om uw code te beveiligen die referenties en geheimen beveiligt. Phishing wordt steeds geavanceerder. De volgende lijst bevat verschillende operationele procedures die een team moet toepassen om zichzelf te beschermen:

  • Verificatie en autorisatie. Gebruik meervoudige verificatie (MFA), zelfs tussen interne domeinen en Just-In-Time-beheerprogramma's zoals Azure PowerShell Just Enough Beheer istration (JEA) om te beschermen tegen escalatie van bevoegdheden. Als u verschillende wachtwoorden voor verschillende gebruikersaccounts gebruikt, wordt de schade beperkt als een set toegangsreferenties wordt gestolen.
  • De CI/CD-releasepijplijn. Als de release-pijplijn en -frequentie beschadigd zijn, gebruikt u deze pijplijn om de infrastructuur opnieuw te bouwen. Beheer Infrastructure as Code (IaC) met Azure Resource Manager of gebruik het Azure-platform als een service (PaaS) of een vergelijkbare service. Uw pijplijn maakt automatisch nieuwe exemplaren en vernietigt deze vervolgens. Het beperkt de plaatsen waar aanvallers schadelijke code in uw infrastructuur kunnen verbergen. Azure DevOps versleutelt de geheimen in uw pijplijn. Als best practice kunt u de wachtwoorden net als bij andere referenties roteren.
  • Machtigingenbeheer. U kunt machtigingen beheren om de pijplijn te beveiligen met op rollen gebaseerd toegangsbeheer (RBAC), net als voor uw broncode. Het houdt u de controle over het bewerken van de build- en releasesdefinities die u voor productie gebruikt.
  • Dynamisch scannen. Het is het proces van het testen van de actieve toepassing met bekende aanvalspatronen. U kunt penetratietests implementeren als onderdeel van uw release. U kunt ook up-to-date blijven met beveiligingsprojecten zoals de Open Web Application Security Project (OWASP) Foundation en deze projecten vervolgens in uw processen implementeren.
  • Productiebewaking. Het is een kritieke DevOps-praktijk. De gespecialiseerde services voor het detecteren van afwijkingen met betrekking tot inbraak worden beveiligingsinformatie en gebeurtenisbeheer genoemd. Microsoft Defender voor Cloud richt zich op de beveiligingsincidenten met betrekking tot de Azure-cloud.

Notitie

Gebruik in alle gevallen Azure Resource Manager-sjablonen of andere configuraties op basis van code. Implementeer best practices voor IaC, zoals het aanbrengen van wijzigingen in sjablonen om wijzigingen traceerbaar en herhaalbaar te maken. U kunt ook inrichtings- en configuratietechnologieën zoals Desired State Configuration (DSC), Azure Automation en andere hulpprogramma's en producten van derden gebruiken die naadloos kunnen worden geïntegreerd met Azure.