Implementar a segurança do pipeline

  • 2 minutos

É fundamental proteger seu código mantendo a segurança credenciais e segredos. O phishing está ficando cada vez mais sofisticado. A lista a seguir apresenta várias práticas operacionais que uma equipe deverá aplicar para se proteger:

  • Autenticação e autorização. Use a MFA (autenticação multifator), mesmo entre domínios internos, e ferramentas de administração just-in-time, como o Azure PowerShell JEA (Just Enough Administration), para proteção contra escalonamentos de privilégios. O uso de senhas diferentes para contas de usuário diferentes limitará o dano se um conjunto de credenciais de acesso for roubado.
  • O pipeline de lançamento de CI/CD. Se o pipeline de lançamento e a cadência estiverem danificados, use esse pipeline para recriar a infraestrutura. Gerencie a IaC (infraestrutura como código) com o Azure Resource Manager ou use a PaaS (plataforma como serviço) do Azure ou um serviço semelhante. Seu pipeline criará automaticamente novas instâncias e as destruirá. Ele limita os locais em que os invasores podem ocultar código mal-intencionado dentro de sua infraestrutura. O Azure DevOps criptografará os segredos em seu pipeline. Como prática recomendada, mude as senhas assim como faria com outras credenciais.
  • Gerenciamento de permissões. Você pode gerenciar permissões para proteger o pipeline com o RBAC (controle de acesso baseado em função), assim como faria com o código-fonte. Ele mantém você no controle da edição das definições de compilação e versões que você usa para produção.
  • Verificação dinâmica. É o processo de testar o aplicativo em execução com padrões de ataque conhecidos. Você pode implementar o teste de penetração como parte de seu lançamento. Você também poderia se manter atualizado sobre projetos de segurança, como A OWASP (Open Web Application security Project) Foundation e, em seguida, adotar esses projetos em seus processos.
  • Monitoramento de produção. É uma prática crítica do DevOps. Os serviços especializados para detectar anomalias relacionadas à intrusão são conhecidos como Informações de Segurança e Gerenciamento de Eventos. O Microsoft Defender para Nuvem se concentra nos incidentes de segurança relacionados à nuvem do Azure.

Observação

Em todos os casos, use Modelos do Azure Resource Manager ou outras configurações baseadas em código. Implemente práticas recomendadas de IaC, como fazer alterações em modelos para tornar as alterações rastreáveis e repetíveis. Além disso, você pode usar as tecnologias de provisionamento e configuração, como a DSC (Desired State Configuration), a Automação do Azure e outras ferramentas e produtos de terceiros que podem ser integrados perfeitamente ao Azure.