Implementar segurança de pipeline

  • 2 minutos

É fundamental proteger seu código protegendo credenciais e segredos. O phishing está a tornar-se cada vez mais sofisticado. A lista a seguir são várias práticas operacionais que uma equipe deve aplicar para se proteger:

  • Autenticação e autorização. Use a autenticação multifator (MFA), mesmo entre domínios internos, e ferramentas de administração just-in-time, como o Azure PowerShell Just Enough Administration (JEA), para proteger contra escalonamentos de privilégios. Usar senhas diferentes para contas de usuário diferentes limitará os danos se um conjunto de credenciais de acesso for roubado.
  • O pipeline de lançamento de CI/CD. Se o pipeline de liberação e a cadência estiverem danificados, use esse pipeline para reconstruir a infraestrutura. Gerencie a infraestrutura como código (IaC) com o Azure Resource Manager ou use a plataforma Azure como um serviço (PaaS) ou um serviço semelhante. Seu pipeline criará automaticamente novas instâncias e, em seguida, as destruirá. Limita os locais onde os atacantes podem esconder códigos maliciosos dentro da sua infraestrutura. O Azure DevOps criptografará os segredos em seu pipeline. Como prática recomendada, alterne as senhas da mesma forma que faria com outras credenciais.
  • Gestão de permissões. Você pode gerenciar permissões para proteger o pipeline com RBAC (controle de acesso baseado em função), assim como faria para seu código-fonte. Ele mantém você no controle da edição das definições de compilação e lançamentos que você usa para produção.
  • Varredura dinâmica. É o processo de testar o aplicativo em execução com padrões de ataque conhecidos. Você pode implementar testes de penetração como parte de sua versão. Você também pode manter-se atualizado sobre projetos de segurança, como o Open Web Application Security Project (OWASP) Foundation, e adotar esses projetos em seus processos.
  • Acompanhamento da produção. É uma prática crítica de DevOps. Os serviços especializados para deteção de anomalias relacionadas à intrusão são conhecidos como Segurança da Informação e Gestão de Eventos. O Microsoft Defender for Cloud concentra-se nos incidentes de segurança relacionados com a nuvem do Azure.

Nota

Em todos os casos, use os Modelos do Azure Resource Manager ou outras configurações baseadas em código. Implemente as práticas recomendadas do IaC, como fazer alterações em modelos para tornar as alterações rastreáveis e repetíveis. Além disso, você pode usar tecnologias de provisionamento e configuração, como DSC (Configuração de Estado Desejado), Automação do Azure e outras ferramentas e produtos de terceiros que podem se integrar perfeitamente ao Azure.