Azure Pipelines'ın güvenliğini sağlama
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Azure Pipelines benzersiz güvenlik zorlukları oluşturur. Betikleri çalıştırmak veya üretim ortamlarına kod dağıtmak için işlem hattı kullanabilirsiniz. Ancak CI/CD işlem hatlarınızın kötü amaçlı kod çalıştırma yolları haline gelmediğinden emin olmak istiyorsunuz. Ayrıca yalnızca dağıtmayı planladığınız kodun dağıtıldığından emin olmak istiyorsunuz. Güvenlik, ekiplere kendi işlem hatlarını çalıştırmak için ihtiyaç duydukları esnekliği ve gücü sağlamakla dengelenmelidir.
Dekont
Azure Pipelines, tümü Azure'da aynı güvenli altyapı üzerinde oluşturulan Azure DevOps Services koleksiyonundan biridir. Tüm Azure DevOps Services için güvenlikle ilgili temel kavramları anlamak için bkz . Azure DevOps Veri Koruması'na Genel Bakış ve Azure DevOps Güvenliği ve Kimliği.
Geleneksel olarak kuruluşlar drakonyalı kilitlemeler aracılığıyla güvenlik uygulardı. Kod, işlem hatları ve üretim ortamlarının erişim ve kullanım üzerinde ciddi kısıtlamaları vardı. Birkaç kullanıcısı ve projesi olan küçük kuruluşlarda bu tutumu yönetmek nispeten kolaydı. Ancak, büyük kuruluşlarda böyle bir durum söz konusu değildir. Birçok kullanıcının koda katkıda bulunan erişimi olduğunda, "ihlal olduğunu varsaymak" gerekir. İhlallerin kabul edilmesi, bir saldırganın depoların bazılarına (tümü olmasa da) katkıda bulunan erişimine sahipmiş gibi davranma anlamına gelir.
Bu durumda amaç, bu saldırganın işlem hattında kötü amaçlı kod çalıştırmasını engellemektir. Kötü amaçlı kod gizli dizileri çalabilir veya üretim ortamlarını bozabilir. Bir diğer hedef de güvenliği aşılmış işlem hattından diğer projelere, işlem hatlarına ve depolara yanal maruz kalma durumunu önlemektir.
YAML işlem hatları, Azure Pipelines'ınız için en iyi güvenliği sunar. Klasik derleme ve yayın işlem hatlarının aksine YAML işlem hatları:
- Kod gözden geçirilebilir. YAML işlem hatları diğer kod parçalarından farklı değildir. Değişiklikleri birleştirmek için Çekme İstekleri'nin kullanılmasını zorunlu kılarak kötü amaçlı aktörlerin işlem hatlarınıza kötü amaçlı adımlar eklemesini engelleyebilirsiniz. Dal ilkeleri , bunu ayarlamanızı kolaylaştırır.
- Kaynak erişim yönetimi sağlayın. YaML işlem hattının kaynağa erişip erişemediğini kaynak sahipleri karar verir. Bu güvenlik özelliği, başka bir depo çalmak gibi saldırıları denetler. Onaylar ve denetimler her işlem hattı çalıştırması için erişim denetimi sağlar.
- Çalışma zamanı parametrelerini destekler. Çalışma zamanı parametreleri, Bağımsız Değişken Ekleme gibi değişkenlerle ilgili bir çok güvenlik sorununu önlemenize yardımcı olur.
Bu makale serisi, güvenli YAML tabanlı CI/CD işlem hattı oluşturmanıza yardımcı olacak önerileri özetler. Ayrıca güvenlik ve esneklik arasında denge sağlayabileceğiniz yerleri de kapsar. Seri ayrıca Azure Pipelines, temel Azure DevOps güvenlik yapıları ve Git hakkında bilgi sahibi olduğunu varsayar.
Ele alınan konular:
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin