Mga Pinakamahusay na Kasanayan sa Azure Security para sa DevOps at Continuous Integration/Continuous Deployment (CI/CD)
pagpapakilala
Tumutulong ang DevOps at CI/CD na pahusayin ang bilis, kalidad, at pagiging maaasahan ng paghahatid ng software; gayunpaman, ang mga kasanayang ito ay nagpapakilala rin ng mga bagong panganib sa seguridad. Tinatalakay ng artikulong ito ang ilang pinakamahuhusay na kagawian sa seguridad ng Azure para sa DevOps at CI/CD na makakatulong sa iyong i-secure ang iyong Azure DevOps environment at protektahan ang iyong mga application mula sa pag-atake.
Patuloy na Pagsubok
Bilang karagdagan sa paghahatid ng code, pinapayagan ka rin ng CI/CD na gumamit ng shift-left na pagsubok at bumuo ng tuluy-tuloy na diskarte sa pagsubok. Ang paggawa ng pagsubok na isang kinakailangang hakbang sa iyong trabaho ay nagbibigay-daan sa iyong makahanap ng mga paraan upang i-verify ang seguridad bago gamitin ang mga pipeline ng CI/CD upang mag-deploy ng mga release sa mga kapaligiran.
Limitahan ang Mga Pribilehiyo sa Pag-access
Bigyan lamang ang mga user at application ng pinakamababang pahintulot sa pag-access na kailangan nila upang maisagawa ang kanilang mga trabaho. Kasama sa mga pribilehiyong restring ang pagtatago ng mga API key at malinaw na pagtukoy ng mga kredensyal sa seguridad batay sa mga tungkulin at proyekto sa mga tool ng CI/CD. Makakatulong dito ang paggamit ng role-based access control (RBAC), dahil isa itong makapangyarihang tool na nagbibigay-daan sa iyong kontrolin kung sino ang may access sa kung ano ang nasa Azure DevOps. Makakatulong ito upang pasimplehin ang iyong mga proseso at bawasan ang panganib ng hindi awtorisadong pag-access sa iyong mga mapagkukunan ng Azure DevOps.
I-secure ang iyong Network
Kabilang dito ang pagse-set up ng allowlist para paghigpitan ang mga partikular na IP address, palaging gumagamit ng encryption, at pagpapatunay ng mga certificate. Dapat mo ring ipatupad ang a web application firewall (WAF) upang i-filter, subaybayan, at i-block ang anumang nakakahamak na web-based na trapiko papunta at mula sa Azure DevOps. Napakahalaga rin na ipatupad ang isang Proseso ng Pamamahala ng Insidente.
I-secure ang iyong mga kredensyal sa pag-deploy
Ang mga hard-coded na kredensyal at sikreto ay hindi dapat naroroon sa mga pipeline o source repository. Sa halip, dapat mong itago ang mga ito sa isang ligtas na lugar tulad ng Azure Key Vault. Bukod pa rito, ang mga pipeline ay dapat na patakbuhin gamit ang walang ulo na mga punong-guro ng seguridad, tulad ng mga pinamamahalaang pagkakakilanlan o mga punong-guro ng serbisyo, hindi gamit ang iyong sariling password.
Konklusyon
Sa konklusyon, ang pagsunod sa mga pinakamahusay na kagawian sa artikulong ito ay magbibigay-daan sa iyong ligtas na maghatid ng software nang maaga at tuloy-tuloy. Sa paggawa nito, mas mase-secure mo ang iyong kapaligiran sa Azure DevOps.
