Implementace zabezpečení kanálu

  • 3 min

Ochrana přihlašovacích údajů a tajných kódů je zásadní. Phishing se stává stále důmyslnější. Následující seznam obsahuje několik provozních postupů, které by měl tým použít k ochraně sebe sama:

  • Ověřování a autorizace. Použití vícefaktorového ověřování (MFA) i v interních doménách a nástrojů pro správu za běhu, jako je Azure PowerShell Just Enough Administration (JEA), k ochraně před eskalací oprávnění. Použití různých hesel pro různé uživatelské účty omezí poškození v případě odcizení sady přístupových přihlašovacích údajů.
  • Kanál verze CI/CD. Pokud je kanál verze a tempo poškozené, použijte tento kanál k opětovnému sestavení infrastruktury. Správa infrastruktury jako kódu (IaC) pomocí Azure Resource Manageru nebo použití platformy Azure jako služby (PaaS) nebo podobné služby Váš kanál automaticky vytvoří nové instance a pak je zničí. Omezuje místa, kde útočníci můžou v infrastruktuře skrýt škodlivý kód. Azure DevOps zašifruje tajné kódy ve vašem kanálu. Osvědčeným postupem je obměňovat hesla stejně jako s jinými přihlašovacími údaji.
  • Správa oprávnění Oprávnění k zabezpečení kanálu můžete spravovat pomocí řízení přístupu na základě role (RBAC), stejně jako u zdrojového kódu. Udržuje vás v kontrole úprav definic sestavení a vydaných verzí, které používáte pro produkční prostředí.
  • Dynamické skenování. Jedná se o proces testování spuštěné aplikace se známými vzory útoku. V rámci vydání můžete implementovat penetrační testování. Můžete také udržovat aktuální informace o projektech zabezpečení, jako je například Open Web Application Security Project (OWASP), a pak tyto projekty přijmout do vašich procesů.
  • Monitorování v produkčním prostředí Je to důležitý postup DevOps. Specializované služby pro detekci anomálií souvisejících s neoprávněným vniknutím se označují jako informace o zabezpečení a správa událostí. Microsoft Defender pro cloud se zaměřuje na incidenty zabezpečení související s cloudem Azure.

Poznámka:

Ve všech případech použijte šablony Azure Resource Manageru nebo jiné konfigurace založené na kódu. Implementujte osvědčené postupy IaC, například provádění změn v šablonách, aby bylo možné změny sledovat a opakovatelně. Můžete také použít technologie zřizování a konfigurace, jako je Desired State Configuration (DSC), Azure Automation a další nástroje a produkty třetích stran, které se dají bezproblémově integrovat s Azure.