實作管線安全性
這是保護認證和祕密的程式碼保護基礎。 網路釣魚變得越來越複雜。 下列清單是小組應該套用以保護其本身的數個操作方法:
- 驗證與授權。 使用多重要素驗證 (MFA),甚至在內部網域之間使用,以及使用 Just-In-Time 管理工具,例如 Azure PowerShell Just Enough Administration (JEA),以抵禦權限提升造成的損害。 針對不同的使用者帳戶使用不同密碼,可在萬一有一組存取認證遭竊時,限制所造成的損毀。
- CI/CD 發行管線。 如果發行管線和步調已損毀,請使用此管線來重建基礎結構。 使用 Azure Resource Manager,或是使用 Azure 平台即服務 (PaaS) 或類似服務來管理基礎結構即程式碼 (IaC)。 您的管線會自動建立新的執行個體,然後將其終結。 這會限制攻擊者可以在基礎結構內隱藏惡意程式碼的位置。 Azure DevOps 會加密管線中的祕密。 最佳做法是輪替密碼,就像使用其他認證一樣。
- 權限管理。 為了保護管線,您可以使用角色型存取控制 (RBAC) 來管理權限,就像對待原始程式碼一樣。 此方式可讓您控制如何編輯用於生產環境的組建和發行定義。
- 動態掃描。 這是使用已知攻擊模式測試執行中應用程式的程序。 您可以在發行過程中實作滲透測試。 您也可以隨時掌握安全性專案的最新資訊,例如 Open Web Application Security Project (OWASP) 基礎,然後將這些專案納入您的程序。
- 生產監視。 這是重要的 DevOps 做法。 用來偵測入侵相關異常情況的特製化服務稱為安全性資訊與事件管理。 適用於雲端的 Microsoft Defender 著重於與 Azure 雲端相關的安全性事件。
注意
在所有情況下,請使用 Azure Resource Manager 範本或其他程式碼型設定。 實作 IaC 最佳做法,例如在範本中進行變更,使變更可追蹤及可重複。 此外,您也可以使用佈建和設定技術,例如 Desired State Configuration (DSC)、Azure 自動化,以及其他可與 Azure 緊密整合的協力廠商工具和產品。