云在疾速倒退,开发人员在疾速提高,而攻击者也始终在“新陈代谢”。
- 如何跟上局势并确保云部署的平安?
- 云零碎与本地零碎的平安做法有何不同?
- 如何确保多个独立开发团队之间的一致性?
微软曾经发现,应用平安基准能够帮忙你疾速爱护云部署,并使你可能疾速升高组织面临的危险。Azure 平安基准 (Azure Security Benchmark,简称 ABS) 蕴含一系列平安倡议,可用于帮忙爱护在 Azure 中应用的服务,它包含安全控制和服务基线两个方面。Azure 平安基准侧重于以云为核心的管制畛域,这些控制措施与家喻户晓的平安基准统一,例如:Internet 平安核心 (CIS) 控制措施、美国国家标准与技术研究院 (NIST),以及支付卡行业数据安全规范 (PCI-DSS) 所形容的基准。
明天,咱们重点来谈一谈安全控制之 DevOps 安全性。DevOps 安全性涵盖 DevOps 过程中与安全工程和操作相干的管制,包含部署要害安全检查 (如动态应用程序平安测试、在部署阶段之前破绽治理),确保整个 DevOps 的安全性,还包含常见主题,如:威逼建模和软件供应链安全性等等。
执行威逼建模
辨认潜在的威逼,确保威逼建模具备以下用处:在生产运行时阶段爱护你的应用程序和服务,以及爱护用于生成、测试和部署的我的项目、底层 CI/CD 管道和其余工具环境。
确保软件供应链平安
确保你的企业的软件开发生命周期(Software Development Lifecycle)或流程蕴含一组安全控制,来管制外部和第三方软件组件,包含与应用程序具备依赖关系的专利软件和开源软件。定义限度规范,以避免歹意组件被集成和部署到你的环境中。
确平安 DevOps 根底构造
确保 DevOps 根底构造和管道遵循跨环境(包含生成、测试和生产阶段)的安全性最佳实际。通常包含以下范畴的安全控制:
- 用于存储源代码、生成的 packages 和图像、我的项目和业务数据的我的项目存储库
- 承载 CI/CD 管道的服务器、服务和工具
- CI/CD 管道配置
将动态或动静应用程序平安测试集成到 DevOps 管道中
确保动态或动静应用程序平安测试是 CI/CD 工作流程中门控管制的一部分。能够依据测试后果设置门控,避免易受攻击的 packages 提交到存储库、构建到 packages 中或部署到生产中。
在 DevOps 生命周期内强制施行工作负载的安全性
确保工作负载在开发、测试和部署阶段的整个生命周期中失去爱护。应用 Azure 平安基准来评估管制,例如:网络安全、身份治理、特权拜访等等,这些管制能够在默认状况下被设置为护栏,或在部署阶段之前进行向左移位。
在 DevOps 中启用日志记录和监督
确保你的日志记录和监控范畴包含 DevOps(和任何其余开发过程)中应用的非生产环境和 CI/CD 工作流元素。针对这些环境的破绽和威逼如果没有失去适当的监控,可能会给您的生产环境带来重大危险。还应监督来自 CI/CD 构建、测试和部署工作流的事件,以辨认 CI/CD 工作流作业中的偏差。
点击查看更具体的操作指南