Protección de Azure Pipelines

Azure Pipelines plantea desafíos de seguridad únicos. Puede usar una canalización para ejecutar scripts o implementar código en entornos de producción. Pero quiere asegurarse de que las canalizaciones de CI/CD no se conviertan en vías para ejecutar código malintencionado. También quiere asegurarse de que solo se implementa el código que se va a implementar. La seguridad debe equilibrarse con proporcionar a los equipos la flexibilidad y la eficacia que necesitan para ejecutar sus propias canalizaciones.

Nota

Azure Pipelines es una de las colecciones de Azure DevOps Services, todas ellas creadas en la misma infraestructura segura de Azure. Para comprender los conceptos principales en torno a la seguridad para todos los Azure DevOps Services, consulte Información general sobre la protección de Azure DevOps datos y Azure DevOps Seguridad e identidad.

Tradicionalmente, las organizaciones implementaban la seguridad mediante bloqueos draconianos. El código, las canalizaciones y los entornos de producción tenían restricciones graves de acceso y uso. En organizaciones pequeñas con algunos usuarios y proyectos, esta postura era relativamente fácil de administrar. Sin embargo, ese no es el caso en organizaciones más grandes. Cuando muchos usuarios tienen acceso de colaborador al código, se debe "asumir una infracción". Suponer una infracción significa comportarse como si un adversario tiene acceso de colaborador a algunos (si no todos) de los repositorios.

El objetivo en este caso es evitar que ese adversario ejecute código malintencionado en la canalización. El código malintencionado puede robar secretos o dañar entornos de producción. Otro objetivo es evitar la exposición lateral a otros proyectos, canalizaciones y repositorios de la canalización en peligro.

En esta serie de artículos se describen las recomendaciones que le ayudarán a crear una canalización de CI/CD segura basada en YAML. También se tratan los lugares en los que se pueden realizar intercambios entre seguridad y flexibilidad. La serie también asume que está familiarizado con Azure Pipelines, las construcciones de Azure DevOps de seguridadprincipales y Git.

Temas tratados: