Säker distribution i Azure
- Upprätta ett tvärfunktionellt DevOps-plattformsteam för att skapa, hantera och underhålla din arbetsbelastning.
- Involvera säkerhetsteamet i planeringen och utformningen av DevOps-processen för att integrera förebyggande och detektivkontroller för säkerhetsrisker.
- Definiera tydligt CI/CD-roller och behörigheter och minimera antalet personer som har åtkomst till säker information eller resurser.
- Konfigurera godkännanden av kvalitetsgrindar i DevOps-lanseringsprocessen.
- Integrera genomsökningsverktyg i CI/CD-pipeline.
- Inga ändringar i infrastrukturen, etablering eller konfiguration, bör göras manuellt utanför IaC.
Innehåll i det här avsnittet
Följ dessa frågor för att utvärdera arbetsbelastningen på en djupare nivå.
| Utvärdering | Description |
|---|---|
| Definierar du tydligt CI/CD-roller och behörigheter för den här arbetsbelastningen? | Definiera CI/CD-behörigheter så att endast användare som ansvarar för produktionsutgåvningar kan starta processen och så att endast utvecklare kan komma åt källkoden. |
| Har några resurser etablerats eller konfigurerats i drift med användarverktyg, till exempel Azure Portal eller via Azure CLI? | Använd alltid Infrastruktur som kod (IaC) för att göra även de minsta ändringarna. Den här metoden gör det enkelt att spåra kod eftersom den etablerade infrastrukturen är reproducerbar och kan ångras. |
| Kan du snabbt återställa eller vidarebefordra kod via automatiserade pipelines? | Automatiserade distributionspipelines bör möjliggöra snabba distributioner och återställningar för att åtgärda kritiska buggar och koduppdateringar utanför den normala distributionslivscykeln. |
Benchmark för Azure-säkerhet
Benchmark för Azure-säkerhet innehåller en samling säkerhetsrekommendationer med hög påverkan. Använd dem för att skydda de tjänster och processer som du använder för att köra arbetsbelastningen i Azure:
Frågorna i det här avsnittet är anpassade till kontrollerna i Azure Security Benchmark.
Referensarkitektur
Här är några referensarkitekturer relaterade till att skapa CI/CD-pipelines:
Nästa steg
Vi rekommenderar att du övervakar aktiviteter som upprätthåller säkerhetsstatusen. Dessa aktiviteter kan lyfta fram om de aktuella säkerhetsrutinerna är effektiva eller om det finns nya krav.
Relaterad länk
Gå tillbaka till huvudartikeln: Säkerhet
Läs mer
Har du team, processer och verktyg som snabbt kan distribuera säkerhetskorrigeringar? En DevOps-metod eller disciplinär metod rekommenderas. Flera team arbetar tillsammans med effektiva metoder och verktyg. Viktiga DevOps-metoder omfattar ändringshantering av arbetsbelastningen genom kontinuerlig integrering, kontinuerlig leverans (CI/CD).
Kontinuerlig integrering (CI) är en automatiserad process där kodändringar utlöser programmets utveckling och testning. Kontinuerlig leverans (CD) är en automatiserad process för att skapa, testa, konfigurera och distribuera programmet från en version till en produktionsmiljö.
Med dessa processer kan du snabbt åtgärda säkerhetsproblemen utan att behöva vänta på en längre planerings- och testcykel.
Genom att skapa en DevOps-process som omfattar ett säkerhetsdisciplin kan du införliva säkerhetsbegrepp och förbättringar tidigare i utvecklingsprocessen för program. En organisations möjlighet att snabbt åtgärda säkerhets- och driftproblem ökar genom kombinationen av SDL (Secure Development Lifecycle) och driftlivscykeln som rör skapande, underhåll och uppdateringar av program.
Många traditionella IT-driftsmodeller är inte kompatibla med molnet och organisationer måste genomgå driftsomvandling och organisatorisk omvandling för att uppfylla företagets migreringsmål. Vi rekommenderar att du använder en DevOps-metod för både programteam och centrala team.
Checklista
Har du implementerat en säker DevOps-metod för att säkerställa att säkerhets- och funktionsförbättringar kan distribueras snabbt?