Azure 'da güvenli dağıtım için idare konuları

  • Makale
  • Okumak için 3 dakika

  • Rol ve izin atarken en az ayrıcalık ilkesini kullanın. Yalnızca üretim sürümleriyle sorumlu olan kullanıcılar işlemi başlatmalı ve yalnızca geliştiricilerin kaynak koda erişmesi gerekir.

    İşlem hattı bir veya daha fazla hizmet sorumlusu kullanmalıdır. İdeal olarak, yönetilen kimlik olmalı ve platform tarafından teslim edilmelidir ve bir işlem hattı içinde asla doğrudan tanımlanmamıştır. Kimliğin yalnızca, görevi yapmak için gereken Azure RBAC izinleri olmalıdır. Tüm hizmet sorumluları bu işlem hattına bağlanmalı ve işlem hatları arasında paylaşılmamalıdır.

    CI/CD rollerini ve izinlerini nasıl tanımlarsınız?

    Azure DevOps, grupların bireysel kullanıcılarına atanabilecek yerleşik roller sunmaktadır. Yerleşik roller bir işlem hattı için en az ayrıcalığı tanımlamak için yetersizse, özel Azure RBAC rolleri oluşturmayı göz önünde bulundurun. Bu rollerin eyleme ve kuruluşun takımlarına ve sorumluluklarına göre hizalandığını doğrulayın.

    İşlem hattı operasyonlarınızın güvenliğini desteklemek için, yerleşik bir güvenlik grubuna kullanıcı ekleyebilir, bir kullanıcı veya grup için bireysel izinler ayarlayabilir veya önceden tanımlanmış rollere kullanıcı ekleyebilirsiniz. aşağıdaki nesneler için güvenliği, web portalındaki Azure Pipelines, kullanıcı veya yönetici bağlamından yönetirsiniz.

    Daha fazla bilgi için bkz. izinleri, erişimi ve güvenlik gruplarını kullanmaya başlama.

  • İzinler için, bir güvenlik grubu ya da tek bir kullanıcı için izin durumunu Izin ver veya Reddetolarak ayarlayarak izinleri verirsiniz veya kısıtlayabilirsiniz. Rol için role bir kullanıcı veya grup eklersiniz.

  • Üretim öncesi ve üretim ortamları arasında ayrı işlem hattı kimlikleri kullanın. Varsa, yürütülen ardışık düzen dışında son mil kimlik doğrulamasını kapsüllemek için ortamlar gibi işlem hattı özelliklerinden yararlanın.

  • İşlem hattı seyrek çalışır ve yüksek ayrıcalıklara sahipse, bu kimliğin diğer izinlerini kaldırmayı göz önünde bulundurun. Tam zamanında (JıT) rol atamaları, zaman tabanlı ve onay tabanlı rol etkinleştirme kullanın. Bu strateji, önemli kaynaklarda çok fazla, gereksiz veya kötüye erişim izinlerinin riskini azaltacaktır. Azure AD Privileged Identity Management , tüm bu etkinleştirme modlarını destekler.

  • Kuruluşun CI/CD işlem hattını gözden geçirin ve geliştirme ve üretim sorumlulukları arasında açık bir geri alma işlemi oluşturmak için rol atamasını daraltın.

Daha fazla bilgi edinin

İşlem hattı izni ve güvenlik rolleri hakkında daha fazla bilgi için başvuru, farklı işlem hattı izinleri düzeylerini ayarlar.

Yürütme kapsamı

Pratik olarak, işlem hatlarında yürütme kapsamını sınırlayın.

Çok aşamalı bir işlem hattı oluşturmayı düşünün. İşi ayrık birimlere bölün ve ayrı bir ardışık düzende yalıtılabilir. Kimliği, bu işlemi yapmak için yeterli en düşük ayrıcalıklara sahip olacak şekilde yalnızca birim kapsamıyla sınırlayın. Örneğin, biri dağıtımı yapılacak ve kaynak kodu oluşturan diğeri olmak üzere iki birim olabilir. Dağıtım biriminin derleme birimini değil, kimliğe erişime sahip olmasını sağlar. Derleme birimi tehlikeye girerse, altyapıyla izinsiz değişiklik başlatabilir.

Geçişli onay işlemi

DevOps release işleminde yayın kapısı onayları yapılandırılmış mi?

Çekme Istekleri ve kod incelemeleri, geliştirme çevrimi sırasında ilk onay satırı olarak görev yapar. Bir güncelleştirmeyi üretime bırakmadan önce, güvenlik incelemesi ve onayını gerektiren bir işlem gerektirir.

planlama, tasarım ve DevOps sürecinde güvenlik ekibini belirttiğinizden emin olun. Bu işbirliği, güvenlik denetimleri, denetim ve yanıt süreçlerini uygulamaya yardımcı olur.

Dal ilkeleri, bu iş yükünün kaynak denetimi yönetiminde kullanılıyor mu? Nasıl yapılandırılır?

Depoya kaydedilen kod üzerinde ek bir denetim düzeyi sağlayan dal ilkeleri oluşturun. Güvenli dal ilkesinin olmaması, zayıf, sahte veya hatalı kodların iade edilebilir ve dağıtılmış olmasını sağlayabilir. Değişiklik onaylanmazsa, Ana dala gönderim izni vermemek yaygın bir uygulamadır. Örneğin, değişiklikleri değişiklik yazarı dışında en az bir gözden geçiren ile birleştirmeden önce, kod incelemesinde çekme isteği (PR) gerekebilir.

Her dalın bir amaç ve erişim düzeyi olması durumunda birden çok dalı olması önerilir. Örneğin, özellik dalları geliştiriciler tarafından oluşturulur ve anında gönderim için açıktır. Tümleştirme dalı, çekme isteği ve kod incelemesi gerektirir. Üretim Dalı birleştirmeden önce takım lideri için başka bir onay gerektirir.

Önerilen Eylemler

  • DevOps release process 'te kalite kapısı onaylarını yapılandırın.
  • Dal stratejisini dağıtmak ve benimsemek için bağlantılı makalelerdeki yönergeleri izleyin.

Daha fazla bilgi edinin

Sonraki

Güvenli altyapı dağıtımları

Ana makaleye geri dönün: Azure 'Da güvenli dağıtım ve test

Otomatik sürekli tümleştirme, sürekli teslim (CI/CD) işlemlerinde, tanımlı bir kapsamdaki görevleri gerçekleştirmek için kimlikleri yetkilendirmek ve kimliklerini doğrulamak üzere yerleşik idare olmalıdır.

Önemli noktalar

  • CI/CD rollerini ve izinlerini açık bir şekilde tanımlayın.
  • Tam zamanında ayrıcalıklı erişim yönetimi uygulayın.
  • Üretim ortamları için uzun süreli yazma erişimini sınırlayın.
  • İşlem hatlarında yürütme kapsamını sınırlayın.
  • DevOps release process 'te kalite kapısı onaylarını yapılandırın.

Erişimi en aza indir

Güvenli bilgi veya kaynaklara erişimi olan kişilerin sayısını en aza indirin. Bu strateji, kötü niyetli bir aktörün erişim kazanmasıyla veya yetkili bir kullanıcının yanlışlıkla hassas bir kaynağı etkilemesinin olasılığını azaltır. Bazı konular aşağıda verilmiştir: