Azure Pipelines içindeki paylaşılan altyapıyı güvenli hale getirmek için Öneriler
Azure Pipelines korunan kaynaklar gerçek altyapının soyutlamasıdır. Temel altyapıyı korumak için bu önerileri izleyin.
Microsoft tarafından barındırılan havuzları kullanma
Microsoft tarafından barındırılan havuzlar, her bir işlem hattının çalışması için yalıtım ve temiz bir VM sunar. Mümkünse, kendi kendine barındırılan havuzlar yerine Microsoft tarafından barındırılan havuzlar kullanın.
Her proje için ayrı aracılar
Bir aracı yalnızca bir havuza bağlanabilir. Birden çok projeyle havuzu paylaşarak, aracıları projeler arasında paylaşmak isteyebilirsiniz. Diğer bir deyişle, birden çok proje aynı aracıda bir diğeri sonra iş çalıştırabilir. Bu uygulama altyapı maliyetlerini kaydetse de, yan yana taşımaya izin verebilir.
Bu yan yana hareket biçimini ortadan kaldırmak ve bir projenin başka bir proje için bir aracıyı "Kirleme" yapmasını önlemek için, her proje için ayrı aracılarla ayrı aracı havuzları tutun.
Aracıları çalıştırmak için düşük ayrıcalıklı hesapları kullanma
bu, aracı, Azure DevOps kaynaklarına doğrudan erişebilen bir kimlik altında çalıştırmak da tehlikelidir. Bu sorunlu kurulum Azure Active Directory (Azure AD) kullanan kuruluşlarda yaygındır. aracıyı Azure AD tarafından desteklenen bir kimlik altında çalıştırırsanız, iş erişim belirtecini kullanmadan Azure DevOps apı 'lerine doğrudan erişim sağlayabilir. Bunun yerine aracıyı ağ hizmetigibi ayrıcalıksız bir yerel hesap olarak çalıştırmalısınız.
Azure DevOps, Project koleksiyon hizmeti hesaplarıolarak adlandırılan yanlış bir gruba sahiptir. devralma tarafından Project koleksiyon hizmeti hesaplarının üyeleri ayrıca Project koleksiyon yöneticilerinin üyeleridir. müşteriler bazen Azure AD tarafından desteklenen ve Project koleksiyon hizmeti hesaplarının bir üyesi olan bir kimlik kullanarak kendi yapı aracılarını çalıştırır. bu derleme aracılarından birinde bir işlem hattı çalıştırırsanız, bu, tüm Azure DevOps kuruluşun üstünden yararlanabilir.
Ayrıca, şirket içinde barındırılan aracıların yüksek ayrıcalıklı hesaplar altında çalıştırıldığını de gördük. Genellikle, Bu aracılar gizli hesapları kullanarak parolalara veya üretim ortamlarına erişir. Ancak, reklam işlemleri bu yapı aracılarından birinde güvenliği aşılmış bir işlem hattı çalıştırmışsa, bu gizli dizilerle erişebilirler. Daha sonra, bu hesaplar aracılığıyla erişilebilen diğer sistemler aracılığıyla reklam işlemleri geçici olarak hareket edebilir.
Sistemlerinizi güvende tutmak için, kendi kendine barındırılan aracıları çalıştırmak için en düşük ayrıcalıklı hesabı kullanın. Örneğin, makine hesabınızı veya yönetilen bir hizmet kimliğini kullanın. Azure Pipelines gizli dizi ve ortamlara erişimi yönetmenizi sağlar.
Hizmet bağlantılarının kapsamını en aza indirme
Hizmet bağlantıları yalnızca gereksinim duydukları kaynaklara erişebilmelidir. Örneğin, bir Azure hizmet bağlantısı, erişmesi gereken kaynaklar kapsamındaki Azure Resource Manager ve hizmet sorumlularını kullanmalıdır. Azure aboneliğinin tamamına yönelik geniş katkıda bulunan haklara sahip olmamaları gerekir.
Yeni bir Azure Resource Manager hizmet bağlantısı oluşturduğunuzda her zaman bir kaynak grubu seçin. Kaynak grubunuzun yalnızca derleme için gereken VM 'Leri veya kaynakları içerdiğinden emin olun. benzer şekilde, GitHub uygulamasını yapılandırdığınızda, yalnızca Azure Pipelines kullanarak derlemek istediğiniz depolara erişim izni verin.
Sonraki adımlar
Güvenlik için birkaç genel öneriyi göz önünde bulundurun.