Блог CEO, CIO Виктора Карабедянц Блог CEO, CIO Виктора Карабедянц
  • Обо мне
  • Навыки
  • Образование
  • Опыт
  • Проекты
  • Блог
  • CIO аутсорсинг
  • Контакты

9 советов для более безопасного канала непрерывной поставки

03 июля 201703 июля 2017 / By Виктор Карабедянц
  • Home
  • 9 советов для более безопасного канала непрерывной поставки

Построение системы безопасности в ваших условиях управления конфигурациями и непрерывном потоке операций.

Данная статья — это выдержка из «DevOpsSec: Защита программного обеспечения на основе непрерывной поставки», написанной Джимом Бердом.

Важно не только обезопасить приложение и условия выполнения работы, но и обезопасить цепочку инструментов непрерывной поставки, также как и построить и протестировать условия. Вы должны быть уверены в целостности поставки и цепи хранения, не только из-за соответствия стандартам и безопасности, а также для того, чтобы убедиться, что изменения произведены безопасно, циклично и напрямую.

Ваша цепь инструментов непрерывной поставки сама по себе также является опасной целью для атак: она открывает прямой путь для изменений и автоматически выталкивает их в производство. Если же она повреждена,  нападающим открыт легкий путь в вашу разработку, тестирование и условия производства. Они могут украсть ваши данные или интеллектуальное имущество, ввести вредоносную программу в среду, могут произвести атаку типа «отказ» в обслуживании или же нанести вред способности вашей организации реагировать на атаки, закрыв сам канал.

Непрерывная поставка и непрерывное внедрение значительно расширяют атаку на вашу производственную систему до сборки и автоматического тестирования, и условий внедрения.

Вам также необходимо обезопасить канал от внутренних атак, убедившись, что все изменения происходят прозрачно и могут наблюдаться от одного конца к другому. Кроме этого, убедитесь, что вредоносный и проинформированный инсайдер не внесет изменения, оставаясь незамеченным, и что они не смогут обойти проверки и подтверждений.

Создайте модель угроз для канала непрерывной поставки. Проверьте слабые стороны в установке и контроле, и пропуски в ревизии системы или регистрации данных. Затем примите следующие меры для того, чтобы обезопасить среду управления конфигурацией и канала непрерывной поставки:

  1. Упорядочьте системы, в которых размещаются источник и хранилища сборки артефактов, сервер(ы) непрерывной интеграция и поставки, а также системы, которые содержат инструменты менеджера конфигураций, создания, внедрения и выпуска обновлений. Убедитесь, что вы точно понимаете — и контролируете — что совершается локально, а что в облаке.
  2. Упорядочьте сервер непрерывной интеграцию и / или непрерывной поставки. Инструменты как Jenkins предназначены для удобства разработчика и не защищены по умолчанию. Убедитесь, что эти инструменты  (и требуемые плагины) обновляются и регулярно тестируются.
  3. Закройте и упорядочьте ваши инструменты управления конфигурациями. В качестве примера посмотрите «Как быть Secure Chef».
  4. Убедитесь, что ключи, учетные данные и другие секреты защищены. Уберите секреты из скриптов и кода источника, и простых текстовых файлов и используйте проверенный, безопасный менеджер секретов, например, Chef Vault, Square’s JeyWhiz project или HashiCorp Vault.
  5. Обезопасьте доступ к источнику и бинарному репозиторию и проверьте доступ к ним.
  6. Внедрите контроль доступа во всей цепи инструмента. Не допускайте анонимный и общественный доступ к репозиториям, серверу непрерывной интеграции или менеджеру подтверждения или к любым другим инструментам.
  7. Измените шаги сборки, чтобы подписать бинарные файлы и другие артефакты сборки, чтобы избежать вмешательства.
  8. Время от времени проверяйте записи, чтобы убедиться, что они завершены и что вы можете проследить за изменениями от начала до конца. Убедитесь, что записи неизменны, что их нельзя стереть или подделать.
  9. Убедитесь, что все эти системы прослеживаются, как часть условий производства.
About The Author

Виктор Карабедянц

ИТ директор (CIO), руководитель нескольких DevOps команд. Профессиональный руководитель проектов по внедрению, поддержке ИТ систем и обслуживанию пользователей.

Leave a Comment

Cancel Reply

*Please complete all fields correctly

В блоге представлены не только мои материалы, я делаю композицию из разных материалов, а так же размещаю переводы интересных тем.

Категории
  • DevOps
  • Без рубрики
  • ИТ поддержка
  • Руководитель ИТ
Популярные статьи
  • 10 причин, по которым компании привлекают своих ИТ-директоров на аутсорсингВторник - 29 июня, 2021
  • Какие нужны знания, чтобы работать DevOps-инженером: основные навыкиЧетверг - 17 июня, 2021
  • Тренд на SASE: что это и зачем нужноСреда - 12 мая, 2021
  • Ключевые вызовы для ИТ-директоров при разработке корпоративного ПО в 2021…Среда - 21 апреля, 2021
  • 5 важных тезисов для CIO по работе с ИИСреда - 14 апреля, 2021
Tags
CIO DevOps service desk Безопасность ИТ директор ИТ менеджер Удаленный ИТ директор контейнеры
Комментарии
  • Использование KPI (ключевой показатель эффективности) для оценки зрелости DevOps и планирование преобразования Понедельник - февраля 06, 2023 12:01 дп
  • Поиск доступности в облаке Воскресенье - февраля 05, 2023 11:54 пп
  • Поиск доступности в облаке Воскресенье - февраля 05, 2023 08:17 пп
  • Поиск доступности в облаке Воскресенье - февраля 05, 2023 06:50 пп
  • Поиск доступности в облаке Воскресенье - февраля 05, 2023 05:44 пп
© 2017 - 2019 Виктор Карабедянц
Posting....