SEC11-BP07 Evaluar periódicamente las propiedades de seguridad de las canalizaciones - AWS Well-Architected Framework

SEC11-BP07 Evaluar periódicamente las propiedades de seguridad de las canalizaciones

Aplique los principios del pilar de seguridad de Well-Architected a sus canalizaciones, prestando especial atención a la separación de permisos. Evalúe periódicamente las propiedades de seguridad de su infraestructura de canalización. La administración eficaz de la seguridad de las canalizaciones le permite garantizar la seguridad del software que pasa por ellas.

Resultado deseado: Las canalizaciones utilizadas para crear y desplegar el software deben seguir las mismas prácticas recomendadas que cualquier otra carga de trabajo en su entorno. Los desarrolladores no deben poder editar las pruebas que se implementan en las canalizaciones que utilizan. Las canalizaciones solo deben tener los permisos necesarios para los despliegues que están realizando y debe implementar salvaguardas para evitar que se desplieguen en los entornos equivocados. Las canalizaciones no deben depender de credenciales a largo plazo; además, deben estar configuradas para emitir estado de forma que se pueda validar la integridad de los entornos de compilación.

Patrones comunes de uso no recomendados:

  • Pruebas de seguridad que los creadores pueden omitir.

  • Permisos demasiado amplios para las canalizaciones de despliegue.

  • Canalizaciones no configuradas para validar entradas.

  • No revisar periódicamente los permisos asociados a la infraestructura de CI/CD.

  • Uso de credenciales a largo plazo o codificadas.

Beneficios de establecer esta práctica recomendada:

  • Mayor confianza en la integridad del software que se construye y despliega a través de las canalizaciones.

  • Capacidad de detener un despliegue cuando hay actividades sospechosas.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: alto

Guía para la implementación

Comience con servicios de CI/CD administrados que admiten roles de IAM para reducir el riesgo de fuga de credenciales. La aplicación de los principios del pilar de seguridad a la infraestructura de canalización de CI/CD puede ayudarle a determinar dónde es posible realizar mejoras de seguridad. Siga la arquitectura de referencia de canalizaciones de despliegue de AWS. Es un buen punto de partida para crear entornos de CI/CD. Revise a intervalos regulares la implementación de la canalización y analice los registros para detectar comportamientos inesperados; esto puede ayudarle a comprender los patrones de uso de las canalizaciones que se utilizan para desplegar software.

Pasos para la aplicación

Recursos

Documentos relacionados:

Ejemplos relacionados: