SEC11-BP07 Évaluation régulière des caractéristiques de sécurité des pipelines
Appliquez les principes du pilier Sécurité Well-Architected à vos pipelines, en accordant une attention particulière à la séparation des autorisations. Évaluez régulièrement les caractéristiques de sécurité de votre infrastructure de pipelines. Une gestion efficace de la sécurité des pipelines vous permet d'assurer la sécurité des logiciels qui transitent par ces pipelines.
Résultat souhaité : les pipelines utilisés pour construire et déployer votre logiciel doivent suivre les mêmes pratiques recommandées que toute autre charge de travail dans votre environnement. Les tests implémentés dans les pipelines ne doivent pas être modifiables par les créateurs qui les utilisent. Les pipelines ne doivent disposer que des autorisations nécessaires aux déploiements qu'ils effectuent et doivent implémenter des protections pour éviter de déployer dans les mauvais environnements. Les pipelines ne devraient pas s'appuyer sur des informations d'identification à long terme et devraient être configurés pour émettre un état afin que l'intégrité des environnements de création puisse être validée.
Anti-modèles courants :
-
Tests de sécurité qui peuvent être contournés par les créateurs.
-
Des autorisations trop larges pour les pipelines de déploiement.
-
Les pipelines ne sont pas configurés pour valider les entrées.
-
Ne pas passer régulièrement en revue les autorisations associées à votre infrastructure CI/CD.
-
Utilisation d'informations d'identification à long terme ou codées en dur.
Avantages liés au respect de cette bonne pratique :
-
Une plus grande confiance dans l'intégrité du logiciel conçu et déployé par le biais des pipelines.
-
Possibilité d'interrompre un déploiement en cas d'activité suspecte.
Niveau de risque exposé si cette bonne pratique n'est pas respectée : élevé
Directives d'implémentation
Le fait de débuter avec des services CI/CD gérés qui prennent en charge les rôles IAM réduit le risque de fuite d'informations d'identification. L'application des principes de Pilier Sécurité à l'infrastructure de votre pipeline CI/CD peut vous aider à déterminer les améliorations à apporter en matière de sécurité. Suivre les recommandations de l'Architecture de référence des pipelines de déploiement d'AWS
Étapes d'implémentation
-
Commencez par suivre les recommandations de l'Architecture de référence des pipelines de déploiement d'AWS
. -
Envisagez d'utiliser AWS IAM Access Analyzer pour générer de manière programmatique des politiques IAM de moindre privilège pour les pipelines.
-
Intégrez des fonctions de surveillance et d'alerte à vos pipelines afin d'être informé des activités inattendues ou anormales, car les services Amazon EventBridge
gérés AWS vous permettent d'acheminer les données vers des cibles telles que AWS Lambda ou Amazon Simple Notification Service (Amazon SNS).
Ressources
Documents connexes :
Exemples connexes :
-
DevOps monitoring dashboard
(GitHub)