SEC11-BP07 Nilai karakteristik keamanan pipeline secara teratur

Terapkan prinsip Pilar Keamanan Well-Architected pada pipeline Anda, dengan perhatian khusus pada pemisahan izin. Nilai karakteristik keamanan infrastruktur pipeline Anda secara teratur. Mengelola keamanan pipeline secara efektif akan memungkinkan Anda memberikan keamanan perangkat lunak yang lolos melalui pipeline.

Hasil yang diinginkan: Pipeline yang digunakan untuk membangun dan men-deploy perangkat lunak Anda harus mengikuti rekomendasi praktik yang sama seperti beban kerja lainnya di lingkungan Anda. Pengujian yang diimplementasikan di pipeline seharusnya tidak dapat diedit oleh builder yang menggunakannya. Pipeline seharusnya hanya memiliki izin yang diperlukan untuk deployment yang dilakukannya dan harus mengimplementasikan perlindungan untuk menghindari deployment ke lingkungan yang salah. Pipeline tidak boleh bergantung pada kredensial jangka panjang, dan harus dikonfigurasikan untuk memberikan status sehingga integritas lingkungan build dapat divalidasi.

Antipola umum:

Pengujian keamanan yang dapat dilewati oleh builder.
Izin yang terlalu luas untuk pipeline deployment.
Pipeline tidak dikonfigurasikan untuk memvalidasi input.
Tidak rutin meninjau izin yang terkait dengan infrastruktur CI/CD Anda.
Penggunaan kredensial jangka panjang atau yang diberi hardcode.

Manfaat menjalankan praktik terbaik ini:

Kredibilitas lebih tinggi pada integritas perangkat lunak yang dibangun dan di-deploy melalui pipeline.
Kemampuan untuk menghentikan deployment saat ada aktivitas yang mencurigakan.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Tinggi

Panduan implementasi

Memulai dengan layanan CI/CD terkelola yang mendukung peran IAM menurunkan risiko kebocoran kredensial. Menerapkan prinsip Pilar Keamanan ke infrastruktur pipeline CI/CD Anda dapat membantu Anda menentukan titik mana yang dapat ditingkatkan keamanannya. Mengikuti Arsitektur Rujukan Pipeline Deployment AWS adalah titik awal yang baik untuk membangun lingkungan CI/CD Anda. Meninjau secara rutin implementasi pipeline dan menganalisis log untuk menemukan perilaku tidak terduga dapat membantu Anda memahami pola penggunaan pipeline yang digunakan untuk men-deploy perangkat lunak.

Langkah implementasi

Mulai dengan Arsitektur Rujukan Pipeline Deployment AWS.
Pertimbangkan untuk menggunakan AWS IAM Access Analyzer agar dapat secara terprogram membuat kebijakan IAM hak akses paling rendah untuk pipeline.
Integrasikan pipeline Anda dengan pemantauan dan peringatan sehingga Anda mendapatkan notifikasi aktivitas tidak terduga atau tidak normal, untuk layanan terkelola AWS, Amazon EventBridge memungkinkan Anda merutekan data ke target seperti AWS Lambda atau Amazon Simple Notification Service (Amazon SNS).

Sumber daya

Dokumen terkait:

Contoh terkait:

Dasbor pemantauan DevOps (GitHub)

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

SEC11-BP06 Lakukan deployment perangkat lunak secara terprogram

SEC11-BP08 Buat program yang menanamkan kepemilikan keamanan dalam tim beban kerja