Ich möchte, dass meine Firma von einer VSTS-Release-Pipeline bereitgestellte ARM-Vorlagen verwendet, um Entwicklern das Definieren von Ressourcen zu ermöglichen, die für ein Abonnement unseres OP-Teams in unserem Unternehmen bereitgestellt werden, um sicherzustellen, dass Entwickler keinen Produktionszugriff auf diese haben Ressourcen pro PCI DSS 6.4.2.Beeinträchtigt der Entwicklerzugriff auf ARM-Vorlagen die PCI-Konformität?
Wir haben jedoch festgestellt, dass die Vorlage "Microsoft.SQL/server" die Einstellung des Benutzernamens und des Passworts des Administrators sowie der Firewall-Einstellungen ermöglicht. Dies würde es einem Entwickler ermöglichen, ein Kennwort hart zu codieren und einen Port zu öffnen, der es ihnen erlaubt, direkt auf irgendeinen SQL Server zuzugreifen.
{
"name": "creditcardinfo",
"type": "Microsoft.Sql/servers",
"apiVersion": "2014-04-01",
"location": "[resourceGroup().location]",
"properties": {
"administratorLogin": "maliciousDev",
"administratorLoginPassword": "HardCodedPassword",
"version": "12.0"
}
}
Wir konnten ein Skript unsere VSTS Pipeline schwarze Liste die Einstellung dieser Eigenschaft hinzufügen, aber es gibt jetzt die Sorge, dass es andere Möglichkeiten sein kann, ein Entwickler könnte die Produktion Ressourcen durch andere ARM-Vorlagen zugreifen.
Gibt es eine Möglichkeit, wie Entwickler ARM-Templates verwenden können, mit der Gewissheit, dass der Zugriff auf diese Templates für Azure-Ressourcen nicht gewährt werden kann oder müssen wir eine alternative Lösung vorschlagen?
Nur zur Verdeutlichung, schlagen Sie vor, dass die ARM-Vorlagen in einem Repository liegen, in dem OPs "Master" besitzen. Entwickler können PRs an sie senden, um sie auf den neuesten Stand zu bringen, was OPs die Möglichkeit gibt zu überprüfen, dass ein Entwickler kein Passwort oder etwas anderes böswilliges (oder dummes) fest programmiert hat? – jt000
ja, warum nicht? ziemlich gängige Praxis – 4c74356b41
Das wird für eine lustige VSTS-Pipeline machen. – CtrlDot