-1
我希望我的公司使用由VSTS發佈管道部署的ARM模板,以允許開發人員定義將部署到我們公司的OP團隊擁有的訂閱的資源,以確保開發人員無法訪問這些資源資源每PCI DSS 6.4.2。開發人員訪問ARM模板是否可防止PCI合規性?
但是,我們注意到「Microsoft.SQL/server」模板允許設置管理員的用戶名和密碼以及防火牆設置。這將允許開發人員對密碼進行硬編碼並打開一個允許他們直接訪問任何SQL Server的端口。
{
"name": "creditcardinfo",
"type": "Microsoft.Sql/servers",
"apiVersion": "2014-04-01",
"location": "[resourceGroup().location]",
"properties": {
"administratorLogin": "maliciousDev",
"administratorLoginPassword": "HardCodedPassword",
"version": "12.0"
}
}
我們可以添加腳本到我們的VSTS管道黑名單此屬性的設置,但現在有一個擔心,可能還有其他的方式,開發人員可以通過其他ARM模板訪問的生產資源。
有沒有一種方法可以讓開發人員充滿信心地使用ARM模板:無法使用這些模板爲任何Azure資源授予訪問權限,還是必須提供備用解決方案?
只是爲了澄清,你是否建議ARM模板駐留在OP擁有「主」的回購站中。開發人員可以向他們提交PR,以使他們更新,從而使OP有機會驗證開發人員是否沒有對密碼或其他惡意代碼進行硬編碼(或者只是愚蠢的)? – jt000
是啊,爲什麼不呢?很常見的做法 – 4c74356b41
這就是爲了一個有趣的VSTS管道。 – CtrlDot