开发人员访问ARM模板是否可防止PCI合规性?
问题描述:
我希望我的公司使用由VSTS发布管道部署的ARM模板,以允许开发人员定义将部署到我们公司的OP团队拥有的订阅的资源,以确保开发人员无法访问这些资源资源每PCI DSS 6.4.2。开发人员访问ARM模板是否可防止PCI合规性?
但是,我们注意到“Microsoft.SQL/server”模板允许设置管理员的用户名和密码以及防火墙设置。这将允许开发人员对密码进行硬编码并打开一个允许他们直接访问任何SQL Server的端口。
{
"name": "creditcardinfo",
"type": "Microsoft.Sql/servers",
"apiVersion": "2014-04-01",
"location": "[resourceGroup().location]",
"properties": {
"administratorLogin": "maliciousDev",
"administratorLoginPassword": "HardCodedPassword",
"version": "12.0"
}
}
我们可以添加脚本到我们的VSTS管道黑名单此属性的设置,但现在有一个担心,可能还有其他的方式,开发人员可以通过其他ARM模板访问的生产资源。
有没有一种方法可以让开发人员充满信心地使用ARM模板:无法使用这些模板为任何Azure资源授予访问权限,还是必须提供备用解决方案?
答
只为这些创建一个单独的回购,你很好。
而编辑ARM模板的人没有“防御”。有无数的可能性来编辑模板来访问资源。
只是为了澄清,你是否建议ARM模板驻留在OP拥有“主”的回购站中。开发人员可以向他们提交PR,以使他们更新,从而使OP有机会验证开发人员是否没有对密码或其他恶意代码进行硬编码(或者只是愚蠢的)? – jt000
是啊,为什么不呢?很常见的做法 – 4c74356b41
这就是为了一个有趣的VSTS管道。 – CtrlDot