【问题标题】:Azure DevOps Permissions Hierarchy for SOX Compliance用于 SOX 合规性的 Azure DevOps 权限层次结构
【发布时间】:2020-01-10 15:11:23
【问题描述】:

问题:作为 SOX 合规性审计的一部分,要求职责分离的审计员要求删除对源代码的贡献访问权限,即使是 Azure DevOps 服务中 Azure Repos 中的项目管理员和集合管理员等管理员,或任何能够通过发布管道部署到生产环境的人。

问题:MS 或任何其他使用 Azure DevOps 或类似服务的公司如何解决 DevOps 和 SRE 时代的这些权限冲突,其中有权访问生产部署的人需要进行代码更改(如果需要)以解决任何客户问题,同时让合规人员满意?

到目前为止尝试过的解决方案:- - 为项目集合管理员组添加了对存储库中贡献权限的明确拒绝,但它没有解决所有其他情况,如集合管理员,拒绝不允许。 来自 MS Docs - Azure DevOps Permission Settings

【问题讨论】:

  • 您能描述一下您要设置的权限吗?请查看下面的文章,该文章为每个内置用户、组和权限提供了全面的参考。这是描述每个内置安全用户和组以及每个权限的大量信息:docs.microsoft.com/en-us/azure/devops/organizations/security/…
  • 是的,我知道我们可以设置明确的权限来拒绝某些用户作为贡献者的访问权限,这样他们就无法为我们正在做的代码做出贡献。但这就像太多的开销,对于每个代码存储库,都必须关闭对该组的显式贡献。因此,我想知道拥有许多代码存储库的大型组织如何管理它仍然保持合规性满意?

标签: azure azure-devops devops continuous-delivery sarbanes-oxley


【解决方案1】:

不确定这是否是一个可接受的答案,但您的问题是您的审核员。在这个时代,人们普遍认为,自动化和强大的审计日志相结合,就足以满足要求。

我推测您的问题来自审核员缺乏理解。实际部署由机器处理,而不是人。我同意开发人员不应该对产品进行未经检查的任意更改。

我的建议是,与您的 CTO 商量下一次组建新的审计团队。

Puppet 对此的评价如下:

“职责分离”的真正含义是什么?部分企业实施 控制以限制对 IT 系统的访问或需要手动批准, 相信法规——例如,《萨班斯-奥克斯利法案》或 SOC 2 — 强制职责分离。这通常被解释为 意味着可以提交代码存储库的人不得 允许将相同的代码部署到生产中。事实上,许多审计师 和安全专业人士相信,这就是 规定说。实际上,经常可以满足法规要求 结合: • 自动部署 • 要求代码作者以外的其他人必须审查和批准更改 • 支持强大的审计日志和访问控制等控制措施 如果 您的自动化工作受到诸如此类的控制的阻碍, 我们建议您专注于与 您的审计师和风险管理团队。真诚合作 以高效和安全的方式满足监管要求。 我们看到很少有人真正联系他们的风险团队 合作,但那些几乎总是成功的人。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2014-11-01
    • 2011-11-21
    • 1970-01-01
    • 2013-01-22
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多