适用于SOX合规性的Azure DevOps权限层次结构
问题:作为SOX合规性审计的一部分,要求职责分离的审计员要求取消对源代码的贡献访问权限,即使是像Azure DevOps服务中Azure Repos中的项目管理员和集合管理员这样的管理员,或者任何能够通过发布管道部署到生产环境的管理员。
问:在DevOps和DevOps时代,微软或任何其他使用Azure SRE或类似服务的公司如何解决这些权限冲突,在这个时代,有权访问生产部署的人将需要进行代码更改(如果需要)来解决任何客户问题,同时让合规性人员感到满意?
到目前为止尝试过的解决方案:-为项目集合管理员组添加了对存储库中的贡献权限的显式拒绝,但它没有解决集合管理员的所有其他情况,拒绝不会胜过允许。来自MS Docs - Azure DevOps Permission Settings
回答 1
Stack Overflow用户
发布于 2020-12-29 06:41:07
我不确定这是不是一个可以接受的答案,但你的问题是你的审计员。在这个时代,人们通常认为,自动化和健壮的审计日志相结合,这足以遵守。
我推测你的问题来自于审计师的缺乏理解。实际的部署是由机器处理的,而不是人。我同意开发人员不应该随意地对产品进行更改。
我的建议是,下次和你们的首席技术官商量一下组建一个新的审计团队。
这里是Puppet对此所说的参考:
“职责分离”到底是什么意思?一些公司实施控制,以限制对IT系统的访问或需要人工审批,认为法规-例如,萨班斯-奥克斯利法案或SOC 2-要求职责分离。这通常被解释为意味着可以提交到代码库的人不能被允许将相同的代码部署到生产环境中。事实上,许多审计人员和安全专业人员确信这就是法规所说的。在现实中,法规通常可以通过以下组合来满足:·自动化部署·要求代码作者以外的人必须审查和批准更改·支持控制,如强大的审计日志和访问控制如果您的自动化工作正受到此类控制的阻碍,我们建议您专注于与您的审计员和风险管理团队建立协作关系。以高效和安全的方式共同努力,真正满足监管要求。我们看到很少有人真正联系到他们的风险团队进行合作,但这样做的人几乎总是成功的。
https://stackoverflow.com/questions/59684337
复制相似问题
腾讯云开发者
