Actualmente nos estamos moviendo para que una tubería de ci \ cd se ejecute en Gitlab. Nuestra configuración actual es que tenemos un entorno de no producción y de producción en redes separadas. Esto reduce el alcance de PCI a solo la red de Producción, ya que este es el único lugar donde se encuentran los datos del titular de la tarjeta.
Obtenemos una implementación en producción por lo siguiente:
- Código de compromiso para git
- Esto inicia la construcción actual de artefactos a través del control de crucero
- En la no producción, implementamos esto a través de scripts, que tienen acceso a artefactos
- Para la producción, ponemos los artefactos a disposición de la producción por presionando al servidor SFTP y ejecutando scripts en el servidor de salto de producción para desplegar
Ahora estamos trabajando para movernos a usar Gitlab donde:
- Gitlab se ejecuta en un entorno no prod.
- El registro de Gitlab se ejecuta en un entorno no productivo con las imágenes de la ventana acoplable almacenadas en el sistema de archivos por ahora, eventualmente a algo como s3
- Corredor GitLab que se ejecuta en un entorno que no es de producción
Nuestro problema es que la parte del CD que necesitamos para insertar imágenes en cajas de producción y ejecutar comandos de ventana acoplable (ejecución de ventana acoplable). Esto hace que nuestro entorno de no producción (a través de un canal en ejecución) tenga acceso a la producción que nunca requerimos.
¿Alguna orientación sobre cómo evitar esto y mantener nuestro entorno de producción lo más restringido posible? Supongo que muchas empresas quieren mantener la producción restringida y, ¿cómo lo logran?