Déploiement ASP.NET et conformité réglementaire (SOX, et al)

Question

J'ai un client qui est assez durement surveillé par les auditeurs SOX concernant les pratiques de déploiement de nos applications ASP.NET. Veillez à utiliser une sécurité et une autorisation appropriées au niveau des fichiers et des dossiers. Seules les personnes disposant des privilèges de déploiement peuvent en copier une vers le serveur du produit (généralement via FTP sécurisé). Toutefois, la sécurité au niveau du fichier/dossier et l'exigence de FTP sécurisé ne sont pas suffisantes pour les compteurs de beans. Ils veulent des journaux système pour savoir qui a utilisé quoi, quand et quelle version (et pourquoi), et en général beaucoup d'autres minuties conçues pour éviter que l'entreprise ne devienne Office Spaced (les compteurs de haricots veulent apparemment les arrondir à eux-mêmes).

Quelles sont vos suggestions pour rendre les auditeurs heureux? Cela ne nous dérange pas de jeter de l'argent là-dedans (en fait, je pense que nous aurions probablement investi beaucoup d'argent dans une solution assez bonne).

Answer 1

Vous pouvez jeter un coup d'œil aux fonctionnalités d'audit fournies par NTFS.

Answer 2

Vous souhaitez probablement envisager une solution de déploiement automatisée et vous aurez besoin d'un processus formel de contrôle des modifications. Nous utilisons anthill pro. Il peut suivre quelle version et quand elle a été déployée.

Pour satify sox nous avions une réunion hebdomadaire de ce qui était déployé quand. Il devait être approuvé par le responsable de la conformité et chaque déploiement devait être rempli pour expliquer quoi, pourquoi et comment quelque chose était modifié. Une fois le formulaire rempli, une tierce personne devait être impliquée (pas la personne qui demande ou approuve, ni l'un ni l'autre ne peut avoir accès à l'environnement de production, en raison de la règle de séparation des tâches que vous devez suivre) pour effectuer le changement et changement était basé sur ce qui était dans le "document de changement" pas de communication extérieure de la personne faisant la demande. Une fois déployés, tous les gens devaient signer que c'était fait et quand.

Answer 3

Il ne devrait pas être trop difficile de répondre aux exigences, cela pourrait nécessiter quelques modifications à vos processus de développement, mais c'est certainement possible.

Qu'est-ce que vous avez besoin est:

• Un système de suivi des tâches, montrant des descriptions de travail, et les approbations
• La possibilité de lier des documents, ainsi que des forfaits à ce système.
• Un système de test pour tester vos déploiements sur.
• Enfin, tous les déploiements doivent être effectués via des packages d'installation et d'autres moyens scriptés.
• Toute modification manuelle doit être documentée et approuvée également.

Activez également l'audit, exécutez des tests de sécurité réguliers et documentez presque tout.

Tout cela est possible avec un certain nombre de systèmes, le plus grand changement est les changements à vos processus internes.