我有一个客户在我们的 ASP.NET 应用程序的部署实践方面受到 SOX 审计员的严厉追究。注意确保使用适当的文件和文件夹级别的安全和授权。只有少数拥有部署权限的人可以将文件复制到产品服务器(通常使用安全 FTP 完成)。
但是,文件/文件夹级别的安全性和安全 FTP 的要求对于 bean 计数器来说是不够的。他们想要系统日志,记录谁在何时部署了什么、什么版本替换了什么版本(以及为什么),以及通常旨在防止业务被办公空间隔开的许多其他细枝末节(bean 柜台显然希望自己获得四舍五入的美分)。
你有什么让审计师满意的建议?我们不介意为此投入一些资金(事实上,我认为我们可能会投入大量资金来获得足够好的解决方案)。
您可能希望查看自动化部署解决方案,并且您将需要一个正式的变更控制流程。我们使用anthill pro。它可以跟踪部署的版本和时间。
为了满足 sox,我们每周召开一次会议,讨论何时部署的内容。它必须得到合规经理的批准,并且每次部署都需要填写一份表格,解释改变的内容、原因和方式。填写表格后,必须让第三方参与(不是请求或批准的人,他们都无法访问生产环境,因为您必须遵循职责分离规则)来进行更改和变更是基于“变更文件”中的内容,没有来自提出请求的人的外部沟通。部署后,所有人都必须签字确认已完成以及何时完成。
满足要求应该不会太难,它可能需要对您的开发过程进行一些更改,但这绝对是可能的。
你需要的是:
还要打开审核,运行定期安全测试,并记录几乎所有内容。
所有这一切都可以通过许多系统实现,最大的变化是内部流程的变化。
您可能想看看 NTFS 提供的审计功能。