Přehled pozorovatelnosti

Pozorovatelnost hraje roli v celém dodavatelském řetězci kontejnerů tím, že poskytuje viditelnost, monitorování a kontrolu nad různými fázemi, od získávání po sestavení až po nasazení a spuštění. Je nezbytné pochopit životní cyklus kontejnerizované aplikace, různé fáze dodavatelského řetězce, kterými prochází, komponenty, na které závisí, a také aktéři, kteří se účastní jejího vytvoření. Díky pozorovatelnosti můžou podniky identifikovat mezery v zabezpečení dodavatelského řetězce kontejnerů, odpovídat na kritické otázky během reakce na incidenty a dokonce zabránit nasazení nezabezpečených kontejnerů v produkčním prostředí.

Jako kritická součást architektury CSSC (Containers Secure Supply Chain) od Microsoftu identifikuje pozorovatelnost sadu osvědčených postupů a pokynů pro kontejnerizované aplikace. V tomto článku se dozvíte o pozadí, cílech a cílech pro pozorovatelnost kontejnerů zabezpečeného dodavatelského řetězce.

Pozadí

V dnešních podnikových prostředích se kontejnerizované aplikace sestavují a nasazují pomocí různých nástrojů spravovaných různými týmy. Data pozorovatelnosti z těchto nástrojů jsou často vysílaná a znesnadňuje sledování životního cyklu kontejnerizované aplikace. Tato nedostatečná viditelnost znesnadňuje identifikaci mezer v zabezpečení dodavatelského řetězce a zjišťování potenciálních problémů se zabezpečením.

Komponenta Pozorovatelnost architektury CSSC doporučuje sadu osvědčených postupů a pokynů pro zachycení základních dat z různých fází dodavatelského řetězce kontejnerů. Tato data se dají použít k vytvoření běžných kroků v životním cyklu kontejnerizované aplikace a k detekci anomálií, které můžou být indikátory ohrožení (IoC).

Doporučené postupy

Microsoft doporučuje implementovat pozorovatelnost v každé fázi dodavatelského řetězce kontejnerů. Data pozorovatelnosti z každé fáze by měla být integrována do jednoho systému, který poskytuje ucelený pohled na dodavatelský řetězec. Umělá inteligence může korelovat data z různých fází a identifikovat vzory, které je možné použít k detekci anomálií a zabránit incidentům zabezpečení.

Pozorovatelnost by měla být rozšířena o podrobné možnosti vytváření sestav a upozorňování. Vytváření sestav pomáhá týmům porozumět jejich aktuálnímu stavu zabezpečení a vylepšit je a zároveň jim pomáhá splňovat požadavky na dodržování předpisů. Včasné upozorňování na podezřelé chování může zabránit incidentům zabezpečení a snížit dopad porušení zabezpečení.

Microsoft minimálně doporučuje zachytit následující data pozorovatelnosti:

• Zdroje, verze a stav ohrožení zabezpečení externích imagí kontejnerů, které je možné použít k vyhodnocení rizika externích závislostí.
• Aktivity uživatelů pro vyžádání a schválení používání externích obrázků, které můžou identifikovat potenciální vnitřní hrozby.
• Data a časy kontrol ohrožení zabezpečení a malwaru, aby se zajistilo jejich pravidelné provádění a zabránění zastaralým datům.
• Použití externích imagí v kanálech sestavení a nasazení k kvantifikování rizika externích závislostí
• Podrobnosti o sestavení, jako je umístění zdrojového kódu, prostředí sestavení a artefakty sestavení, aby se zajistilo, že sestavení jsou kompatibilní.
• Podrobnosti o nasazení, jako je prostředí nasazení, artefakty nasazení a konfigurace nasazení, aby se zajistilo, že nasazení vyhovují předpisům
• Podrobnosti modulu runtime, jako je prostředí runtime, artefakty modulu runtime, konfigurace modulu runtime a chování modulu runtime, aby nedošlo k žádné odchylce od očekávaného chování.

Výše uvedená data pozorovatelnosti můžou souviset s dalšími daty ze systémů siEM (Security Information and Event Management), jako jsou protokoly brány firewall, síťový provoz a aktivity uživatelů, a zjišťovat vzory a identifikovat potenciální bezpečnostní incidenty.

Cíle zabezpečení pro pozorovatelnost

Implementace pozorovatelnosti v rámci každé fáze je zásadní pro identifikaci mezer a zabránění incidentům zabezpečení v dodavatelském řetězci kontejnerů. Komponenta pozorovatelnosti architektury CSSC je určená k splnění následujících cílů zabezpečení.

Detekce hrozeb a škodlivého chování

Útoky na softwarové dodavatelské řetězce jsou stále častější a sofistikovanější. Současné monitorovací nástroje jsou omezené na systémy monitorování v rámci jedné fáze dodavatelského řetězce, které ignorují celkový kontext životního cyklu kontejnerů. Podniky můžou spoléhat na pravidelné nebo ruční kontroly, které jsou méně efektivní při identifikaci probíhajících hrozeb nebo rychle se vyvíjejících vzorů útoku.

Implementace komplexní pozorovatelnosti v dodavatelském řetězci pro kontejnery může pomoct týmům zabezpečení získat ucelený pohled na dodavatelský řetězec a identifikovat potenciální hrozby a škodlivé chování.

Zjednodušení dodržování předpisů

Nativní cloudové aplikace se nasazují v globálním měřítku a skládají se z velkého počtu prostředků. Omezená viditelnost, kdy se kontejnery nasazují, jaké zdroje se používají a jaké jsou jejich stav zabezpečení, znesnadňuje splnění požadavků na dodržování předpisů. Nedostatek inventáře také podnikům brání v rychlém kvantifikování dopadu kritických ohrožení zabezpečení a provedení opatření.

Zachycení pozorovatelných dat v každé fázi dodavatelského řetězce pro kontejnery může podnikům pomoct vytvořit komplexní inventář svých prostředků kontejnerů a vytvářet grafy závislostí, které je možné použít k rychlému vyhodnocení rizik a poskytování sestav dodržování předpisů.

Pomoc s reakcí na incidenty

Nedostatek pozorovatelnosti může bránit úsilí o reakci na incidenty tím, že zpozdí detekci, omezí viditelnost, zvýší ruční úlohy a sníží efektivitu a efektivitu opatření reakce. Bez úplného přehledu komplexního dodavatelského řetězce pro kontejnery můžou reakce na incidenty chybět kritické informace, což ztěžuje posouzení závažnosti incidentu a formulaci efektivní strategie reakce.

Korelace pozorovatelných dat z různých fází dodavatelského řetězce pro kontejnery může pomoct reakce na incidenty incidentů lépe rozhodovat a rychleji reagovat na incidenty zabezpečení.

Doporučené nástroje

Microsoft nabízí sadu nástrojů a služeb, které je možné použít k implementaci pozorovatelnosti v dodavatelském řetězci kontejnerů.

Protokoly auditu a diagnostiky služby Azure Container Registry (ACR) poskytují podrobný záznam auditu a aktivity všech operací prováděných v registru. Protokoly a zpřístupnění dat můžou být analiziovány a korelovány s dalšími pozorovatelnými daty ve službě Azure Monitor.

Microsoft Defender for DevOps poskytuje jednotný přehled o stavu zabezpečení DevOps pro týmy, které používají Azure DevOps a GitHub. Defender for DevOps pomáhá zjišťovat chybné konfigurace nasazení, vystavené tajné kódy a přidávání poznámek k žádostem o přijetí změn v GitHubu a Azure DevOps s informacemi o zabezpečení.

Další kroky

• Úvod do architektury zabezpečeného dodavatelského řetězce kontejnerů
• Přehled fáze Získání
• Přehled fáze katalogu
• Přehled fáze sestavení
• Přehled fáze nasazení
• Přehled fáze spuštění