Panoramica sull'osservabilità

L'osservabilità svolge un ruolo in tutta la supply chain per i contenitori fornendo visibilità, monitoraggio e controllo sulle varie fasi, dall'acquisizione alla compilazione alla distribuzione e all'esecuzione. È fondamentale per comprendere il ciclo di vita dell'applicazione in contenitori, le varie fasi della catena di fornitura che attraversa, i componenti da cui dipende, nonché gli attori che partecipano alla sua creazione. Con l'osservabilità, le aziende possono identificare le lacune nella sicurezza della supply chain dei contenitori, rispondere a domande critiche durante la risposta agli eventi imprevisti e persino impedire la distribuzione di contenitori non sicuri nell'ambiente di produzione.

Come componente critico del framework CSSC (Containers Secure Supply Chain) di Microsoft, Observability identifica un set di procedure consigliate e linee guida per le applicazioni in contenitori. In questo articolo verranno illustrati i background, gli obiettivi e gli obiettivi per l'osservabilità della supply chain sicura dei contenitori.

Background

Negli ambienti aziendali odierni, le applicazioni in contenitori vengono compilate e distribuite usando un'ampia gamma di strumenti gestiti da team diversi. I dati di osservabilità di questi strumenti sono spesso silo e rendono difficile tenere traccia del ciclo di vita di un'applicazione in contenitori. Questa mancanza di visibilità rende difficile identificare le lacune nella sicurezza della supply chain e rilevare potenziali problemi di sicurezza.

Il componente Observability del framework CSSC consiglia un set di procedure consigliate e linee guida per l'acquisizione di dati essenziali dalle varie fasi della catena di fornitura di contenitori. Questi dati possono essere usati per stabilire i passaggi comuni del ciclo di vita di un'applicazione in contenitori e rilevare anomalie che possono essere indicatori di compromissione (IoC).

Procedure consigliate

Microsoft consiglia di implementare l'osservabilità in ogni fase della supply chain dei contenitori. I dati di osservabilità di ogni fase devono essere integrati in un unico sistema che fornisce una visione olistica della supply chain. L'intelligenza artificiale può correlare i dati da fasi diverse e identificare modelli che possono essere usati per rilevare anomalie e prevenire gli incidenti di sicurezza.

L'osservabilità deve essere aumentata con funzionalità dettagliate di creazione di report e avvisi. La creazione di report aiuta i team a comprendere il comportamento di sicurezza corrente e apportare miglioramenti, oltre a soddisfare i requisiti di conformità. Un avviso tempestivo per un comportamento sospetto può prevenire gli eventi imprevisti di sicurezza e ridurre l'impatto di una violazione.

Microsoft consiglia almeno di acquisire i dati di osservabilità seguenti:

• Origini, versioni e comportamento di vulnerabilità delle immagini del contenitore esterne che possono essere usate per valutare il rischio di dipendenze esterne.
• Attività degli utenti per richiedere e approvare l'uso di immagini esterne che possono identificare potenziali minacce interne.
• Date e ore di analisi di vulnerabilità e malware per assicurarsi che vengano eseguite regolarmente ed evitare dati obsoleti.
• Utilizzo di immagini esterne nelle pipeline di compilazione e distribuzione per quantificare il rischio di dipendenze esterne.
• Dettagli della compilazione, ad esempio il percorso del codice sorgente, l'ambiente di compilazione e gli artefatti di compilazione per assicurarsi che le compilazioni siano conformi.
• Dettagli della distribuzione, ad esempio l'ambiente di distribuzione, gli artefatti della distribuzione e la configurazione della distribuzione per assicurarsi che le distribuzioni siano conformi
• Dettagli di runtime, ad esempio l'ambiente di runtime, gli artefatti di runtime, la configurazione di runtime e il comportamento di runtime per garantire che non si trascosti dal comportamento previsto.

I dati di osservabilità precedenti possono essere correlati ad altri dati di sistemi SIEM (Security Information and Event Management), ad esempio log del firewall, traffico di rete e attività utente per rilevare modelli e identificare potenziali eventi imprevisti di sicurezza.

Obiettivi di sicurezza per l'osservabilità

L'implementazione dell'osservabilità all'interno di ogni fase è fondamentale per identificare le lacune e prevenire gli eventi imprevisti di sicurezza nella supply chain per i contenitori. Il componente Observability del framework CSSC è progettato per soddisfare gli obiettivi di sicurezza seguenti.

Rilevare minacce e comportamenti dannosi

Gli attacchi alle catene di approvvigionamento software stanno diventando sempre più comuni e sofisticati. Gli strumenti di monitoraggio correnti sono limitati ai sistemi di monitoraggio all'interno di una singola fase della supply chain ignorando il contesto complessivo del ciclo di vita dei contenitori. Le aziende possono basarsi su controlli periodici o manuali, che sono meno efficaci per identificare le minacce in corso o modelli di attacco in rapida evoluzione.

L'implementazione dell'osservabilità end-to-end nella supply chain per i contenitori può aiutare i team di sicurezza a ottenere una visione olistica della catena di approvvigionamento e identificare potenziali minacce e comportamenti dannosi.

Semplificare la conformità

Le applicazioni native del cloud vengono distribuite su scala globale e sono costituite da un numero elevato di asset. La visibilità limitata in cui vengono distribuiti i contenitori, quali origini vengono usate e qual è il comportamento di sicurezza, rende difficile soddisfare i requisiti di conformità. La mancanza di inventario impedisce inoltre alle aziende di quantificare rapidamente l'impatto delle vulnerabilità critiche e intervenire.

L'acquisizione dei dati di osservabilità in ogni fase della supply chain per i contenitori può aiutare le aziende a creare un inventario completo degli asset contenitore e creare grafici delle dipendenze che possono essere usati per valutare rapidamente i rischi e fornire report sulla conformità.

Assistenza con la risposta agli eventi imprevisti

La mancanza di osservabilità può ostacolare le attività di risposta agli eventi imprevisti ritardando il rilevamento, limitando la visibilità, aumentando i carichi di lavoro manuali e riducendo l'efficienza e l'efficacia delle misure di risposta. Senza la visione completa della supply chain end-to-end per i contenitori, i risponditori di eventi imprevisti potrebbero non avere informazioni critiche, rendendo difficile valutare la gravità dell'evento imprevisto e formulare una strategia di risposta efficace.

Correlare i dati di osservabilità dalle varie fasi della supply chain per i contenitori può aiutare i risponditori a prendere decisioni migliori e rispondere più velocemente agli eventi imprevisti di sicurezza.

Strumenti consigliati

Microsoft offre un set di strumenti e servizi che possono essere usati per implementare l'osservabilità nella supply chain dei contenitori.

i log di controllo e diagnostica di Registro Azure Container (ACR) forniscono un controllo dettagliato e un percorso di attività di tutte le operazioni eseguite nel Registro di sistema. I log e i dati di moniring possono essere analizied e correlati ad altri dati di osservabilità in Monitoraggio di Azure.

Microsoft Defender per DevOps offre una visibilità unificata sul comportamento di sicurezza DevOps per i team che usano Azure DevOps e GitHub. Defender per DevOps consente di individuare errori di configurazione della distribuzione, segreti esposti e annotare le richieste pull in GitHub e Azure DevOps con informazioni di sicurezza.

Passaggi successivi

• Introduzione al framework della supply chain sicura dei contenitori
• Panoramica della fase acquisizione
• Panoramica della fase catalogo
• Panoramica della fase di compilazione
• Panoramica della fase di distribuzione
• Panoramica della fase di esecuzione