Applicare principi Zero Trust alle applicazioni IaaS in Amazon Web Services
Nota
L'imminente livestream partecipa al team di Azure FastTrack durante la discussione di questo articolo. 16 ottobre 2024 | 10.00 - 11.30 (UTC-07.00) Ora pacifico (Stati Uniti e Canada). Registrati qui.
Questo articolo illustra i passaggi per applicare i principi di Zero Trust alle applicazioni IaaS in Amazon Web Services (AWS):
Principio Zero Trust | Definizione | Met by |
---|---|---|
Verificare esplicita | Eseguire sempre l'autenticazione e l'autorizzazione in base a tutti i punti dati disponibili. | Sicurezza in DevOps (DevSecOps), usando la sicurezza avanzata di GitHub e DevOps, analizza e protegge l'infrastruttura come codice. |
Usare l'accesso con privilegi minimi | Limitare l'accesso degli utenti con JUST-In-Time e Just-Enough-Access (JIT/JEA), criteri adattivi basati sui rischi e protezione dei dati. |
|
Presunzione di violazione | Ridurre al minimo il raggio di attacco e l'accesso al segmento. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese. |
|
Per altre informazioni su come applicare i principi di Zero Trust in un ambiente IaaS di Azure, vedere La panoramica sull'applicazione dei principi Zero Trust ad Azure IaaS.
Componenti AWS e AWS
AWS è uno dei provider di cloud pubblici disponibili sul mercato, insieme a Microsoft Azure, Google Cloud Platform e altri. È comune per le aziende avere un'architettura multicloud costituita da più provider di servizi cloud. In questo articolo ci concentriamo su un'architettura multicloud in cui:
- Azure e AWS sono integrati per eseguire carichi di lavoro e soluzioni aziendali IT.
- È possibile proteggere un carico di lavoro AWS IaaS usando i prodotti Microsoft.
Le macchine virtuali AWS, denominate Amazon Elastic Compute Cloud (Amazon EC2), vengono eseguite su una rete virtuale AWS, denominata Amazon Virtual Private Cloud (Amazon VPC). Gli utenti e gli amministratori cloud configurano amazon VPC nell'ambiente AWS e aggiungono macchine virtuali Amazon EC2.
AWS CloudTrail registra l'attività dell'account AWS nell'ambiente AWS. Amazon EC2, Amazon VPC e AWS CloudTrail sono comuni negli ambienti AWS. La raccolta di log da questi servizi è essenziale per comprendere cosa sta succedendo nell'ambiente AWS e le azioni da intraprendere per evitare o attenuare gli attacchi.
Amazon GuardDuty è un servizio di rilevamento delle minacce che consente di proteggere i carichi di lavoro AWS monitorando l'ambiente AWS per attività dannose e comportamenti non autorizzati.
Questo articolo illustra come integrare il monitoraggio e la registrazione di queste risorse e servizi AWS con le soluzioni di monitoraggio di Azure e lo stack di sicurezza Microsoft.
Architettura di riferimento
Il diagramma dell'architettura seguente illustra i servizi e le risorse comuni necessari per eseguire un carico di lavoro IaaS in un ambiente AWS. Il diagramma mostra anche i servizi di Azure necessari per inserire log e dati dall'ambiente AWS in Azure e per fornire il monitoraggio e la protezione delle minacce.
Il diagramma illustra l'inserimento di log in Azure per le risorse e i servizi seguenti nell'ambiente AWS:
- Amazon Elastic Compute Cloud (Amazon EC2)
- Amazon Virtual Private Cloud (Amazon VPC)
- Amazon Web Services CloudTrail (AWS CloudTrail)
- Amazon GuardDuty
Per inserire i log in Azure per le risorse e i servizi nell'ambiente AWS, è necessario avere Amazon Simple Storage Service (Amazon S3) e Amazon Simple Queue Service (SQS) definiti.
I log e i dati vengono inseriti in Log Analytics in Monitoraggio di Azure.
I prodotti Microsoft seguenti usano i dati inseriti per monitorare:
- Microsoft Defender for Cloud
- Microsoft Sentinel
- Microsoft Defender per endpoint
Nota
Non è necessario inserire i log in tutti i prodotti Microsoft elencati per monitorare le risorse e i servizi AWS. L'uso di tutti i prodotti Microsoft, tuttavia, offre un maggiore vantaggio dal log aws e dall'inserimento di dati in Azure.
Questo articolo segue il diagramma dell'architettura e descrive come:
- Installare e configurare i prodotti Microsoft per inserire i log dalle risorse AWS.
- Configurare le metriche per i dati di sicurezza da monitorare.
- Migliorare il comportamento di sicurezza complessivo e proteggere il carico di lavoro AWS.
- Infrastruttura sicura come codice.
Passaggio 1: Installare e connettere i prodotti Microsoft per inserire log e dati
Questa sezione illustra come installare e connettere i prodotti Microsoft nell'architettura a cui si fa riferimento per inserire i log dai servizi e dalle risorse AWS e Amazon. Per rispettare il principio esplicito di verifica zero trust, è necessario installare i prodotti Microsoft e connettersi all'ambiente AWS per intraprendere azioni proattive prima di un attacco.
Passaggi | Attività |
---|---|
Un | Installare l'agente di Azure Connected Machine nelle macchine virtuali Amazon Elastic Compute Cloud (Amazon EC2) per inserire i dati e i log del sistema operativo in Azure. |
G | Installare l'agente di Monitoraggio di Azure in macchine virtuali Amazon EC2 per inviare i log all'area di lavoro Log Analytics. |
A | Connettere un account AWS a Microsoft Defender per il cloud. |
D | Connettere Microsoft Sentinel a AWS per inserire i dati di log di AWS. |
E | Usare i connettori AWS per eseguire il pull dei log del servizio AWS in Microsoft Sentinel. |
R. Installare l'agente di Azure Connected Machine nelle macchine virtuali Amazon EC2 per inserire i dati e i log del sistema operativo in Azure
I server abilitati per Azure Arc consentono di gestire server fisici Windows e Linux e macchine virtuali ospitate all'esterno di Azure, nella rete aziendale o in un altro provider di servizi cloud. Ai fini di Azure Arc, i computer ospitati all'esterno di Azure sono considerati macchine ibride. Per connettere le macchine virtuali Amazon EC2 (note anche come macchine ibride) ad Azure, installare l'agente Azure Connected Machine in ogni computer.
Per altre informazioni, vedere Connettere computer ibridi ad Azure.
B. Installare l'agente di Monitoraggio di Azure in macchine virtuali Amazon EC2 per inviare i log all'area di lavoro Log Analytics
Monitoraggio di Azure fornisce il monitoraggio completo per le risorse e le applicazioni in esecuzione in Azure e in altri cloud, tra cui AWS. Monitoraggio di Azure raccoglie, analizza e agisce sui dati di telemetria dagli ambienti cloud e locali. Informazioni dettagliate sulle macchine virtuali in Monitoraggio di Azure usa server abilitati per Azure Arc per offrire un'esperienza coerente tra le macchine virtuali di Azure e le macchine virtuali Amazon EC2. È possibile visualizzare le macchine virtuali Amazon EC2 direttamente insieme alle macchine virtuali di Azure. È possibile eseguire l'onboarding delle macchine virtuali Amazon EC2 usando metodi identici. Ciò include l'uso di costrutti standard di Azure, ad esempio Criteri di Azure e l'applicazione di tag.
Quando si abilitano le informazioni dettagliate sulle macchine virtuali per un computer, viene installato l'agente di Monitoraggio di Azure. AMA raccoglie i dati di monitoraggio dalle macchine virtuali Amazon EC2 e lo distribuisce a Monitoraggio di Azure per l'uso da parte di funzionalità, informazioni dettagliate e altri servizi, ad esempio Microsoft Sentinel e Microsoft Defender per il cloud.
Importante
Log Analytics è uno strumento nel portale di Azure usato per modificare ed eseguire query di log sui dati nell'archivio dei log di Monitoraggio di Azure. Log Analytics viene installato automaticamente.
Le macchine virtuali Amazon EC2 potrebbero avere installato l'agente di Log Analytics legacy. Questo agente verrà deprecato nel settembre 2024. Microsoft consiglia di installare il nuovo agente di Monitoraggio di Azure.
L'agente di Log Analytics o l'agente di Monitoraggio di Azure per Windows e Linux è necessario per:
- Monitorare in modo proattivo il sistema operativo e i carichi di lavoro in esecuzione nel computer.
- Gestire il computer usando runbook di Automazione o soluzioni come Gestione aggiornamenti.
- Usare altri servizi di Azure, ad esempio Microsoft Defender per il cloud.
Quando si raccolgono log e dati, le informazioni vengono archiviate in un'area di lavoro Log Analytics. Se si raccolgono dati dalle risorse di Azure nella sottoscrizione, è necessaria un'area di lavoro Log Analytics.
Le cartelle di lavoro di Monitoraggio di Azure sono uno strumento di visualizzazione disponibile nel portale di Azure. Le cartelle di lavoro combinano testo, query di registro, metriche e parametri all'interno di report interattivi avanzati. La configurazione delle cartelle di lavoro consente di usare l'analisi per rispettare il principio di violazione Zero Trust.
Le cartelle di lavoro sono illustrate nell'articolo successivo in Monitoraggio nei log di Microsoft Sentinel da Amazon Virtual Private Cloud (Amazon VPC), AWS CloudTrail e Amazon GuardDuty.
Per altre informazioni, vedi:
- Installare AMA tramite le regole di raccolta dati in Monitoraggio di Azure
- Creare un'area di lavoro Log Analytics
- Introduzione alle cartelle di lavoro di Azure
C. Connettere un account AWS a Microsoft Defender per il cloud
Microsoft Defender per il cloud è cloud Security Posture Management (CSPM) e Cloud Workload Protection Platform (CWPP) per tutte le risorse di Azure, locali e multicloud, tra cui AWS. Defender per il cloud soddisfa tre esigenze fondamentali man mano che si gestisce la sicurezza delle risorse e dei carichi di lavoro nel cloud e in locale:
- Valutazione continua: conoscere il comportamento di sicurezza. Identificare e tenere traccia delle vulnerabilità.
- Sicuro: rafforzare le risorse e i servizi con lo standard Microsoft Cloud Security Benchmark (MCSB) e AWS Foundational Security Best Practices.
- Difesa: rilevare e risolvere le minacce alle risorse e ai servizi.
Microsoft Defender per server è uno dei piani a pagamento forniti da Microsoft Defender per il cloud. Defender per server estende la protezione ai computer Windows e Linux eseguiti in Azure, AWS, Google Cloud Platform e in locale. Defender per server si integra con Microsoft Defender per endpoint per fornire funzionalità di rilevamento e risposta degli endpoint (EDR) e altre funzionalità di protezione dalle minacce.
Per altre informazioni, vedi:
- Connettere un account AWS a Microsoft Defender per il cloud per proteggere le risorse AWS.
- Selezionare un piano defender per server in Microsoft Defender per il cloud per confrontare piani diversi offerti da Defender per server. Defender per server effettua automaticamente il provisioning del sensore Defender per endpoint in ogni computer supportato connesso a Defender per il cloud.
Nota
Se l'agente di Monitoraggio di Azure non è ancora stato distribuito nei server, è possibile distribuire l'agente di Monitoraggio di Azure nei server quando si abilita Defender per server.
D. Connettere Microsoft Sentinel ad AWS per inserire i dati di log di AWS
Microsoft Sentinel è una soluzione scalabile nativa del cloud che fornisce i servizi seguenti:
- Soluzione SIEM (Security information and event management)
- Orchestrazione della sicurezza, automazione e risposta (SOAR)
Microsoft Sentinel offre funzionalità di analisi della sicurezza e intelligence sulle minacce in tutta l'azienda. Con Microsoft Sentinel si ottiene una singola soluzione per il rilevamento degli attacchi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce.
Per istruzioni sull'installazione, vedere Onboarding di Microsoft Sentinel.
E. Usare i connettori AWS per eseguire il pull dei log del servizio AWS in Microsoft Sentinel
Per eseguire il pull dei log del servizio AWS in Microsoft Sentinel, è necessario usare un connettore AWS di Microsoft Sentinel. Il connettore funziona concedendo a Microsoft Sentinel l'accesso ai log delle risorse AWS. La configurazione del connettore stabilisce una relazione di trust tra AWS e Microsoft Sentinel. In AWS viene creato un ruolo che concede l'autorizzazione a Microsoft Sentinel per accedere ai log AWS.
Il connettore AWS è disponibile in due versioni: il nuovo connettore Amazon Simple Storage Service (Amazon S3) che inserisce i log eseguendo il pull da un bucket Amazon S3 e dal connettore legacy per la gestione e i log dei dati di CloudTrail. Il connettore Amazon S3 può inserire log da Amazon Virtual Private Cloud (Amazon VPC), AWS CloudTrail e Amazon GuardDuty. Il connettore Amazon S3 è in anteprima. È consigliabile usare il connettore Amazon S3.
Per inserire i log da Amazon VPC, AWS CloudTrail e Amazon GuardDuty usando il connettore Amazon S3, vedere Connettere Microsoft Sentinel a AWS.
Nota
Microsoft consiglia di usare lo script di installazione automatica per distribuire il connettore Amazon S3. Se si preferisce eseguire ogni passaggio manualmente, seguire la configurazione manuale per connettere Microsoft Sentinel ad AWS.
Passaggio 2: Configurare le metriche per i dati di sicurezza
Ora che Azure inserisce i log dalle risorse AWS, è possibile creare regole di rilevamento delle minacce nell'ambiente e monitorare gli avvisi. Questo articolo illustra la procedura per raccogliere log e dati e monitorare l'attività sospetta. Il principio zero trust presuppone che il principio di violazione venga raggiunto monitorando l'ambiente per le minacce e le vulnerabilità.
Passaggi | Attività |
---|---|
Un | Raccogliere i log di Amazon Elastic Compute Cloud (Amazon EC2) in Monitoraggio di Azure. |
G | Visualizzare e gestire Microsoft Defender per il cloud avvisi di sicurezza e consigli per Amazon EC2. |
A | Integrare Microsoft Defender per endpoint con Defender per il cloud. |
D | Monitorare i dati amazon EC2 in Microsoft Sentinel. |
E | Monitorare nei log di Microsoft Sentinel da Amazon Virtual Private Cloud (Amazon VPC), AWS CloudTrail e Amazon GuardDuty. |
F | Usare Le regole di rilevamento predefinite di Microsoft Sentinel per creare e analizzare le regole di rilevamento delle minacce nell'ambiente in uso. |
R. Raccogliere i log di Amazon Elastic Compute Cloud (Amazon EC2) in Monitoraggio di Azure
L'agente di Azure Connected Machine installato nelle macchine virtuali Amazon EC2 consente di monitorare le risorse AWS come se fossero risorse di Azure. Ad esempio, è possibile usare i criteri di Azure per gestire e gestire gli aggiornamenti alle macchine virtuali Amazon EC2.
L'agente di Monitoraggio di Azure installato nelle macchine virtuali Amazon EC2 raccoglie i dati di monitoraggio e lo distribuisce a Monitoraggio di Azure. Questi log diventano input per Microsoft Sentinel e Defender per il cloud.
Per raccogliere i log dalle macchine virtuali Amazon EC2, vedere Creare regole di raccolta dati.
B. Visualizzare e gestire Microsoft Defender per il cloud avvisi di sicurezza e consigli per Amazon EC2
Microsoft Defender per il cloud usa i log delle risorse per generare avvisi di sicurezza e raccomandazioni. Defender per il cloud può fornire avvisi per avvisare le possibili minacce nelle macchine virtuali Amazon EC2. Gli avvisi sono classificati in ordine di priorità in base alla gravità. Ogni avviso fornisce informazioni dettagliate su risorse, problemi e raccomandazioni di correzione interessate.
Esistono due modi per visualizzare le raccomandazioni nella portale di Azure. Nella pagina di panoramica Defender per il cloud visualizzare le raccomandazioni per l'ambiente che si vuole migliorare. Nella pagina Defender per il cloud inventario degli asset, le raccomandazioni vengono visualizzate in base alla risorsa interessata.
Per visualizzare e gestire avvisi e raccomandazioni amazon EC2:
- Informazioni sui diversi tipi di avvisi disponibili in Defender per il cloud e su come rispondere agli avvisi.
- Migliorare il comportamento di sicurezza implementando raccomandazioni da Defender per il cloud.
- Informazioni su come accedere alla pagina di inventario delle risorse di Defender per il cloud.
Nota
Microsoft Cloud Security Benchmark (MCSB) include una raccolta di raccomandazioni sulla sicurezza ad alto impatto che è possibile usare per proteggere i servizi cloud in un ambiente singolo o multicloud. Microsoft consiglia di usare benchmark di sicurezza per proteggere rapidamente le distribuzioni cloud. Altre informazioni su MCSB.
C. Integrare Microsoft Defender per endpoint con Defender per il cloud
Proteggere gli endpoint con la soluzione rilevamento e reazione dagli endpoint integrata di Defender per il cloud, Microsoft Defender per endpoint. Microsoft Defender per endpoint protegge i computer Windows e Linux, indipendentemente dal fatto che siano ospitati in Azure, in locale o in un ambiente multicloud. Microsoft Defender per endpoint è una soluzione di sicurezza degli endpoint olistica distribuita nel cloud. Le funzionalità principali includono:
- Gestione e valutazione delle vulnerabilità basate sui rischi
- Riduzione della superficie di attacco
- Protezione basata sul comportamento e basata sul cloud
- Rilevamento e reazione dagli endpoint (EDR)
- Indagini automatiche e azioni di correzione
- Servizi di ricerca gestiti
Per altre informazioni, vedere Abilitare l'integrazione di Microsoft Defender per endpoint.
D. Monitorare i dati amazon EC2 in Microsoft Sentinel
Dopo aver installato l'agente di Azure Connected Machine e AMA, i sistemi operativi Amazon EC2 iniziano a inviare i log nelle tabelle di Azure Log Analytics disponibili automaticamente per Microsoft Sentinel.
L'immagine seguente illustra come i log del sistema operativo Amazon EC2 vengono inseriti da Microsoft Sentinel. L'agente di Azure Connected Machine rende le macchine virtuali Amazon EC2 parte di Azure. Gli eventi Sicurezza di Windows tramite il connettore dati AMA raccolgono i dati dalle macchine virtuali Amazon EC2.
Nota
Non è necessario Che Microsoft Sentinel inserisca i log da Amazon EC2, ma è necessaria un'area di lavoro Log Analytics configurata in precedenza.
Per indicazioni dettagliate, vedere Inserimento di Amazon EC2 Sentinel con Arc e AMA, che è un documento in GitHub. Il documento GitHub descrive l'installazione di AMA, che è possibile ignorare perché l'AMA è stato installato in precedenza in questa guida alla soluzione.
E. Monitorare i log di Microsoft Sentinel da Amazon Virtual Private Cloud (Amazon VPC), AWS CloudTrail e Amazon GuardDuty
In precedenza, Microsoft Sentinel è stato connesso a AWS usando il connettore Amazon Simple Storage Service (Amazon S3). Il bucket Amazon S3 invia i log all'area di lavoro Log Analytics, lo strumento sottostante usato per eseguire query su di essi. Nell'area di lavoro vengono create le tabelle seguenti:
- AWSCloudTrail : i log di AWS CloudTrail contengono tutti gli eventi di gestione e dati dell'account AWS.
- AWSGuardDuty : i risultati di Amazon GuardDuty rappresentano un potenziale problema di sicurezza rilevato all'interno della rete. Amazon GuardDuty genera una ricerca ogni volta che rileva attività impreviste e potenzialmente dannose nell'ambiente AWS.
- AWSVPCFlow : i log dei flussi di Amazon Virtual Private Cloud (Amazon VPC) consentono di acquisire il traffico IP da e verso le interfacce di rete Amazon VPC.
È possibile eseguire query sui log dei flussi amazon VPC, AWS CloudTrail e Amazon GuardDuty in Microsoft Sentinel. Di seguito sono riportati esempi di query per ogni servizio e la tabella corrispondente in Log Analytics:
Per i log di Amazon GuardDuty:
AWSGuardDuty | dove Gravità > 7 | summarize count() by ActivityType
Per i log di Amazon VPC Flow:
AWSVPCFlow | where Action == "REJECT" | where Type == "Ipv4" | prendere 10
Per i log di AWS CloudTrail:
AWSCloudTrail | where EventName == "CreateUser" | summarize count() by AWSRegion
In Microsoft Sentinel si usa la cartella di lavoro di Amazon S3 per analizzare altri dettagli.
Per AWS CloudTrail è possibile analizzare:
- Flusso di dati nel tempo
- ID account
- Elenco origine evento
Per Amazon GuardDuty, è possibile analizzare:
- Amazon GuardDuty per mappa
- Amazon GuardDuty per area
- Amazon GuardDuty by IP
F. Usare le regole di rilevamento predefinite di Microsoft Sentinel per creare e analizzare le regole di rilevamento delle minacce nell'ambiente
Dopo aver connesso le origini dati a Microsoft Sentinel, usare i modelli di regole di rilevamento predefiniti di Microsoft Sentinels per creare e analizzare le regole di rilevamento delle minacce nell'ambiente. Microsoft Sentinel offre modelli predefiniti che consentono di creare regole di rilevamento delle minacce.
Il team di esperti di sicurezza e analisti di Microsoft progetta modelli di regole basati su minacce note, vettori di attacco comuni e catene di escalation di attività sospette. Le regole create da questi modelli eseguono automaticamente la ricerca nell'ambiente di eventuali attività sospette. È possibile personalizzare molti dei modelli per cercare le attività o filtrarle in base alle specifiche esigenze. Gli avvisi generati da queste regole creano eventi imprevisti che è possibile assegnare e analizzare nell'ambiente.
Per altre informazioni, vedere Rilevamento delle minacce con regole di analisi predefinite in Microsoft Sentinel.
Passaggio 3: Migliorare il comportamento di sicurezza complessivo
In questa sezione viene illustrato come Gestione delle autorizzazioni di Microsoft Entra consente di monitorare le autorizzazioni inutilizzate e eccessive. Viene illustrato come configurare, eseguire l'onboarding e visualizzare i dati chiave. Il principio di accesso con privilegi minimi Zero Trust viene ottenuto gestendo, controllando e monitorando l'accesso alle risorse.
Passaggi | Attività |
---|---|
Un | Configurare La gestione delle autorizzazioni e Privileged Identity Management. |
G | Eseguire l'onboarding di un account AWS. |
A | Visualizzare le statistiche chiave e i dati. |
Configurare la gestione delle autorizzazioni
Gestione delle autorizzazioni è una soluzione CIEM (Cloud Infrastructure Entitlement Management) che rileva, automaticamente le dimensioni corrette e monitora continuamente le autorizzazioni inutilizzate ed eccessive nell'infrastruttura multicloud.
Gestione autorizzazioni approfondisce le strategie di sicurezza Zero Trust aumentando il principio di accesso con privilegi minimi, consentendo ai clienti di:
- Ottenere una visibilità completa: individuare quale identità svolge un'attività, dove e quando.
- Automatizzare l'accesso con privilegi minimi: usare l'analisi degli accessi per garantire che le identità dispongano delle autorizzazioni appropriate, al momento giusto.
- Unificare i criteri di accesso tra le piattaforme IaaS: implementare criteri di sicurezza coerenti nell'infrastruttura cloud.
Gestione autorizzazioni fornisce un riepilogo delle statistiche e dei dati principali per AWS e Azure. I dati includono metriche correlate a rischi evitabili. Queste metriche consentono all'amministratore di Gestione autorizzazioni di identificare le aree in cui è possibile ridurre i rischi correlati all'uso del principio di accesso con privilegi minimi Zero Trust.
I dati possono essere inseriti in Microsoft Sentinel per ulteriori analisi e automazione.
Per implementare le attività, vedere:
- R. Abilitare La gestione delle autorizzazioni nell'organizzazione
- B. Eseguire l'onboarding di un account AWS nella gestione delle autorizzazioni
- C. Visualizzare le statistiche chiave e i dati
Passaggio 4: Proteggere l'infrastruttura come codice
Questa sezione illustra un pilastro chiave di DevSecOps, l'analisi e la protezione dell'infrastruttura come codice. Per l'infrastruttura come codice, i team di sicurezza e DevOps devono monitorare le configurazioni errate che possono causare vulnerabilità nelle distribuzioni dell'infrastruttura.
Implementando controlli continui nei modelli di Azure Resource Manager (ARM), Bicep o Terraform, si evitano violazioni e exploit nelle fasi iniziali dello sviluppo, quando sono meno costosi da correggere. Si vuole anche mantenere un controllo rigoroso degli amministratori e dei gruppi di account di servizio in Microsoft Entra ID e lo strumento DevOps.
Per implementare il principio di accesso con privilegi minimi Zero Trust, eseguire le seguenti attività:
- Esecuzione di revisioni affidabili delle configurazioni dell'infrastruttura con l'accesso alle identità con privilegi minimi e la configurazione della rete.
- Assegnazione del controllo degli accessi in base al ruolo (RBAC) degli utenti alle risorse a livello di repository, a livello di team o di organizzazione.
Prerequisiti:
- I repository di codice si trovano in Azure DevOps o GitHub
- Le pipeline sono ospitate in Azure DevOps o GitHub
Passaggi | Attività |
---|---|
Un | Abilitare DevSecOps per l'infrastruttura come codice (IaC). |
G | Implementare il controllo degli accessi in base al ruolo per gli strumenti DevOps. |
A | Abilitare GitHub Advanced Security. |
D | Visualizzare il codice e i risultati dell'analisi dei segreti. |
R. Abilitare DevSecOps per IaC
Defender per DevOps offre visibilità sul comportamento di sicurezza dell'ambiente multi-pipeline, indipendentemente dal fatto che il codice e le pipeline si trovino in Azure DevOps o GitHub. Offre il vantaggio aggiuntivo dell'implementazione di un unico riquadro in cui i team di sicurezza e DevOps possono visualizzare i risultati dell'analisi di tutti i repository in un unico dashboard e configurare un processo di richiesta pull per risolvere eventuali problemi.
Per altre informazioni, vedi:
B. Implementare il controllo degli accessi in base al ruolo per gli strumenti DevOps
È necessario gestire e implementare procedure di governance valide per il team, ad esempio le autorizzazioni di controllo degli accessi in base al ruolo. Se questo modello non si rispecchia anche nell'automazione di DevOps, l'organizzazione potrebbe lasciare aperta una porta di accesso alla sicurezza. Si consideri un esempio in cui uno sviluppatore non ha accesso tramite i modelli di Resource Manager. Lo sviluppatore potrebbe avere ancora autorizzazioni sufficienti per modificare il codice dell'applicazione o l'infrastruttura come codice e attivare un flusso di lavoro di automazione. Lo sviluppatore può accedere indirettamente tramite DevOps e apportare modifiche distruttive ai modelli di ARM.
Quando si distribuiscono soluzioni basate sul cloud per le distribuzioni dell'infrastruttura, la sicurezza deve essere sempre il problema più importante. Microsoft mantiene sicura l'infrastruttura cloud sottostante. La sicurezza viene configurata in Azure DevOps o GitHub.
Per configurare la sicurezza:
- In Azure DevOps è possibile usare gruppi di sicurezza, criteri e impostazioni a livello di organizzazione/raccolta, progetto o oggetto.
- In GitHub è possibile assegnare agli utenti l'accesso alle risorse concedendole ruoli a livello di repository, a livello di team o di organizzazione.
C. Abilitare GitHub Advanced Security
Per proteggere in modo proattivo gli ambienti, è importante monitorare e rafforzare continuamente la sicurezza di DevOps. GitHub Advanced Security automatizza i controlli nella pipeline per cercare segreti esposti, vulnerabilità delle dipendenze e altro ancora. GitHub rende disponibili funzionalità di sicurezza aggiuntive per i clienti con una licenza di Advanced Security.
Per impostazione predefinita, GitHub Advanced Security è abilitato per i repository pubblici. Per i repository privati, è necessario usare le licenze gitHub Advanced Security. Dopo l'abilitazione, è possibile iniziare a usare le numerose funzionalità incluse nella suite GitHub Advanced Security:
- Analisi del codice
- Analisi delle dipendenze
- Analisi dei segreti
- Controllo di accesso
- Avvisi di vulnerabilità
- Log di audit
- Regole di protezione dei rami
- Revisioni delle richieste pull
Con queste funzionalità, è possibile assicurarsi che il codice sia sicuro e conforme agli standard del settore. È anche possibile creare flussi di lavoro automatizzati per consentire di rilevare e risolvere rapidamente eventuali problemi di sicurezza nel codice. Inoltre, è possibile usare le regole di protezione dei rami per impedire modifiche non autorizzate alla codebase.
Per altre informazioni, vedere Abilitare la sicurezza avanzata di GitHub.
D. Visualizzare il codice e i risultati dell'analisi dei segreti
Defender per DevOps, un servizio disponibile in Defender per il cloud, consente ai team di sicurezza di gestire la sicurezza DevOps in ambienti multi-pipeline. Defender per DevOps usa una console centrale per consentire ai team di sicurezza di proteggere le applicazioni e le risorse dal codice al cloud in ambienti multi-pipeline, ad esempio GitHub e Azure DevOps.
Defender per DevOps espone i risultati della sicurezza come annotazioni nelle richieste pull. Gli operatori di sicurezza possono abilitare le annotazioni pull in Microsoft Defender per il cloud. I problemi esposti possono essere risolti dagli sviluppatori. Questo processo può impedire e correggere potenziali vulnerabilità di sicurezza e errori di configurazione prima di entrare nella fase di produzione. È possibile configurare le annotazioni pull in Azure DevOps. È possibile ottenere annotazioni pull in GitHub se si è un cliente di GitHub Advanced Security.
Per altre informazioni, vedi:
- Configurare l'azione GitHub di Microsoft Security DevOps
- Configurare l'estensione Microsoft Security DevOps di Azure DevOps
- Abilitare le annotazioni delle richieste pull in GitHub e Azure DevOps
Passaggi successivi
Altre informazioni sui servizi di Azure illustrati in questo articolo:
- Microsoft Defender per il cloud
- Microsoft Sentinel
- Monitoraggio di Azure
- Server abilitati per Azure ARC
- Log Analytics
Altre informazioni su AWS e Amazon services and resources discusse in questo articolo:
- Amazon Elastic Compute Cloud (Amazon EC2)
- AWS CloudTrail
- Amazon Virtual Private Cloud (Amazon VPC)
- Amazon GuardDuty
- Amazon Simple Storage Service (Amazon S3)
- Amazon Simple Queue Service (SQS)
- AWS Identity and Access Management (IAM)