Udostępnij za pośrednictwem

Zwiększanie stanu zabezpieczeń środowiska DevOps

  • Artykuł

Wraz ze wzrostem cyberataków na systemy zarządzania kodem źródłowym i potokami ciągłej integracji/ciągłego dostarczania zabezpieczanie platform DevOps przed różnymi zagrożeniami zidentyfikowanymi w macierzy zagrożeń DevOps ma kluczowe znaczenie. Takie cyberataki mogą umożliwić iniekcję kodu, eskalację uprawnień i eksfiltrację danych, co może potencjalnie prowadzić do rozległego wpływu.

Zarządzanie stanem metodyki DevOps to funkcja w Microsoft Defender dla Chmury, która:

  • Zapewnia wgląd w stan zabezpieczeń całego cyklu życia łańcucha dostaw oprogramowania.
  • Używa zaawansowanych skanerów do dogłębnych ocen.
  • Obejmuje różne zasoby, od organizacji, potoków i repozytoriów.
  • Umożliwia klientom zmniejszenie obszaru ataków przez ujawnienie podanych zaleceń i działanie na ich podstawie.

Skanery DevOps

Aby zapewnić wyniki, zarządzanie stanem devOps używa skanerów DevOps do identyfikowania słabych stron w zarządzaniu kodem źródłowym i ciągłej integracji/ciągłego dostarczania potoków, uruchamiając kontrole konfiguracji zabezpieczeń i kontroli dostępu.

Skanery usługi Azure DevOps i GitHub są używane wewnętrznie w firmie Microsoft do identyfikowania zagrożeń związanych z zasobami DevOps, zmniejszania obszaru ataków i wzmacniania firmowych systemów DevOps.

Po nawiązaniu połączenia środowiska DevOps Defender dla Chmury automatycznie konfiguruje te skanery w celu przeprowadzania cyklicznych skanowań co 24 godziny w wielu zasobach DevOps, w tym:

  • Kompilacje
  • Zabezpieczanie plików
  • Grupy zmiennych
  • Połączenia z usługami
  • Organizacje
  • Repozytoria

Zmniejszenie ryzyka macierzy zagrożeń metodyki DevOps

Zarządzanie stanem metodyki DevOps ułatwia organizacjom odnajdywanie i korygowanie szkodliwych błędów konfiguracji na platformie DevOps. Prowadzi to do odpornego, zerowego zaufania środowiska DevOps, które zostało wzmocnione przed szeregiem zagrożeń zdefiniowanych w macierzy zagrożeń DevOps. Podstawowe mechanizmy zarządzania stanem obejmują:

  • Ograniczony dostęp do wpisów tajnych: zminimalizuj narażenie poufnych informacji i zmniejsz ryzyko nieautoryzowanego dostępu, wycieków danych i penetracji, zapewniając, że każdy potok ma dostęp tylko do wpisów tajnych niezbędnych do jego funkcji.

  • Ograniczenie własnych modułów uruchamiających i wysokich uprawnień: zapobiegaj nieautoryzowanym wykonywaniem i potencjalnymi eskalacjami, unikając własnych modułów uruchamiających i zapewniając, że uprawnienia potoku są domyślnie przeznaczone tylko do odczytu.

  • Rozszerzona ochrona gałęzi: zachowaj integralność kodu przez wymuszanie reguł ochrony gałęzi i zapobieganie wstrzyknięciu złośliwego kodu.

  • Zoptymalizowane uprawnienia i bezpieczne repozytoria: zmniejsza ryzyko nieautoryzowanego dostępu, modyfikacji przez śledzenie minimalnych uprawnień podstawowych i włączanie ochrony wypychanej wpisów tajnych dla repozytoriów.

  • Dowiedz się więcej o macierzy zagrożeń metodyki DevOps.

Zalecenia dotyczące zarządzania stanem metodyki DevOps

Gdy skanery DevOps odkrywają odchylenia od najlepszych rozwiązań w zakresie zabezpieczeń w systemach zarządzania kodem źródłowym i potokach ciągłej integracji/ciągłego dostarczania, Defender dla Chmury generuje dokładne i możliwe do działania zalecenia. Te zalecenia mają następujące korzyści:

  • Ulepszona widoczność: uzyskiwanie kompleksowego wglądu w stan zabezpieczeń środowisk DevOps, zapewniając dobrze zaokrąglone zrozumienie wszelkich istniejących luk w zabezpieczeniach. Zidentyfikuj brakujące reguły ochrony gałęzi, zagrożenia eskalacji uprawnień i niezabezpieczone połączenia, aby zapobiec atakom.
  • Akcja oparta na priorytetach: najpierw filtruj wyniki według ważności, aby efektywniej wydać zasoby i wysiłki przez rozwiązanie najbardziej krytycznych luk w zabezpieczeniach.
  • Zmniejszenie obszaru podatnego na ataki: rozwiązanie wyróżnionych luk w zabezpieczeniach w celu znacznego zminimalizowania narażonych powierzchni ataków, co zwiększa ochronę przed potencjalnymi zagrożeniami.
  • Powiadomienia w czasie rzeczywistym: możliwość integracji z automatyzacjami przepływu pracy w celu otrzymywania natychmiastowych alertów w przypadku zmiany bezpiecznych konfiguracji, co pozwala na podejmowanie monitów i zapewnienie stałej zgodności z protokołami zabezpieczeń.

Następne kroki