Omówienie możliwości obserwowania

Możliwość obserwowania odgrywa rolę w całym łańcuchu dostaw dla kontenerów, zapewniając widoczność, monitorowanie i kontrolę nad różnymi etapami, od pozyskiwania do kompilowania po wdrażanie i uruchamianie. Kluczowe znaczenie ma zrozumienie cyklu życia aplikacji konteneryzowanej, różnych etapów łańcucha dostaw, od których przechodzi, od składników, od których zależy, a także od podmiotów uczestniczących w tworzeniu. Dzięki obserwacji przedsiębiorstwa mogą identyfikować luki w zabezpieczeniach łańcucha dostaw kontenerów, odpowiadać na krytyczne pytania podczas reagowania na zdarzenia, a nawet zapobiegać wdrażaniu niezabezpieczonych kontenerów w środowisku produkcyjnym.

Jako krytyczny składnik struktury Secure Supply Chain (CSSC) firmy Microsoft identyfikuje zestaw najlepszych rozwiązań i wytycznych dotyczących konteneryzowanych aplikacji. W tym artykule dowiesz się więcej o tle, zamierzeniach i celach dotyczących obserwowania bezpiecznego łańcucha dostaw kontenerów.

Tło

W dzisiejszych środowiskach przedsiębiorstwa aplikacje konteneryzowane są kompilowane i wdrażane przy użyciu różnych narzędzi zarządzanych przez różne zespoły. Dane z tych narzędzi są często silosowane i utrudniają śledzenie cyklu życia aplikacji konteneryzowanej. Ten brak widoczności utrudnia zidentyfikowanie luk w zabezpieczeniach łańcucha dostaw i wykrywanie potencjalnych problemów z bezpieczeństwem.

Składnik obserwacji struktury CSSC zaleca zestaw najlepszych rozwiązań i wytycznych dotyczących przechwytywania podstawowych danych z różnych etapów łańcucha dostaw kontenerów. Te dane mogą służyć do ustalenia typowych kroków w cyklu życia konteneryzowanej aplikacji i wykrywania anomalii, które mogą być wskaźnikami naruszenia (IoC).

Zalecane wskazówki

Firma Microsoft zaleca zaimplementowanie obserwacji na każdym etapie łańcucha dostaw kontenerów. Dane dotyczące obserwacji z każdego etapu powinny być zintegrowane z jednym systemem, który zapewnia całościowy widok łańcucha dostaw. Sztuczna inteligencja może korelować dane z różnych etapów i identyfikować wzorce, które mogą służyć do wykrywania anomalii i zapobiegania zdarzeniom zabezpieczeń.

Możliwość obserwowania powinna zostać rozszerzona o szczegółowe możliwości raportowania i zgłaszania alertów. Raportowanie ułatwia zespołom zrozumienie bieżącego stanu zabezpieczeń i wprowadzanie ulepszeń, a także pomaga im spełnić wymagania dotyczące zgodności. Terminowe zgłaszanie alertów o podejrzanym zachowaniu może zapobiec zdarzeniom zabezpieczeń i zmniejszyć wpływ naruszenia.

Firma Microsoft zaleca co najmniej przechwytywanie następujących danych z obserwacji:

• Źródła, wersje i stan luk w zabezpieczeniach zewnętrznych obrazów kontenerów, które mogą służyć do oceny ryzyka zależności zewnętrznych.
• Działania użytkowników dotyczące żądania i zatwierdzenia użycia obrazów zewnętrznych, które mogą identyfikować potencjalne zagrożenia wewnętrzne.
• Daty i godziny skanowania luk w zabezpieczeniach i złośliwego oprogramowania w celu zapewnienia ich regularnego wykonywania i unikania nieaktualnych danych.
• Użycie obrazów zewnętrznych w potokach kompilacji i wdrażania w celu oszacowania ryzyka zależności zewnętrznych.
• Szczegóły kompilacji, takie jak lokalizacja kodu źródłowego, środowisko kompilacji i artefakty kompilacji, aby upewnić się, że kompilacje są zgodne.
• Szczegóły wdrożenia, takie jak środowisko wdrażania, artefakty wdrożenia i konfiguracja wdrożenia, aby upewnić się, że wdrożenia są zgodne
• Szczegóły środowiska uruchomieniowego, takie jak środowisko uruchomieniowe, artefakty środowiska uruchomieniowego, konfiguracja środowiska uruchomieniowego i zachowanie środowiska uruchomieniowego w celu zapewnienia braku odchylenia od oczekiwanego zachowania.

Powyższe dane dotyczące obserwacji mogą być skorelowane z innymi danymi z systemów zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM ), takich jak dzienniki zapory, ruch sieciowy i aktywność użytkownika w celu wykrywania wzorców i identyfikowania potencjalnych zdarzeń zabezpieczeń.

Cele dotyczące zabezpieczeń pod kątem obserwacji

Zaimplementowanie obserwacji w każdym etapie ma kluczowe znaczenie dla identyfikowania luk i zapobiegania zdarzeniom bezpieczeństwa w łańcuchu dostaw dla kontenerów. Składnik obserwacji struktury CSSC ma spełniać następujące cele zabezpieczeń.

Wykrywanie zagrożeń i złośliwego zachowania

Ataki na łańcuchy dostaw oprogramowania stają się coraz bardziej powszechne i wyrafinowane. Bieżące narzędzia do monitorowania są ograniczone do systemów monitorowania w ramach jednego etapu łańcucha dostaw, ignorując ogólny kontekst cyklu życia kontenerów. Przedsiębiorstwa mogą polegać na okresowych lub ręcznych kontrolach, które są mniej skuteczne w identyfikowaniu bieżących zagrożeń lub szybko zmieniających się wzorców ataków.

Zaimplementowanie kompleksowej obserwacji łańcucha dostaw dla kontenerów może pomóc zespołom ds. zabezpieczeń uzyskać całościowy widok łańcucha dostaw i zidentyfikować potencjalne zagrożenia i złośliwe zachowanie.

Uproszczenie zgodności

Aplikacje natywne dla chmury są wdrażane w skali globalnej i składają się z dużej liczby zasobów. Ograniczona widoczność, w której są wdrażane kontenery, jakie źródła są używane i jakie są ich stan zabezpieczeń, utrudnia spełnienie wymagań dotyczących zgodności. Brak spisu uniemożliwia również przedsiębiorstwom szybkie określenie wpływu krytycznych luk w zabezpieczeniach i podejmowanie działań.

Przechwytywanie danych obserwacji na każdym etapie łańcucha dostaw dla kontenerów może pomóc przedsiębiorstwom w utworzeniu kompleksowego spisu zasobów kontenerów i utworzeniu grafów zależności, które mogą służyć do szybkiej oceny ryzyka i dostarczania raportowania zgodności.

Pomoc dotycząca reagowania na zdarzenia

Brak możliwości obserwacji może utrudnić działania w zakresie reagowania na zdarzenia, opóźniając wykrywanie, ograniczając widoczność, zwiększając obciążenia ręczne oraz zmniejszając wydajność i skuteczność środków reagowania. Bez pełnego widoku kompleksowego łańcucha dostaw dla kontenerów osoby reagujące na zdarzenia mogą nie mieć kluczowych informacji, co utrudnia ocenę ważności incydentu i sformułowanie skutecznej strategii reagowania.

Korelacja danych z obserwacji z różnych etapów łańcucha dostaw dla kontenerów może pomóc osobom reagującym na zdarzenia podejmować lepsze decyzje i reagować szybciej na zdarzenia bezpieczeństwa.

Zalecane narzędzia

Firma Microsoft oferuje zestaw narzędzi i usług, których można użyć do zaimplementowania wglądu w łańcuch dostaw kontenerów.

Dzienniki inspekcji i diagnostyki usługi Azure Container Registry (ACR) zawierają szczegółowy dziennik inspekcji i aktywności wszystkich operacji wykonywanych w rejestrze. Dzienniki i dane moniring mogą być analizowane i skorelowane z innymi danymi z widocznością w usłudze Azure Monitor.

Usługa Microsoft Defender for DevOps zapewnia ujednolicony wgląd w stan zabezpieczeń metodyki DevOps dla zespołów korzystających z usług Azure DevOps i GitHub. Usługa Defender for DevOps ułatwia odnajdywanie błędów konfiguracji wdrożenia, uwidocznionych wpisów tajnych i dodawanie adnotacji do żądań ściągnięcia w usługach GitHub i Azure DevOps przy użyciu informacji o zabezpieczeniach.

Następne kroki

• Wprowadzenie do struktury bezpiecznego łańcucha dostaw kontenerów
• Omówienie etapu Pozyskiwanie
• Omówienie etapu wykazu
• Omówienie etapu kompilacji
• Omówienie etapu Wdrażania
• Omówienie etapu uruchamiania