Поделиться через

Общие сведения о наблюдаемости

  • Статья

Наблюдаемость играет роль во всей цепочке поставок для контейнеров, обеспечивая видимость, мониторинг и контроль над различными этапами, от приобретения до развертывания и запуска. Важно понимать жизненный цикл контейнерного приложения, различные этапы цепочки поставок, которые он проходит, компоненты, от которые он зависит, а также от субъектов, участвующих в его создании. Благодаря наблюдаемости предприятия могут выявлять пробелы в безопасности своей цепочки поставок контейнеров, отвечать на критические вопросы во время реагирования на инциденты и даже предотвращать развертывание небезопасных контейнеров в рабочей среде.

Как критически важный компонент платформы безопасной цепочки поставок (CSSC) контейнеров Майкрософт, наблюдение определяет набор рекомендаций и рекомендаций для контейнерных приложений. В этой статье вы узнаете о фоновых, целевых и целевых целях для наблюдения за безопасностью цепочки поставок контейнеров.

Общие сведения

В современных корпоративных средах контейнерные приложения создаются и развертываются с помощью различных средств, управляемых различными командами. Данные о наблюдаемости из этих средств часто разложены и затрудняют отслеживание жизненного цикла контейнерного приложения. Это отсутствие видимости затрудняет выявление пробелов в безопасности цепочки поставок и обнаружение потенциальных проблем безопасности.

Компонент наблюдаемости платформы CSSC рекомендует набор рекомендаций и рекомендаций по сбору важных данных из различных этапов цепочки поставок контейнера. Эти данные можно использовать для создания общих шагов в жизненном цикле контейнерного приложения и обнаружения аномалий, которые могут быть индикаторами компрометации (IoC).

Корпорация Майкрософт рекомендует реализовать наблюдаемость на каждом этапе цепочки поставок контейнеров. Данные о наблюдаемости с каждого этапа должны быть интегрированы в единую систему, которая обеспечивает целостное представление о цепочке поставок. Искусственный интеллект может сопоставлять данные с разных этапов и определять шаблоны, которые можно использовать для обнаружения аномалий и предотвращения инцидентов безопасности.

Возможность наблюдения должна быть дополнена подробными возможностями создания отчетов и оповещений. Отчеты помогают командам понять текущую ситуацию безопасности и внести улучшения, а также помочь им соответствовать требованиям. Своевременное оповещение о подозрительном поведении может предотвратить инциденты безопасности и снизить влияние нарушения.

По крайней мере корпорация Майкрософт рекомендует записывать следующие данные наблюдаемости:

  • Источники, версии и уязвимости внешних образов контейнеров, которые можно использовать для оценки риска внешних зависимостей.
  • Действия пользователей по запросу и утверждению использования внешних образов, которые могут выявлять потенциальные внутренние угрозы.
  • Даты и время проверки уязвимостей и вредоносных программ, чтобы они выполнялись регулярно и избегали устаревших данных.
  • Использование внешних образов в конвейерах сборки и развертывания для оценки риска внешних зависимостей.
  • Сведения о сборке, такие как расположение исходного кода, среда сборки и артефакты сборки, чтобы обеспечить соответствие сборок.
  • Сведения о развертывании, такие как среда развертывания, артефакты развертывания и конфигурация развертывания, чтобы убедиться, что развертывания соответствуют требованиям.
  • Сведения о среде выполнения, такие как среда выполнения, артефакты среды выполнения, конфигурация среды выполнения и поведение среды выполнения, чтобы гарантировать отсутствие отклонения от ожидаемого поведения.

Приведенные выше данные о наблюдаемости можно сопоставить с другими данными из систем управления сведениями и событиями безопасности (SIEM), такими как журналы брандмауэра, сетевой трафик и действия пользователя для обнаружения шаблонов и выявления потенциальных инцидентов безопасности.

Цели безопасности для наблюдаемости

Реализация наблюдаемости на каждом этапе имеет решающее значение для выявления пробелов и предотвращения инцидентов безопасности в цепочке поставок для контейнеров. Компонент наблюдаемости платформы CSSC предназначен для удовлетворения следующих целей безопасности.

Обнаружение угроз и вредоносного поведения

Атаки на цепочки поставок программного обеспечения становятся более распространенными и сложными. Текущие средства мониторинга ограничены системами мониторинга в рамках одного этапа цепочки поставок, игнорируя общий контекст жизненного цикла контейнеров. Предприятия могут полагаться на периодические или вручную проверка, которые менее эффективны при выявлении текущих угроз или быстро развивающихся шаблонов атак.

Реализация сквозной наблюдаемости в цепочке поставок для контейнеров может помочь группам безопасности получить целостное представление о цепочке поставок и определить потенциальные угрозы и вредоносное поведение.

Упрощение соответствия требованиям

Облачные приложения развертываются в глобальном масштабе и состоят из большого количества ресурсов. Ограниченная видимость, в которой развертываются контейнеры, какие источники используются и что такое их состояние безопасности, затрудняет соблюдение требований соответствия требованиям. Отсутствие запасов также препятствует предприятиям быстро оценить влияние критически важных уязвимостей и принять меры.

Сбор данных о наблюдаемости на каждом этапе цепочки поставок для контейнеров может помочь предприятиям создавать комплексные инвентаризации своих ресурсов контейнеров и создавать граф зависимостей, которые можно использовать для быстрой оценки рисков и доставки отчетов о соответствии.

Помощь с реагированием на инциденты

Отсутствие наблюдаемости может препятствовать усилиям по реагированию на инциденты путем задержки обнаружения, ограничения видимости, увеличения ручной рабочей нагрузки и снижения эффективности мер реагирования. Без полного представления сквозной цепочки поставок для контейнеров реагирование на инциденты может не получить критически важной информации, что затрудняет оценку серьезности инцидента и разработку эффективной стратегии реагирования.

Корреляция данных о наблюдаемости с различных этапов цепочки поставок для контейнеров может помочь реагированию на инциденты принимать лучшие решения и быстрее реагировать на инциденты безопасности.

Корпорация Майкрософт предлагает набор средств и служб, которые можно использовать для реализации наблюдаемости в цепочке поставок контейнеров.

журналы аудита и диагностики Реестр контейнеров Azure (ACR) предоставляют подробный путь аудита и действий всех операций, выполняемых в реестре. Журналы и данные moniring могут быть анализиированы и сопоставлены с другими данными о наблюдаемости в Azure Monitor.

Microsoft Defender для DevOps обеспечивает единую видимость системы безопасности DevOps для команд с помощью Azure DevOps и GitHub. Defender для DevOps помогает обнаруживать неправильные конфигурации развертывания, предоставлять секреты и аннотировать запросы на вытягивание в GitHub и Azure DevOps с информацией о безопасности.

Следующие шаги