Säkerhetskontroll: DevOps-säkerhet
DevOps Security omfattar de kontroller som rör säkerhetsteknik och -åtgärder i DevOps-processerna, inklusive distribution av kritiska säkerhetskontroller (till exempel testning av statisk programsäkerhet, sårbarhetshantering) före distributionsfasen för att säkerställa säkerheten under hela DevOps-processen. Den innehåller även vanliga ämnen som hotmodellering och säkerhet för programvaruförsörjning.
DS-1: Utföra hotmodellering
CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
---|---|---|
16.10, 16.14 | SA-15 | 6.5, 12.2 |
Säkerhetsprincip: Utför hotmodellering för att identifiera potentiella hot och räkna upp de minimerande kontrollerna. Se till att din hotmodellering har följande syften:
- Skydda dina program och tjänster i produktionsmiljön.
- Skydda artefakterna, den underliggande CI/CD-pipelinen och andra verktygsmiljöer som används för att skapa, testa och distribuera. Hotmodellering bör minst innehålla följande aspekter:
- Definiera säkerhetskrav för programmet. Se till att dessa krav hanteras på lämpligt sätt i hotmodellering.
- Analysera programkomponenter, dataanslutningar och deras relation. Se till att den här analysen även innehåller uppströms- och nedströmsanslutningar utanför programomfånget.
- Lista de potentiella hot och attackvektorer som dina programkomponenter, dataanslutningar och överordnade och underordnade tjänster kan exponeras för.
- Identifiera tillämpliga säkerhetskontroller som kan användas för att minimera de uppräknade hoten och identifiera eventuella luckor i kontrollerna (t.ex. säkerhetsrisker) som kan kräva ytterligare behandlingsplaner.
- Räkna upp och utforma de kontroller som kan minska de identifierade säkerhetsriskerna.
Azure-vägledning: Använd verktyg för hotmodellering, till exempel Microsofts verktyg för hotmodellering med azure-mallen för hotmodellering inbäddad för att driva din hotmodelleringsprocess. Använd STRIDE-modellen för att räkna upp hot från både interna och externa och identifiera de kontroller som är tillämpliga. Se till att hotmodelleringsprocessen innehåller hotscenarier i DevOps-processen, till exempel skadlig kodinmatning via en osäker artefaktlagringsplats med en felkonfigurerad princip för åtkomstkontroll.
Om du inte kan använda ett verktyg för hotmodellering bör du åtminstone använda en undersökningsbaserad hotmodelleringsprocess för att identifiera hoten.
Se till att hotmodellerings- eller analysresultaten registreras och uppdateras när det sker en större säkerhetspåverkan i ditt program eller i hotlandskapet.
Azure-implementering och ytterligare kontext:
- Översikt över hotmodellering
- Analys av programhot (inklusive STRIDE + enkätbaserad metod)
- Azure-mall – Stencil för Microsoft Security Threat Model
AWS-vägledning: Använd verktyg för hotmodellering, till exempel Microsofts hotmodelleringsverktyg med azure-hotmodellmallen inbäddad för att driva din hotmodelleringsprocess. Använd STRIDE-modellen för att räkna upp hot från både interna och externa och identifiera de kontroller som är tillämpliga. Se till att hotmodelleringsprocessen innehåller hotscenarier i DevOps-processen, till exempel skadlig kodinmatning via en osäker artefaktlagringsplats med en felkonfigurerad princip för åtkomstkontroll.
Om du inte kan använda ett verktyg för hotmodellering bör du åtminstone använda en undersökningsbaserad hotmodelleringsprocess för att identifiera hoten.
Se till att hotmodellerings- eller analysresultaten registreras och uppdateras när det sker en större säkerhetspåverkan i ditt program eller i hotlandskapet.
AWS-implementering och ytterligare kontext:
- Microsoft Threat Modeling Tool
- Så här närmar du dig hotmodellering för AWS
- Analys av programhot (inklusive STRIDE + enkätbaserad metod)
GCP-vägledning: Använd verktyg för hotmodellering, till exempel Microsofts hotmodelleringsverktyg med azure-hotmodellmallen inbäddad för att driva din hotmodelleringsprocess. Använd STRIDE-modellen för att räkna upp hot från både interna och externa och identifiera de kontroller som är tillämpliga. Se till att hotmodelleringsprocessen innehåller hotscenarier i DevOps-processen, till exempel skadlig kodinmatning via en osäker artefaktlagringsplats med en felkonfigurerad princip för åtkomstkontroll.
Om du inte kan använda ett verktyg för hotmodellering bör du åtminstone använda en undersökningsbaserad hotmodelleringsprocess för att identifiera hoten.
Se till att hotmodellerings- eller analysresultaten registreras och uppdateras när det sker en större säkerhetspåverkan i ditt program eller i hotlandskapet.
GCP-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):
DS-2: Säkerställ säkerheten för programvaruförsörjningskedjan
CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
---|---|---|
16.4, 16.6, 16.11 | SA-12, SA-15 | 6.3, 6.5 |
Säkerhetsprincip: Se till att företagets SDLC (Software Development Lifecycle) eller processen innehåller en uppsättning säkerhetskontroller som styr de interna och tredje parts programvarukomponenterna (inklusive både upphovsrättsskyddad programvara och programvara med öppen källkod) där dina program har beroenden. Definiera kriterier för att förhindra att sårbara eller skadliga komponenter integreras och distribueras i miljön.
Säkerhetskontrollerna för programvaruförsörjningskedjan bör minst innehålla följande aspekter:
- Hantera en programvarufaktura (SBOM) korrekt genom att identifiera de överordnade beroenden som krävs för fasen för utveckling, kompilering, integrering och distribution av tjänster/resurser.
- Inventera och spåra programvarukomponenterna internt och från tredje part för kända säkerhetsrisker när det finns en korrigering tillgänglig i överordnad.
- Utvärdera sårbarheter och skadlig kod i programvarukomponenterna med hjälp av statisk och dynamisk programtestning för okända sårbarheter.
- Se till att säkerhetsrisker och skadlig kod minimeras med lämplig metod. Detta kan omfatta lokal eller överordnad källkodskorrigering, funktionsundantag och/eller tillämpning av kompenserande kontroller om den direkta begränsningen inte är tillgänglig.
Om komponenter från tredje part med stängd källa används i produktionsmiljön kan du ha begränsad insyn i dess säkerhetsstatus. Du bör överväga ytterligare kontroller som åtkomstkontroll, nätverksisolering och slutpunktssäkerhet för att minimera påverkan om det finns en skadlig aktivitet eller säkerhetsrisk som är associerad med komponenten.
Azure-vägledning: För GitHub-plattformen säkerställer du säkerheten för programvaruförsörjningskedjan genom följande funktioner eller verktyg från GitHub Advanced Security eller GitHubs inbyggda funktion: – Använd Dependency Graph för att genomsöka, inventera och identifiera alla projektets beroenden och relaterade sårbarheter via rådgivande databas.
- Använd Dependabot för att säkerställa att det sårbara beroendet spåras och åtgärdas och se till att din lagringsplats automatiskt håller jämna steg med de senaste versionerna av de paket och program som den är beroende av.
- Använd GitHubs inbyggda kodgenomsökningsfunktion för att skanna källkoden när du hämtar koden externt.
- Använd Microsoft Defender för molnet för att integrera sårbarhetsbedömning för din containeravbildning i CI/CD-arbetsflödet. För Azure DevOps kan du använda tillägg från tredje part för att implementera liknande kontroller för inventering, analysera och åtgärda programvarukomponenter från tredje part och deras sårbarheter.
Azure-implementering och ytterligare kontext:
- GitHub Dependency Graph
- GitHub Dependabot
- Identifiera sårbara containeravbildningar i dina CI/CD-arbetsflöden
- Azure DevOps Marketplace – säkerhet i leveranskedjan
AWS-vägledning: Om du använder AWS CI/CD-plattformar som CodeCommit eller CodePipeline ska du se till att programvarans leveranskedjesäkerhet använder CodeGuru Reviewer för att skanna källkoden (för Java och Python) via CI/CD-arbetsflödena. Plattformar som CodeCommit och CodePipeline stöder även tillägg från tredje part för att implementera liknande kontroller för inventering, analysera och åtgärda programvarukomponenter från tredje part och deras sårbarheter.
Om du hanterar källkoden via GitHub-plattformen kontrollerar du säkerheten för programvaruförsörjningskedjan via följande funktioner eller verktyg från GitHub Advanced Security eller GitHubs inbyggda funktion:
- Använd Dependency Graph för att genomsöka, inventera och identifiera alla ditt projekts beroenden och relaterade sårbarheter via rådgivande databas.
- Använd Dependabot för att säkerställa att det sårbara beroendet spåras och åtgärdas och se till att din lagringsplats automatiskt håller jämna steg med de senaste versionerna av de paket och program som den är beroende av.
- Använd GitHubs inbyggda kodgenomsökningsfunktion för att skanna källkoden när du hämtar koden externt.
- Om tillämpligt använder du Microsoft Defender för molnet för att integrera sårbarhetsbedömning för containeravbildningen i CI/CD-arbetsflödet.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Använd Software Delivery Shield för att utföra säkerhetsanalyser från slutpunkt till slutpunkt för programvaruförsörjningskedjan. Detta inkluderar Assured OSS-tjänsten (programvara med öppen källkod) för åtkomst och inkluderar OSS-paketen som har verifierats och testats av Google, samt verifierade Java- och Python-paket som skapas med Googles säkra pipelines. Dessa paket genomsöks, analyseras och testas regelbundet efter sårbarheter. Sådana funktioner kan integreras i Google Cloud Build, Cloud Deploy, Artifact Registry, Artifact Analysis som en del av CI/CD-arbetsflödena.
Om du hanterar källkoden via GitHub-plattformen kontrollerar du säkerheten för programvaruförsörjningskedjan via följande funktioner eller verktyg från GitHub Advanced Security eller GitHubs inbyggda funktion:
- Använd Dependency Graph för att genomsöka, inventera och identifiera alla ditt projekts beroenden och relaterade sårbarheter via rådgivande databas.
- Använd Dependabot för att säkerställa att det sårbara beroendet spåras och åtgärdas och se till att din lagringsplats automatiskt håller jämna steg med de senaste versionerna av de paket och program som den är beroende av.
- Använd GitHubs inbyggda kodgenomsökningsfunktion för att skanna källkoden när du hämtar koden externt.
- Om tillämpligt använder du Microsoft Defender för molnet för att integrera sårbarhetsbedömning för containeravbildningen i CI/CD-arbetsflödet.
GCP-implementering och ytterligare kontext:
- Säkerhet för Google Cloud Software-leveranskedjan
- Sköld för programvaruleverans
- Säkerhet för programvaruförsörjningskedjan
Intressenter för kundsäkerhet (Läs mer):
DS-3: Säker DevOps-infrastruktur
CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
---|---|---|
16.7 | CM-2, CM-6, AC-2, AC-3, AC-6 | 2.2, 6.3, 7.1 |
Säkerhetsprincip: Se till att DevOps-infrastrukturen och DevOps-pipelinen följer rekommenderade säkerhetsmetoder i olika miljöer, inklusive bygg-, test- och produktionsfaser. Detta inkluderar vanligtvis säkerhetskontrollerna för följande omfång:
- Artefaktlagringsplatser som lagrar källkod, skapade paket och bilder, projektartefakter och affärsdata.
- Servrar, tjänster och verktyg som är värdar för CI/CD-pipelines.
- KONFIGURATION av CI/CD-pipeline.
Azure-vägledning: Som en del av tillämpningen av Microsoft Cloud Security Benchmark på säkerhetskontrollerna för DevOps-infrastrukturen prioriterar du följande kontroller:
- Skydda artefakter och den underliggande miljön för att säkerställa att CI/CD-pipelines inte blir vägar för att infoga skadlig kod. Granska till exempel din CI/CD-pipeline för att identifiera eventuella felkonfigurationer i kärnområden i Azure DevOps, till exempel Organisation, Projekt, Användare, Pipelines (Build & Release), Connections och Build Agent för att identifiera eventuella felkonfigurationer som öppen åtkomst, svag autentisering, osäker anslutningskonfiguration och så vidare. För GitHub använder du liknande kontroller för att skydda organisationens behörighetsnivåer.
- Se till att din DevOps-infrastruktur distribueras konsekvent i olika utvecklingsprojekt. Spåra efterlevnaden av din DevOps-infrastruktur i stor skala med hjälp av Microsoft Defender för molnet (till exempel instrumentpanelen för efterlevnad, Azure Policy, hantering av molnstatus) eller dina egna verktyg för efterlevnadsövervakning.
- Konfigurera identitets-/rollbehörigheter och berättigandeprinciper i Azure AD, interna tjänster och CI/CD-verktyg i din pipeline för att säkerställa att ändringar i pipelines har auktoriserats.
- Undvik att ge permanent "stående" privilegierad åtkomst till de mänskliga kontona, till exempel utvecklare eller testare, med hjälp av funktioner som hanterade Azure-identifierare och just-in-time-åtkomst.
- Ta bort nycklar, autentiseringsuppgifter och hemligheter från kod och skript som används i CI/CD-arbetsflödesjobb och förvara dem i ett nyckelarkiv eller Azure Key Vault.
- Om du kör lokalt installerade bygg-/distributionsagenter följer du Microsoft Cloud Security Benchmark-kontroller som nätverkssäkerhet, hållning och sårbarhetshantering samt slutpunktssäkerhet för att skydda din miljö.
Obs! Se avsnitten Loggning och hotidentifiering, DS-7 och Hantering av hållning och sårbarhet för att använda tjänster som Azure Monitor och Microsoft Sentinel för att aktivera styrning, efterlevnad, driftgranskning och riskgranskning för din DevOps-infrastruktur.
Azure-implementering och ytterligare kontext:
- Översikt över DevSecOps-kontroller – säkra pipelines
- Skydda din GitHub-organisation
- Azure DevOps-pipeline – Säkerhetsöverväganden för Microsofts värdbaserade agent
AWS-vägledning: Som en del av tillämpningen av Microsoft Cloud Security Benchmark på säkerhetskontrollerna för din DevOps-infrastruktur, till exempel GitHub, CodeCommit, CodeArtifact, CodePipeline, CodeBuild och CodeDeploy, prioriterar du följande kontroller:
- Se den här vägledningen och säkerhetspelare för AWS Well-architected Framework för att skydda dina DevOps-miljöer i AWS.
- Skydda artefakter och den underliggande stödinfrastrukturen för att säkerställa att CI/CD-pipelines inte blir vägar för att infoga skadlig kod.
- Se till att din DevOps-infrastruktur distribueras och upprätthålls konsekvent i olika utvecklingsprojekt. Spåra efterlevnaden av DevOps-infrastrukturen i stor skala med hjälp av AWS-konfigurationen eller din egen lösning för efterlevnadskontroll.
- Använd CodeArtifact för att lagra och dela programvarupaket som används för programutveckling på ett säkert sätt. Du kan använda CodeArtifact med populära byggverktyg och pakethanterare som Maven, Gradle, npm, yarn, pip och twine.
- Konfigurera identitets-/rollbehörigheter och behörighetsprinciper i AWS IAM, interna tjänster och CI/CD-verktyg i din pipeline för att säkerställa att ändringar i pipelines är auktoriserade.
- Ta bort nycklar, autentiseringsuppgifter och hemligheter från kod och skript som används i CI/CD-arbetsflödesjobb och förvara dem i nyckelarkivet eller AWS KMS
- Om du kör lokalt installerade bygg-/distributionsagenter följer du Microsoft Cloud Security Benchmark-kontroller som nätverkssäkerhet, hållning och sårbarhetshantering samt slutpunktssäkerhet för att skydda din miljö. Använd AWS Inspector för sårbarhetssökning efter sårbarheter i EC2 eller containermiljö som byggmiljö.
Obs! Se avsnitten Loggning och hotidentifiering, DS-7 och och Hantering av hållning och sårbarhet för att använda tjänster som AWS CloudTrail, CloudWatch och Microsoft Sentinel för att aktivera styrning, efterlevnad, driftgranskning och riskgranskning för din DevOps-infrastruktur.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Som en del av tillämpningen av Microsoft Cloud Security Benchmark på säkerhetskontrollerna för DevOps-infrastrukturen prioriterar du följande kontroller:
- Skydda artefakter och den underliggande miljön för att säkerställa att CI/CD-pipelines inte blir vägar för att infoga skadlig kod. Granska till exempel din CI/CD-pipeline för att identifiera eventuella felkonfigurationer i tjänster som Google Cloud Build, Cloud Deploy, Artifact Registry, Connections och Build Agent för att identifiera eventuella felkonfigurationer som öppen åtkomst, svag autentisering, osäker anslutningskonfiguration och så vidare. För GitHub använder du liknande kontroller för att skydda organisationens behörighetsnivåer.
- Se till att din DevOps-infrastruktur distribueras konsekvent i olika utvecklingsprojekt. Spåra efterlevnad av DevOps-infrastrukturen i stor skala med hjälp av Google Cloud Security Command Center (till exempel instrumentpanelen för efterlevnad, organisationsprincip, registrering av enskilda hot och identifiera felkonfigurationer) eller dina egna verktyg för efterlevnadsövervakning.
- Konfigurera identitets-/rollbehörigheter och berättigandeprinciper i molnidentitets-/AD-interna tjänster och CI/CD-verktyg i din pipeline för att säkerställa att ändringar i pipelines är auktoriserade.
- Undvik att ge permanent "stående" privilegierad åtkomst till de mänskliga kontona, till exempel utvecklare eller testare, med hjälp av funktioner som Google-hanterade identifierare.
- Ta bort nycklar, autentiseringsuppgifter och hemligheter från kod och skript som används i CI/CD-arbetsflödesjobb och förvara dem i ett nyckelarkiv eller Google Secret Manager.
- Om du kör lokalt installerade bygg-/distributionsagenter följer du Microsoft Cloud Security Benchmark-kontroller som nätverkssäkerhet, hållning och sårbarhetshantering samt slutpunktssäkerhet för att skydda din miljö.
Obs! Se avsnitten Loggning och hotidentifiering, DS-7 och Hantering av hållning och sårbarhet för att använda tjänster som Azure Monitor och Microsoft Sentinel eller Google Cloud's Operations Suite och Chronicle SIEM och SOAR för att aktivera styrning, efterlevnad, driftgranskning och riskgranskning för din DevOps-infrastruktur.
GCP-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):
- Programsäkerhet och DevSecOps
- Statushantering
- Infrastruktur- och slutpunktssäkerhet
- Säkerhetsarkitektur
DS-4: Integrera säkerhetstestning för statiska program i DevOps-pipeline
CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
---|---|---|
16.12 | SA-11 | 6.3, 6.5 |
Säkerhetsprincip: Se till att sast-fuzzy-testning (static application security testing), interaktiv testning, testning av mobilprogram, ingår i styrningskontrollerna i CI/CD-arbetsflödet. Inställningen kan anges baserat på testresultaten för att förhindra att sårbara paket checkar in på lagringsplatsen, bygger in i paketen eller distribuerar till produktionen.
Azure-vägledning: Integrera SAST i din pipeline (t.ex. i infrastrukturen som kodmall) så att källkoden kan genomsökas automatiskt i ditt CI/CD-arbetsflöde. Azure DevOps Pipeline eller GitHub kan integrera nedanstående verktyg och SAST-verktyg från tredje part i arbetsflödet.
- GitHub CodeQL för källkodsanalys.
- Microsoft BinSkim Binary Analyzer för Windows och *nix binär analys.
- Azure DevOps Credential Scanner (Microsoft Security DevOps-tillägget) och Den interna GitHub-hemligheten söker efter genomsökning av autentiseringsuppgifter i källkoden.
Azure-implementering och ytterligare kontext:
- GitHub CodeQL
- BinSkim Binary Analyzer
- Genomsökning av autentiseringsuppgifter för Azure DevOps
- Identifiering av hemligheter i GitHub
AWS-vägledning: Integrera SAST i din pipeline så att källkoden kan genomsökas automatiskt i DITT CI/CD-arbetsflöde.
Om du använder AWS CodeCommit använder du AWS CodeGuru Reviewer för python- och Java-källkodsanalys. AWS Codepipeline kan också stödja integrering av SAST-verktyg i tredje delen i koddistributionspipelinen.
Om du använder GitHub kan nedanstående verktyg och SAST-verktyg från tredje part integreras i arbetsflödet.
- GitHub CodeQL för källkodsanalys.
- Microsoft BinSkim Binary Analyzer för Windows och *nix binär analys.
- Inbyggd GitHub-hemlighetssökning efter genomsökning av autentiseringsuppgifter i källkoden.
- AWS CodeGuru Reviewer för Python- och Java-källkodsanalys.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Integrera SAST (till exempel Software Delivery Shield, Artefaktanalys) i din pipeline (t.ex. i infrastrukturen som kodmall) så att källkoden kan genomsökas automatiskt i DITT CI/CD-arbetsflöde.
Tjänster som Cloud Build, Cloud Deploy och Artifact Registry stöder integrering med Software Delivery Shield och Artifact Analysis som kan skanna källkod och andra artefakter i CI/CD-arbetsflödet.
GCP-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):
DS-5: Integrera dynamisk programsäkerhetstestning i DevOps-pipeline
CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
---|---|---|
16.12 | SA-11 | 6.3, 6.5 |
Säkerhetsprincip: Se till att DAST (Dynamic Application Security Testing) är en del av styrningskontrollerna i CI/CD-arbetsflödet. Inställningen kan ställas in baserat på testresultaten för att förhindra att sårbarheter byggs in i paketen eller distribueras till produktionen.
Azure-vägledning: Integrera DAST i din pipeline så att körningsprogrammet kan testas automatiskt i ci/CD-arbetsflödesuppsättningen i Azure DevOps eller GitHub. Automatiserad penetrationstestning (med manuell assisterad validering) bör också ingå i DAST.
Azure DevOps Pipeline eller GitHub stöder integrering av DAST-verktyg från tredje part i CI/CD-arbetsflödet.
Azure-implementering och ytterligare kontext:
AWS-vägledning: Integrera DAST i din pipeline så att körningsprogrammet kan testas automatiskt i CI/CD-arbetsflödet i AWS CodePipeline eller GitHub. Automatiserad penetrationstestning (med manuell assisterad validering) bör också ingå i DAST.
AWS CodePipeline eller GitHub stöder integrering av DAST-verktyg från tredje part i CI/CD-arbetsflödet.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Integrera DAST (till exempel Cloud Web Security Scanner) i din pipeline så att körningsprogrammet kan testas automatiskt i ci/CD-arbetsflödet i tjänster som Google Cloud Build, Cloud Deploy eller GitHub. Cloud Web Security Scanner kan användas för att identifiera säkerhetsproblem i dina webbprogram för arbetsbelastningar som finns i App Engine, Google Kubernetes Engine (GKE) och Compute Engine. Automatiserad penetrationstestning (med manuell assisterad validering) bör också ingå i DAST.
Google Cloud Build, Google Cloud Deploy, Artifact Registry och GitHub stöder även integrering av DAST-verktyg från tredje part i CI/CD-arbetsflödet.
GCP-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):
DS-6: Framtvinga arbetsbelastningssäkerhet under Hela DevOps-livscykeln
CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
---|---|---|
7.5, 7.6, 7.7, 16.1, 16.7 | CM-2, CM-6, AC-2, AC-3, AC-6 | 6.1, 6.2, 6.3 |
Säkerhetsprincip: Se till att arbetsbelastningen skyddas under hela livscykeln under utvecklings-, testnings- och distributionsfasen. Använd Microsoft Cloud Security Benchmark för att utvärdera kontrollerna (till exempel nätverkssäkerhet, identitetshantering, privilegierad åtkomst och så vidare) som kan ställas in som skyddsräcken som standard eller flyttas åt vänster före distributionssteget. Se särskilt till att följande kontroller finns på plats i DevOps-processen: – Automatisera distributionen med hjälp av Azure eller verktyg från tredje part i CI/CD-arbetsflödet, infrastrukturhantering (infrastruktur som kod) och testning för att minska mänskliga fel och angreppsytan.
- Se till att virtuella datorer, containeravbildningar och andra artefakter skyddas från skadlig manipulering.
- Genomsöka arbetsbelastningsartefakter (med andra ord containeravbildningar, beroenden, SAST- och DAST-genomsökningar) före distributionen i CI/CD-arbetsflödet
- Distribuera sårbarhetsbedömning och hotidentifiering i produktionsmiljön och använd dessa funktioner kontinuerligt under körningen.
Azure-vägledning: Vägledning för virtuella Azure-datorer:
- Använd Azure Shared Image Gallery för att dela och kontrollera åtkomsten till dina bilder av olika användare, tjänstens huvudnamn eller AD-grupper i din organisation. Använd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att säkerställa att endast behöriga användare kan komma åt dina anpassade avbildningar.
- Definiera de säkra konfigurationsbaslinjerna för de virtuella datorerna för att eliminera onödiga autentiseringsuppgifter, behörigheter och paket. Distribuera och framtvinga konfigurationsbaslinjer via anpassade avbildningar, Azure Resource Manager-mallar och/eller Azure Policy gästkonfiguration.
Vägledning för Azure-containertjänster:
- Använd Azure Container Registry (ACR) för att skapa ditt privata containerregister där detaljerad åtkomst kan begränsas via Azure RBAC, så att endast auktoriserade tjänster och konton kan komma åt containrarna i det privata registret.
- Använd Defender för containrar för sårbarhetsbedömning av avbildningarna i din privata Azure Container Registry. Dessutom kan du använda Microsoft Defender för molnet för att integrera genomsökningar av containeravbildningar som en del av dina CI/CD-arbetsflöden.
För serverlösa Azure-tjänster använder du liknande kontroller för att säkerställa att säkerhetskontrollerna flyttas åt vänster till fasen före distributionen.
Azure-implementering och ytterligare kontext:
- Shared Image Gallery översikt
- Så här implementerar du Microsoft Defender för rekommendationer för sårbarhetsbedömning i molnet
- Säkerhetsöverväganden för Azure Container
- Azure Defender för containerregister
AWS-vägledning: Använd Amazon Elastic Container Registry för att dela och kontrollera åtkomsten till dina avbildningar av olika användare och roller i din organisation. Och Använd AWS IAM för att säkerställa att endast behöriga användare kan komma åt dina anpassade avbildningar.
Definiera de säkra konfigurationsbaslinjerna för EC2 AMI-avbildningarna för att eliminera onödiga autentiseringsuppgifter, behörigheter och paket. Distribuera och framtvinga konfigurationsbaslinjer via anpassade AMI-avbildningar, CloudFormation-mallar och/eller AWS-konfigurationsregler.
Använd AWS Inspector för sårbarhetsgenomsökning av virtuella datorers och containerbaserade miljöer, vilket skyddar dem från skadlig manipulering.
För serverlösa AWS-tjänster använder du AWS CodePipeline tillsammans med AWS AppConfig för att implementera liknande kontroller för att säkerställa att säkerhetskontrollerna flyttas åt vänster till fasen före distributionen.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Google Cloud innehåller kontroller för att skydda dina beräkningsresurser och GKE-containerresurser (Google Kubernetes Engine). Google innehåller avskärmad virtuell dator, som härdar de virtuella datorinstanserna. Den ger startsäkerhet, övervakar integritet och använder VTPM (Virtual Trusted Platform Module).
Använd Google Cloud Artifact Analysis för att söka igenom sårbarheter i container- eller OS-avbildningar och andra typer av artefakter på begäran eller automatiskt i dina pipelines. Använd Identifiering av containerhot för att kontinuerligt övervaka angiven av Container-Optimized os-nodavbildningar. Tjänsten utvärderar alla ändringar och fjärråtkomstförsök för att identifiera körningsattacker nästan i realtid.
Använd Artifact Registry för att konfigurera säker privat lagring av artefakter för att behålla kontrollen över vem som kan komma åt, visa eller ladda ned artefakter med registerbaserade IAM-roller och behörigheter, samt för att få konsekvent drifttid på Googles säkra och tillförlitliga infrastruktur.
För serverlösa GCP-tjänster använder du liknande kontroller för att säkerställa att säkerhetskontrollerna flyttas åt vänster till fasen före distributionen.
GCP-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):
DS-7: Aktivera loggning och övervakning i DevOps
CIS-kontroller v8 ID:n | NIST SP 800-53 r4 ID:n | PCI-DSS ID(er) v3.2.1 |
---|---|---|
8.2, 8.5, 8.9, 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.1, 10.2, 10.3, 10.6 |
Säkerhetsprincip: Se till att loggnings- och övervakningsomfånget omfattar icke-produktionsmiljöer och CI/CD-arbetsflödeselement som används i DevOps (och andra utvecklingsprocesser). De sårbarheter och hot som riktas mot dessa miljöer kan medföra betydande risker för produktionsmiljön om de inte övervakas korrekt. Händelser från CI/CD-kompilerings-, test- och distributionsarbetsflödet bör också övervakas för att identifiera avvikelser i CI/CD-arbetsflödesjobben.
Azure-vägledning: Aktivera och konfigurera granskningsloggningsfunktionerna i icke-produktions- och CI/CD-verktygsmiljöer (till exempel Azure DevOps och GitHub) som används under hela DevOps-processen.
De händelser som genereras från Azure DevOps och GitHub CI/CD-arbetsflödet, inklusive bygg-, test- och distributionsjobben, bör också övervakas för att identifiera avvikande resultat.
Mata in ovanstående loggar och händelser i Microsoft Sentinel eller andra SIEM-verktyg via en loggningsström eller ETT API för att säkerställa att säkerhetsincidenterna övervakas korrekt och prioriteras för hantering.
Azure-implementering och ytterligare kontext:
AWS-vägledning: Aktivera och konfigurera AWS CloudTrail för granskningsloggningsfunktioner i icke-produktions- och CI/CD-verktygsmiljöer (till exempel AWS CodePipeline, AWS CodeBuild, AWS CodeDeploy, AWS CodeStar) som används under hela DevOps-processen.
De händelser som genereras från AWS CI/CD-miljöerna (till exempel AWS CodePipeline, AWS CodeBuild, AWS CodeDeploy, AWS CodeStar) och GitHub CI/CD-arbetsflödet, inklusive bygg-, test- och distributionsjobben, bör också övervakas för att identifiera avvikande resultat.
Mata in ovanstående loggar och händelser i AWS CloudWatch, Microsoft Sentinel eller andra SIEM-verktyg via en loggningsström eller ETT API för att säkerställa att säkerhetsincidenterna övervakas korrekt och prioriteras för hantering.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Aktivera och konfigurera granskningsloggningsfunktionerna i icke-produktions- och CI/CD-verktygsmiljöer för produkter som Cloud Build, Google Cloud Deploy, Artifact Registry och GitHub, som kan användas under hela DevOps-processen.
Händelser som genereras från GCP CI/CD-miljöer (till exempel Cloud Build, Google Cloud Deploy, Artifact Registry) och GitHub CI/CD-arbetsflödet, inklusive bygg-, test- och distributionsjobb, bör också övervakas för att identifiera avvikande resultat.
Mata in ovanstående loggar och händelser i Microsoft Sentinel, Google Cloud Security Command Center, Chronicle eller andra SIEM-verktyg via en loggningsström eller API för att säkerställa att säkerhetsincidenterna övervakas korrekt och sorteras för hantering.
GCP-implementering och ytterligare kontext:
- Aktuella produkter för CI/CD
- Introduktion till Google Cloud-driftspaketet
- Metodtips för molnloggning
- Mata in Google Cloud-data till Chronicle
Intressenter för kundsäkerhet (Läs mer):