你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
改善 DevOps 环境安全态势
随着对源代码管理系统和持续集成/持续交付管道的网络攻击的增加,保护 DevOps 平台免受 DevOps 威胁矩阵中识别的各种威胁至关重要。 此类网络攻击可以启用代码注入、特权提升和数据外泄,可能会造成广泛影响。
DevOps 态势管理是 Microsoft Defender for Cloud 中的一项功能,特点有:
- 提供有关整个软件供应链生命周期安全状况的见解。
- 使用高级扫描程序进行深入评估。
- 涵盖组织、管道和存储库的各种资源。
- 允许客户通过发现并执行所提供的建议来减少攻击面。
DevOps 扫描程序
为了提供调查结果,DevOps 态势管理使用 DevOps 扫描程序通过针对安全配置和访问控制运行检查,以此识别源代码管理和持续集成/持续交付管道中的弱点。
Microsoft 内部使用 Azure DevOps 和 GitHub 扫描程序来识别与 DevOps 资源相关的风险,减少攻击面并增强公司 DevOps 系统。
连接 DevOps 环境后,Defender for Cloud 会自动配置这些扫描程序,在多个 DevOps 资源中每 24 小时执行一次定期扫描,包括:
- 内部版本
- 安全文件
- 变量组
- 服务连接
- 组织
- 存储库
DevOps 威胁矩阵风险降低
DevOps 态势管理可帮助组织发现和修正 DevOps 平台中的有害错误配置。 这会导致可复原的零信任 DevOps 环境,该环境针对 DevOps 威胁矩阵中定义的一系列威胁进行了强化。 主要态势管理控制措施包括:
作用域内机密访问:通过确保每个管道仅有权访问其功能所需的机密,尽量减少敏感信息的泄露,并减少未经授权的访问、数据泄漏和横向移动的风险。
自托管运行程序和高权限的限制:通过避免自托管运行程序并确保管道权限默认为只读,防止未经授权的执行和潜在升级。
增强的分支保护:通过强制实施分支保护规则并防止恶意代码注入,维护代码的完整性。
优化的权限和安全存储库:通过跟踪最低基本权限以及为存储库启用机密推送保护,降低未经授权的访问、修改的风险。
详细了解 DevOps 威胁矩阵。
DevOps 态势管理建议
当 DevOps 扫描程序发现源代码管理系统和持续集成/持续交付管道中的安全最佳做法出现偏差时,Defender for Cloud 会输出精确且可行的建议。 这些建议具有以下优势:
- 增强可见性:深入了解 DevOps 环境的安全态势,确保全面掌握任何现有漏洞。 确定缺少的分支保护规则、特权提升风险和不安全的连接,以防止攻击。
- 基于优先级的操作:首先解决最关键的漏洞,按严重性筛选结果,从而更有效地花费资源和精力。
- 攻击面减少:解决突出的安全漏洞,大幅减少易受攻击的攻击面,从而强化针对潜在威胁的防御。
- 实时通知:能够与工作流自动化集成,以便在安全配置发生更改时接收即时警报,从而允许提示操作并确保持续符合安全协议。