تحسين وضع أمان بيئة DevOps

مع زيادة الهجمات الإلكترونية على أنظمة إدارة التعليمات البرمجية المصدر وتدفقات التكامل المستمر/ التسليم المستمر، يعد تأمين منصات DevOps ضد مجموعة متنوعة من التهديدات المحددة في مصفوفة تهديدات DevOps أمرا بالغ الأهمية. يمكن أن تمكن مثل هذه الهجمات الإلكترونية من إدخال التعليمات البرمجية، وتصعيد الامتيازات، واختراق البيانات، مما قد يؤدي إلى تأثير واسع النطاق.

إدارة وضع DevOps هي ميزة في Microsoft Defender for Cloud:

• يوفر رؤى حول الوضع الأمني لدورة حياة سلسلة توريد البرامج بأكملها.
• يستخدم الماسحات الضوئية المتقدمة للتقييمات المتعمقة.
• يغطي الموارد المختلفة، من المؤسسات والتدفقات والمستودعات.
• يسمح للعملاء بالحد من سطح الهجوم من خلال الكشف عن التوصيات المقدمة والعمل عليها.

الماسحات الضوئية ل DevOps

لتوفير النتائج، تستخدم إدارة وضع DevOps الماسحات الضوئية ل DevOps لتحديد نقاط الضعف في إدارة التعليمات البرمجية المصدر وتدفقات التكامل/التسليم المستمر من خلال تشغيل عمليات التحقق مقابل تكوينات الأمان وعناصر التحكم في الوصول.

تستخدم الماسحات الضوئية Azure DevOps وGitHub داخليا داخل Microsoft لتحديد المخاطر المرتبطة بموارد DevOps، والحد من سطح الهجوم وتعزيز أنظمة DevOps الخاصة بالشركة.

بمجرد توصيل بيئة DevOps، يقوم Defender for Cloud بالتكوين التلقائي لهذه الماسحات الضوئية لإجراء عمليات فحص متكررة كل 24 ساعة عبر موارد DevOps متعددة، بما في ذلك:

• يبني
• تأمين الملفات
• مجموعات المتغيرات
• اتصالات الخدمة
• المؤسسات
• المستودعات

الحد من مخاطر مصفوفة التهديد DevOps

تساعد إدارة وضع DevOps المؤسسات في اكتشاف ومعالجة التكوينات الخاطئة الضارة في النظام الأساسي DevOps. يؤدي هذا إلى بيئة DevOps مرنة بدون ثقة، والتي يتم تعزيزها ضد مجموعة من التهديدات المحددة في مصفوفة تهديدات DevOps. تتضمن عناصر التحكم في إدارة الوضع الأساسي ما يلي:

• الوصول السري المحدد النطاق: تقليل تعرض المعلومات الحساسة وتقليل مخاطر الوصول غير المصرح به وتسرب البيانات والحركات الجانبية من خلال ضمان أن يكون لكل مسار فقط حق الوصول إلى الأسرار الضرورية لوظيفته.

• تقييد المشغلين المستضافين ذاتيا والأذونات العالية: منع عمليات التنفيذ غير المصرح بها والتصعيدات المحتملة من خلال تجنب المشغلات المستضافة ذاتيا والتأكد من أن أذونات البنية الأساسية لبرنامج ربط العمليات التجارية افتراضية للقراءة فقط.

• حماية الفرع المحسنة: الحفاظ على تكامل التعليمات البرمجية عن طريق فرض قواعد حماية الفرع ومنع إدخال التعليمات البرمجية الضارة.

• الأذونات المحسنة والمستودعات الآمنة: تقليل مخاطر الوصول غير المصرح به، والتعديلات عن طريق تتبع الحد الأدنى من الأذونات الأساسية، وتمكين حماية الدفع السرية للمستودعات.

• تعرف على المزيد حول مصفوفة تهديد DevOps.

توصيات إدارة وضع DevOps

عندما تكشف الماسحات الضوئية DevOps عن الانحرافات عن أفضل ممارسات الأمان داخل أنظمة إدارة التعليمات البرمجية المصدر وتدفقات التكامل المستمر/التسليم المستمر، يقوم Defender for Cloud بإخراج توصيات دقيقة وقابلة للتنفيذ. تتمتع هذه التوصيات بالمزايا التالية:

• الرؤية المحسنة: احصل على رؤى شاملة حول الوضع الأمني لبيئات DevOps، ما يضمن فهما جيدا لأي نقاط ضعف موجودة. تحديد قواعد حماية الفرع المفقودة، ومخاطر تصعيد الامتيازات، والاتصالات غير الآمنة لمنع الهجمات.
• الإجراء المستند إلى الأولوية: تصفية النتائج حسب الخطورة لإنفاق الموارد والجهود بشكل أكثر فعالية من خلال معالجة الثغرات الأمنية الأكثر أهمية أولا.
• تقليل الأجزاء المعرضة للهجوم: تطرق إلى الثغرات الأمنية التي تم تسليط الضوء عليها لتقليل أسطح الهجوم الضعيفة بشكل كبير، وبالتالي تعزيز الدفاعات ضد التهديدات المحتملة.
• الإعلامات في الوقت الحقيقي: القدرة على التكامل مع أتمتة سير العمل لتلقي تنبيهات فورية عند تغيير التكوينات الآمنة، ما يسمح باتخاذ إجراء فوري وضمان الامتثال المستمر لبروتوكولات الأمان.

الخطوات التالية

• قم بتوصيل مستودعات GitHub الخاصة بك ب Microsoft Defender for Cloud.
• قم بتوصيل مستودعات Azure DevOps ب Microsoft Defender for Cloud.