Vylepšení stavu zabezpečení prostředí DevOps

  • Článek

S nárůstem kybernetických útoků na systémy správy zdrojového kódu a kanály kontinuální integrace/průběžného doručování je zásadní zabezpečení platforem DevOps proti nejrůznějším hrozbám identifikovaným v DevOps Threat Matrix . Takové kybernetické útoky můžou umožnit injektáž kódu, eskalaci oprávnění a exfiltraci dat, což může potenciálně vést k rozsáhlému dopadu.

Správa stavu DevOps je funkce v Programu Microsoft Defender pro cloud, která:

  • Poskytuje přehled o stavu zabezpečení celého životního cyklu dodavatelského řetězce softwaru.
  • Používá pokročilé skenery pro podrobná posouzení.
  • Pokrývá různé prostředky od organizací, kanálů a úložišť.
  • Umožňuje zákazníkům snížit prostor pro útoky tím, že odhalí a bude reagovat na poskytnutá doporučení.

Skenery DevOps

Ke zjištění používá správa stavu DevOps skenery DevOps k identifikaci slabých míst ve správě zdrojového kódu a v kanálech kontinuální integrace/průběžného doručování spuštěním kontrol konfigurace zabezpečení a řízení přístupu.

Skenery Azure DevOps a GitHubu se interně používají v Microsoftu k identifikaci rizik spojených s prostředky DevOps, což snižuje prostor pro útoky a posiluje podnikové systémy DevOps.

Jakmile je prostředí DevOps připojené, Defender for Cloud automaticky nakonfiguruje tyto skenery tak, aby prováděl opakované kontroly každých 24 hodin napříč několika prostředky DevOps, mezi které patří:

  • Buildy
  • Zabezpečené soubory
  • Skupiny proměnných
  • Připojení služeb
  • Organizace
  • Úložiště

Snížení rizik v matici hrozeb DevOps

Správa stavu DevOps pomáhá organizacím zjišťovat a opravovat škodlivé chybné konfigurace na platformě DevOps. To vede k odolnému prostředí DevOps, které je posíleno proti řadě hrozeb definovaných v matici hrozeb DevOps. Mezi primární ovládací prvky správy stavu patří:

  • Vymezený tajný přístup: Minimalizujte vystavení citlivých informací a snižte riziko neoprávněného přístupu, úniku dat a laterálních přesunů tím, že zajistíte, že každý kanál má přístup pouze k tajným kódům nezbytným pro jeho funkci.

  • Omezení spouštěčů v místním prostředí a vysokých oprávnění: zabrání neoprávněným spuštěním a potenciálním eskalacím tím, že se vyhnete spouštěčům v místním prostředí a zajistíte, aby oprávnění kanálu ve výchozím nastavení byla jen pro čtení.

  • Rozšířená ochrana větví: Zachování integrity kódu vynucením pravidel ochrany větví a zabráněním injektážem škodlivého kódu.

  • Optimalizovaná oprávnění a zabezpečená úložiště: Snižte riziko neoprávněného přístupu, úpravy sledováním minimálních základních oprávnění a povolením ochrany tajných kódů pro úložiště.

  • Přečtěte si další informace o matici hrozeb DevOps.

Doporučení pro správu stavu DevOps

Když skenery DevOps odhalí odchylky od osvědčených postupů zabezpečení v rámci systémů správy zdrojového kódu a kanálů kontinuální integrace/průběžného doručování, Defender for Cloud nabízí přesná a použitelná doporučení. Tato doporučení mají následující výhody:

  • Vylepšená viditelnost: Získejte komplexní přehled o stavu zabezpečení prostředí DevOps a zajistěte si přehled o všech existujících ohroženích zabezpečení. Identifikujte chybějící pravidla ochrany větví, rizika eskalace oprávnění a nezabezpečená připojení, abyste zabránili útokům.
  • Akce založená na prioritách: Vyfiltrujte výsledky podle závažnosti, abyste mohli efektivněji utratit prostředky a úsilí tím, že nejprve řešíte nejdůležitější ohrožení zabezpečení.
  • Snížení prostoru pro útoky: Vyřešte zvýrazněné mezery v zabezpečení, aby se výrazně minimalizovaly ohrožené plochy útoků, a tím posílit ochranu před potenciálními hrozbami.
  • Oznámení v reálném čase: Možnost integrace s automatizacemi pracovních postupů, aby dostávala okamžitá upozornění při změně zabezpečených konfigurací, což umožňuje rychlou akci a zajištění udržitelného dodržování bezpečnostních protokolů.

Další kroky