Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Název pilíře: Ochrana technických systémů
Název vzoru: Ochrana softwarového dodavatelského řetězce
Společnost Microsoft posílila svůj softwarový dodavatelský řetězec implementací automatizovaného skenování zranitelností, centralizovaného zdroje blokování malwaru a standardizovaných šablon pipeline pro vynucení zásad zabezpečení. Tato opatření zajišťují rychlé, konzistentní aktualizace a ochranu před škodlivými komponentami při vstupu do produkčního prostředí.
Kontext a problém
Moderní vývoj softwaru závisí na složitých dodavatelských řetězcích, mezi které patří opensourcový software (OSS), interní balíčky, kanály sestavení a automatizace verzí. I když tyto inovace urychlují, rozšiřují také prostor pro útoky. Nežádoucí osoby můžou cílit na ohrožené závislosti operačního systému, vkládat malware prostřednictvím veřejných kanálů nebo využívat mezery v kanálech buildu a verzí.
Škálování Microsoftu tuto výzvu zvětšuje: více než 78 000 kanálů Azure DevOps (AzDO) běží měsíčně a tisíce úložišť spoléhají na komponenty OSS. V minulosti měly týmy širokou flexibilitu při konfiguraci kanálů. Tato vytvořená fragmentace, zpomalovala přijetí nových zásad zabezpečení a zavedla potenciální ohrožení zabezpečení.
Aby se toto riziko snížilo, společnost Microsoft provedla ochranu softwarového dodavatelského řetězce jako hlavní prioritu v rámci iniciativy Secure Future Initiative (SFI).
Solution
Společnost Microsoft nasadila podrobný přístup pro zabezpečení softwarového dodavatelského řetězce, který kombinuje zásady správného řízení, automatizaci a architekturu nulové důvěryhodnosti:
- Správa komponent (CG): Analýza složení softwaru (SCA) je automaticky povolena napříč technickými systémy za účelem identifikace zranitelností v závislostech open source softwaru.
- Centralizovaná služba informačního kanálu (CFS): Interní informační kanál, který blokuje malware, kontroluje viry, detekuje překlepování a umístí nové verze balíčků do karantény před povolením příjmu dat do produkčních úložišť.
- Spravované šablony kanálů: Standardizované šablony YAML vynucují zabezpečené výpočetní prostředky, vkládají požadované nástroje pro statickou analýzu, povolují generování SBOM a používají brány dodržování předpisů, jako je schválení dvou osob a podepisování kódu.
- Centralizované aktualizace: Centralizované mechanismy odsunou aktualizace dodržování předpisů a zabezpečení do všech kanálů, které zajišťují rychlé a konzistentní přijetí nových požadavků.
Společně tato opatření chrání technické systémy Microsoftu před útoky dodavatelského řetězce operačního systému, umožňují dodržování předpisů SBOM na podnikové úrovni a snižují riziko škodlivých nebo ohrožených komponent, které vstoupí do produkce.
Pokyny
Organizace můžou použít podobný model pomocí následujících postupů, které je možné provést:
| Případ použití | Doporučená akce | zdroj |
|---|---|---|
| Řízení zpracování dat v open source softwaru | – Používejte centralizované kanály ke správě veškeré spotřeby balíčků a blokujte veřejné kanály v produkčním prostředí. | Ochrana před škodlivými veřejnými balíčky – Azure Artifacts |
| Detekce zranitelností | – Povolte analýzu softwarového složení (SCA) ke sledování závislostí a automatickému označení ohrožení zabezpečení s vysokou závažností. | Prozkoumání analýzy složení softwaru (SCA) – Microsoft Learn |
| Vynucení zabezpečení kanálu | – Osvojte si spravované šablony kanálů, které vkládají statické analýzy, včetně kontrol dodržování předpisů a generování SBOM. – Nakonfigurujte rozšíření Microsoft Security DevOps Azure DevOps. – Nainstalujte opensourcový nástroj pro generování SBOM od Microsoftu. |
Šablony kanálů YAML Azure Artifacts Konfigurace rozšíření Microsoft Security DevOps Azure DevOps – Microsoft Defender for Cloud Nástroj GitHub SBOM |
| Zavedení zásad ve velkém měřítku | – Používejte centrálně spravované šablony (rozšiřuje model) k vynucení nových požadavků na zabezpečení a dodržování předpisů napříč tisíci kanálů. | Zásady správného řízení kanálů pomocí šablon |
| Audit a monitorování | – Nepřetržitě monitorujte pipeline, abyste zajistili využití šablon a čtvrtletně přezkoumávali dodržování předpisů. | Auditování Azure DevOps |
Výhody
- Snížené riziko operačního systému: Zabraňuje ingestování škodlivých nebo ohrožených opensourcových balíčků.
- Standardizované dodržování předpisů: Poskytuje konzistentní vynucování požadavků na SBOM, statickou analýzu a podepisování kódu.
- Škálovatelné přijetí zásad: Centrální řízení umožňuje rychlé zavedení nových standardů zabezpečení napříč více než 75 tis. pipelinek.
- Vyšší produktivita: Šablony urychlují nastavení pro nové týmy, snižují duplicity a chyby.
- Připravenost na audit: Centralizované protokolování a důkazy SBOM zjednodušují reporting o dodržování předpisů a splnění požadavků zákazníků.
Kompromisy
- Třecí plochy pro vývojáře: Týmy můžou narazit na zpoždění, když balíčky otevřeného softwaru (OSS) umístěné do karantény nebo kontroly zásad blokují sestavení.
- Provozní režie: Centrální informační kanály a šablony vyžadují nepřetržitou údržbu, ladění a podporu.
- Prodleva přijetí verze: Ověření zabezpečení může zpozdit používání nejnovějších verzí operačního systému v produkčním prostředí.
- Omezení přizpůsobení: Týmy musí vyvážit místní potřeby s centrálně vynucenými požadavky, což vyžaduje kompromis.
Klíčové faktory úspěchu
Pokud chcete sledovat úspěch, změřte následující:
- Rychlost přijetí kanálu: Procento kanálů CI/CD využívajících řízené šablony
- Pokrytí zásad správného řízení operačního systému: Procento produkčních úložišť využívajících operační systém pouze prostřednictvím centralizované služby informačního kanálu (CFS).
- Dodržování předpisů SBOM: Poměr buildů, které automaticky generují SBOM.
- Snížení zranitelnosti: Pokles nevyřešených kritických zranitelností open-source softwaru v produkčním prostředí.
- Konzistence auditu: Frekvence a přesnost kontrol dodržování předpisů v rámci aktivních kanálů
Shrnutí
Ochrana dodavatelského řetězce softwaru vyžaduje technické vynucování i provozní disciplínu. Microsoft to řeší kombinováním zásad správného řízení komponent, centralizované služby informačního kanálu a šablony kanálů řízení, které pomáhají zabezpečit každou fázi životního cyklu softwaru. Tato opatření pomáhají chránit před ohroženími zabezpečení operačního systému, vynucovat dodržování požadavků SBOM a poskytovat škálovatelnou automatizovanou ochranu napříč desítkami tisíc kanálů.
Organizace můžou používat podobné postupy: centralizovat příjem balíčků, vynucovat kontroly SBOM a dodržování předpisů prostřednictvím řídicích šablon kanálů a průběžně monitorovat využití, aby se přizpůsobily novým bezpečnostním hrozbám.
Posilte zabezpečení od kódu k produkci pro lepší ochranu vašeho softwarového dodavatelského řetězce pomocí centralizovaných zdrojů, automatizované analýzy a řízených procesů.