Compartir a través de

Control de seguridad: seguridad DevOps

DevOps Security cubre los controles relacionados con la ingeniería y las operaciones de seguridad en los procesos de DevOps, incluida la implementación de comprobaciones de seguridad críticas (como pruebas estáticas de seguridad de aplicaciones, administración de vulnerabilidades) antes de la fase de implementación para garantizar la seguridad en todo el proceso de DevOps; también incluye temas comunes, como el modelado de amenazas y la seguridad de suministro de software.

DS-1: realizar el modelado de amenazas

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
16.10, 16.14 SA-15 6.5, 12.2

Principio de seguridad: Realice el modelado de amenazas para identificar las amenazas potenciales y enumerar los controles de mitigación. Asegúrese de que el modelado de amenazas tiene los siguientes fines:

  • Proteja sus aplicaciones y servicios en la fase de tiempo de ejecución de la producción.
  • Proteja los artefactos, la canalización de CI/CD subyacente y otros entornos de herramientas que se usan para la compilación, las pruebas y la implementación. El modelado de amenazas debe incluir al menos los siguientes aspectos:
  • Defina los requisitos de seguridad de la aplicación. Asegúrese de que estos requisitos se abordan adecuadamente en el modelado de amenazas.
  • Analice los componentes de las aplicaciones y las conexiones de datos y sus relaciones. Asegúrese de que este análisis también incluye las conexiones ascendentes y descendentes fuera del ámbito de la aplicación.
  • Enumere las posibles amenazas y vectores de ataque a los que se pueden exponer los componentes de la aplicación, las conexiones de datos y los servicios de nivel ascendente y descendente.
  • Identifique los controles de seguridad aplicables que se pueden usar para mitigar las amenazas enumeradas e identificar las brechas de controles (por ejemplo, vulnerabilidades de seguridad) que pueden requerir planes de tratamiento adicionales.
  • Enumere y diseñe los controles que pueden mitigar las vulnerabilidades identificadas.

Guía de Azure: use herramientas de modelado de amenazas, como la herramienta de modelado de amenazas de Microsoft, con la plantilla de modelo de amenazas de Azure incrustada para impulsar el proceso de modelado de amenazas. Use el modelo STRIDE para enumerar las amenazas tanto internas como externas e identificar los controles aplicables. Asegúrese de que el proceso de modelado de amenazas incluye los escenarios de amenazas en el proceso de DevOps, como la inyección de código malintencionado a través de un repositorio de artefactos no seguros con una directiva de control de acceso mal configurada.

Si el uso de una herramienta de modelado de amenazas no es aplicable, debe, como mínimo, utilizar un proceso de modelado de amenazas basado en cuestionarios para identificar las amenazas.

Asegúrese de que los resultados del análisis o el modelado de amenazas se registran y actualizan cuando se produce un cambio importante que afecte a la seguridad de la aplicación o al panorama de amenazas.

Implementación de Azure y contexto adicional:

Guía de AWS: Utilice herramientas de modelado de amenazas, como la herramienta de modelado de amenazas de Microsoft con la plantilla de modelo de amenazas de Azure incrustada, para impulsar el proceso de modelado de amenazas. Use el modelo STRIDE para enumerar las amenazas tanto internas como externas e identificar los controles aplicables. Asegúrese de que el proceso de modelado de amenazas incluye los escenarios de amenazas en el proceso de DevOps, como la inyección de código malintencionado a través de un repositorio de artefactos no seguros con una directiva de control de acceso mal configurada.

Si el uso de una herramienta de modelado de amenazas no es aplicable, debe, como mínimo, utilizar un proceso de modelado de amenazas basado en cuestionarios para identificar las amenazas.

Asegúrese de que los resultados del análisis o el modelado de amenazas se registran y actualizan cuando se produce un cambio importante que afecte a la seguridad de la aplicación o al panorama de amenazas.

Implementación de AWS y contexto adicional:

Guía de GCP: Usa herramientas de modelado de amenazas, como la herramienta de modelado de amenazas de Microsoft, con la plantilla de modelo de amenazas de Azure incrustada para impulsar tu proceso de modelado de amenazas. Use el modelo STRIDE para enumerar las amenazas tanto internas como externas e identificar los controles aplicables. Asegúrese de que el proceso de modelado de amenazas incluye los escenarios de amenazas en el proceso de DevOps, como la inyección de código malintencionado a través de un repositorio de artefactos no seguros con una directiva de control de acceso mal configurada.

Si el uso de una herramienta de modelado de amenazas no es aplicable, debe, como mínimo, utilizar un proceso de modelado de amenazas basado en cuestionarios para identificar las amenazas.

Asegúrese de que los resultados del análisis o el modelado de amenazas se registran y actualizan cuando se produce un cambio importante que afecte a la seguridad de la aplicación o al panorama de amenazas.

Implementación de GCP y contexto adicional:

Partes interesadas en la seguridad del cliente (más información):

DS-2: Garantizar la seguridad de la cadena de suministro de software

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
16.4, 16.6, 16.11 SA-12, SA-15 6.3, 6.5

Principio de seguridad: asegúrese de que el SDLC (ciclo de vida de desarrollo de software) o el proceso de su empresa incluyan un conjunto de controles de seguridad para controlar los componentes de software internos y de terceros (incluido el software propietario y de código abierto) en los que sus aplicaciones tienen dependencias. Defina criterios de acceso para evitar que componentes vulnerables o malintencionados se integren e implementen en el entorno.

Los controles de seguridad de la cadena de suministro de software deben incluir, como mínimo, los siguientes aspectos:

  • Gestione correctamente una lista de materiales de software (SBOM) identificando las dependencias ascendentes necesarias para la fase de desarrollo, construcción, integración e implementación de servicios/recursos.
  • Realice un inventario y un seguimiento de los componentes de software internos y de terceros para ver si hay alguna vulnerabilidad conocida cuando haya una corrección disponible en el nivel ascendente.
  • Evalúe las vulnerabilidades y el malware en los componentes de software mediante pruebas de aplicaciones estáticas y dinámicas en busca de vulnerabilidades desconocidas.
  • Asegúrese de que las vulnerabilidades y el malware se mitigan mediante el enfoque adecuado. Esto puede incluir la corrección local o ascendente del código fuente, la exclusión de características o la aplicación de controles de compensación si la mitigación directa no está disponible.

Si se usan componentes de terceros de origen cerrado en el entorno de producción, es posible que tenga una visibilidad limitada de su posición de seguridad. Por lo tanto, debe tener en cuenta controles adicionales, como el control de acceso, el aislamiento de red y la seguridad de los puntos de conexión para minimizar el impacto si hay alguna actividad malintencionada o una vulnerabilidad asociada al componente.

Guía de Azure: Para la plataforma GitHub, garantice la seguridad de la cadena de suministro de software a través de la siguiente funcionalidad o herramientas de GitHub Advanced Security o la característica nativa de GitHub:- Use Dependency Graph para examinar, inventariar e identificar todas las dependencias de su proyecto y vulnerabilidades relacionadas a través de Advisory Database.

  • Use Dependabot para asegurarse de que se realiza el seguimiento y la corrección de la dependencia vulnerable, y asegúrese de que el repositorio se mantiene automáticamente al día con las versiones más recientes de los paquetes y aplicaciones de los que depende.
  • Usa la capacidad de escaneo de código nativo de GitHub para escanear el código fuente cuando obtengas el código externamente.
  • Use Microsoft Defender for Cloud para integrar la evaluación de vulnerabilidades de la imagen de contenedor en el flujo de trabajo de CI/CD. En cuanto a Azure DevOps, puede usar extensiones de terceros para implementar controles similares para inventariar, analizar y corregir los componentes de software de terceros y sus vulnerabilidades.

Implementación de Azure y contexto adicional:

Guía de AWS: Si utiliza plataformas de CI/CD de AWS, como CodeCommit o CodePipeline, garantice la seguridad de la cadena de suministro de software mediante CodeGuru Reviewer para analizar el código fuente (para Java y Python) a través de los flujos de trabajo de CI/CD. Plataformas como CodeCommit y CodePipeline también admiten extensiones de terceros para implementar controles similares para inventariar, analizar y corregir los componentes de software de terceros y sus vulnerabilidades.

Si administras tu código fuente a través de la plataforma de GitHub, garantiza la seguridad de la cadena de suministro de software a través de la siguiente capacidad o herramientas de GitHub Advanced Security o la característica nativa de GitHub:

  • Use el gráfico de dependencias para examinar, inventariar e identificar todas las dependencias del proyecto y las vulnerabilidades relacionadas a través de la base de datos de asesoramiento.
  • Use Dependabot para asegurarse de que se realiza el seguimiento y la corrección de la dependencia vulnerable, y asegúrese de que el repositorio se mantiene automáticamente al día con las versiones más recientes de los paquetes y aplicaciones de los que depende.
  • Usa la capacidad de escaneo de código nativo de GitHub para escanear el código fuente cuando obtengas el código externamente.
  • Si procede, use Microsoft Defender for Cloud para integrar la evaluación de vulnerabilidades de la imagen de contenedor en el flujo de trabajo de CI/CD.

Implementación de AWS y contexto adicional:

Guía de GCP: Usa el Escudo de entrega de software para realizar análisis de seguridad de la cadena de suministro de software de extremo a extremo. Esto incluye el servicio Assured OSS (Open Source Software) para acceder e incorporar los paquetes OSS que han sido verificados y probados por Google, así como los paquetes Java y Python validados que se crean utilizando las tuberías seguras de Google. Estos paquetes se escanean, analizan y prueban regularmente en busca de vulnerabilidades. Estas capacidades se pueden integrar en Google Cloud Build, Cloud Deploy, Artifact Registry y Artifact Analysis como parte de los flujos de trabajo de CI/CD.

Si administras tu código fuente a través de la plataforma de GitHub, garantiza la seguridad de la cadena de suministro de software a través de la siguiente capacidad o herramientas de GitHub Advanced Security o la característica nativa de GitHub:

  • Use el gráfico de dependencias para examinar, inventariar e identificar todas las dependencias del proyecto y las vulnerabilidades relacionadas a través de la base de datos de asesoramiento.
  • Use Dependabot para asegurarse de que se realiza el seguimiento y la corrección de la dependencia vulnerable, y asegúrese de que el repositorio se mantiene automáticamente al día con las versiones más recientes de los paquetes y aplicaciones de los que depende.
  • Usa la capacidad de escaneo de código nativo de GitHub para escanear el código fuente cuando obtengas el código externamente.
  • Si procede, use Microsoft Defender for Cloud para integrar la evaluación de vulnerabilidades de la imagen de contenedor en el flujo de trabajo de CI/CD.

Implementación de GCP y contexto adicional:

Partes interesadas en la seguridad del cliente (más información):

DS-3: Infraestructura de DevOps segura

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
16.7 CM-2, CM-6, AC-2, AC-3, AC-6 2.2, 6.3, 7.1

Principio de seguridad: asegúrese de que la infraestructura y la canalización de DevOps sigan las mejores prácticas de seguridad en todos los entornos, incluidas las etapas de compilación, prueba y producción. Normalmente, esto incluye los controles de seguridad para el ámbito siguiente:

  • Repositorios de artefactos que almacenan código fuente, paquetes e imágenes creados, artefactos de proyecto y datos empresariales.
  • Servidores, servicios y herramientas que hospedan canalizaciones de CI/CD.
  • Configuración de la canalización de CI/CD.

Guía de Azure: Como parte de la aplicación de Microsoft Cloud Security Benchmark a los controles de seguridad de la infraestructura de DevOps, priorice los siguientes controles:

  • Proteja los artefactos y el entorno subyacente para garantizar que las canalizaciones de CI/CD no se conviertan en vías para insertar código malintencionado. Por ejemplo, revise la canalización de CI/CD para identificar cualquier configuración incorrecta en las áreas principales de Azure DevOps, como organización, proyectos, usuarios, canalizaciones (compilación y versión), conexiones y agente de compilación para identificar cualquier configuración incorrecta, como acceso abierto, autenticación débil, configuración de conexión no segura, etc. Para GitHub, use controles similares para proteger los niveles de permisos de la organización.
  • Asegúrese de que su infraestructura de DevOps se implemente de forma coherente en todos los proyectos de desarrollo. Realice un seguimiento del cumplimiento de la infraestructura de DevOps a escala mediante Microsoft Defender for Cloud (como el Panel de cumplimiento, Azure Policy, Cloud Position Management) o sus propias herramientas de supervisión de cumplimiento.
  • Configure los permisos de identidad o rol y las directivas de derechos en Azure AD, los servicios nativos y las herramientas de CI/CD en la canalización para asegurarse de que los cambios en las canalizaciones están autorizados.
  • Evite proporcionar acceso con privilegios "permanente" a las cuentas humanas, como desarrolladores o evaluadores, mediante el uso de características como las identificaciones administradas de Azure y el acceso Just-In-Time.
  • Quite las claves, las credenciales y los secretos del código y los scripts usados en los trabajos de flujo de trabajo de CI/CD y guárdelos en un almacén de claves o Azure Key Vault.
  • Si ejecuta agentes de compilación o implementación autohospedados, siga los controles de Microsoft Cloud Security Benchmark, incluida la seguridad de red, la administración de posiciones y vulnerabilidades, y la seguridad de puntos de conexión para proteger su entorno.

Nota: Consulte las secciones Registro y detección de amenazas, DS-7 y Administración de estado y vulnerabilidades para usar servicios como Azure Monitor y Microsoft Sentinel para habilitar la gobernanza, el cumplimiento, la auditoría operativa y la auditoría de riesgos para su infraestructura de DevOps.

Implementación de Azure y contexto adicional:

Guía de AWS: Como parte de la aplicación de Microsoft Cloud Security Benchmark a los controles de seguridad de su infraestructura de DevOps, como GitHub, CodeCommit, CodeArtifact, CodePipeline, CodeBuild y CodeDeploy, priorice los siguientes controles:

  • Consulte esta guía y el pilar de seguridad del marco de buena arquitectura de AWS para proteger sus entornos de DevOps en AWS.
  • Proteja los artefactos y la infraestructura de soporte subyacente para garantizar que las canalizaciones de CI/CD no se conviertan en vías para insertar código malintencionado.
  • Asegúrese de que su infraestructura de DevOps se implemente y mantenga de forma coherente en todos los proyectos de desarrollo. Realice un seguimiento de la conformidad de su infraestructura de DevOps a escala mediante AWS Config o su propia solución de verificación de conformidad.
  • Utilice CodeArtifact para almacenar y compartir de forma segura los paquetes de software utilizados para el desarrollo de aplicaciones. Puedes usar CodeArtifact con herramientas de compilación y administradores de paquetes populares, como Maven, Gradle, npm, yarn, pip y twine.
  • Configure los permisos de identidad/rol y las políticas de permisos en AWS IAM, los servicios nativos y las herramientas de CI/CD en su canalización para asegurarse de que los cambios en las canalizaciones estén autorizados.
  • Elimine las claves, las credenciales y los secretos del código y los scripts utilizados en los trabajos de flujo de trabajo de CI/CD y guárdelos en el almacén de claves o en AWS KMS
  • Si ejecuta agentes de compilación o implementación autohospedados, siga los controles de Microsoft Cloud Security Benchmark, incluida la seguridad de red, la administración de posiciones y vulnerabilidades, y la seguridad de puntos de conexión para proteger su entorno. Utilice AWS Inspector para el análisis de vulnerabilidades en EC2 o en un entorno en contenedores como entorno de compilación.

Nota: Consulte las secciones Registro y detección de amenazas, DS-7 y Administración de posturas y vulnerabilidades para utilizar servicios como AWS CloudTrail, CloudWatch y Microsoft Sentinel para habilitar la gobernanza, la conformidad, la auditoría operativa y la auditoría de riesgos para su infraestructura de DevOps.

Implementación de AWS y contexto adicional:

Guía de GCP: Como parte de la aplicación de Microsoft Cloud Security Benchmark a tus controles de seguridad de infraestructura de DevOps, prioriza los siguientes controles:

  • Proteja los artefactos y el entorno subyacente para garantizar que las canalizaciones de CI/CD no se conviertan en vías para insertar código malintencionado. Por ejemplo, revisa tu canalización de CI/CD para identificar cualquier configuración incorrecta en servicios como Google Cloud Build, Cloud Deploy, Artifact Registry, Connections y Build Agent para identificar cualquier configuración incorrecta, como acceso abierto, autenticación débil, configuración de conexión insegura, etc. Para GitHub, use controles similares para proteger los niveles de permisos de la organización.
  • Asegúrese de que su infraestructura de DevOps se implemente de forma coherente en todos los proyectos de desarrollo. Realiza un seguimiento del cumplimiento de tu infraestructura de DevOps a gran escala mediante el Centro de comandos de seguridad de Google Cloud (como el panel de cumplimiento, la política de la organización, el registro de amenazas individuales y la identificación de configuraciones incorrectas) o tus propias herramientas de supervisión del cumplimiento.
  • Configura los permisos de identidad o función y las políticas de derechos en los servicios nativos de Cloud Identity/AD y las herramientas de CI/CD en tu canalización para garantizar que se autoricen los cambios en las canalizaciones.
  • Evite proporcionar acceso privilegiado "permanente" a las cuentas humanas, como desarrolladores o evaluadores, mediante el uso de funciones como las identificaciones administradas por Google.
  • Elimine las claves, las credenciales y los secretos del código y las secuencias de comandos utilizados en los trabajos de flujo de trabajo de CI/CD y guárdelos en un almacén de claves o en Google Secret Manager.
  • Si ejecuta agentes de compilación o implementación autohospedados, siga los controles de Microsoft Cloud Security Benchmark, incluida la seguridad de red, la administración de posiciones y vulnerabilidades, y la seguridad de puntos de conexión para proteger su entorno.

Nota: Consulte las secciones Registro y detección de amenazas, DS-7 y Administración de estado y vulnerabilidades para usar servicios como Azure Monitor y Microsoft Sentinel o el conjunto de operaciones de Google Cloud y Chronicle SIEM y SOAR para habilitar la gobernanza, el cumplimiento, la auditoría operativa y la auditoría de riesgos para su infraestructura de DevOps.

Implementación de GCP y contexto adicional:

Partes interesadas en la seguridad del cliente (más información):

DS-4: Integración de pruebas de seguridad estáticas de aplicaciones en una canalización de DevOps

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
16.12 SA-11 6.3, 6.5

Principio de seguridad: Asegúrese de que las pruebas de seguridad de aplicaciones estáticas (SAST), las pruebas difusas, las pruebas interactivas y las pruebas de aplicaciones móviles formen parte de los controles de compuerta en el flujo de trabajo de CI/CD. El acceso se puede establecer en función de los resultados de las pruebas para evitar que los paquetes vulnerables se confirmen en el repositorio o se implementen en otros paquetes o en la producción.

Guía de Azure: integre SAST en la canalización (por ejemplo, en la infraestructura como plantilla de código) para que el código fuente se pueda examinar automáticamente en el flujo de trabajo de CI/CD. Azure DevOps Pipeline o GitHub pueden integrar las siguientes herramientas y herramientas SAST de terceros en el flujo de trabajo.

  • CodeQL de GitHub para el análisis de código fuente.
  • Analizador binario de Microsoft BinSkim para Windows y análisis binario de *nix.
  • Escáner de credenciales de Azure DevOps (extensión de DevOps de seguridad de Microsoft) y examen de secretos nativos de GitHub para el examen de credenciales en el código fuente.

Implementación de Azure y contexto adicional:

Guía de AWS: Integre SAST en su canalización para que el código fuente se pueda analizar automáticamente en su flujo de trabajo de CI/CD.

Si utiliza AWS CodeCommit, utilice AWS CodeGuru Reviewer para el análisis de código fuente de Python y Java. AWS Codepipeline también puede admitir la integración de herramientas SAST de terceros en la canalización de implementación de código.

Si se utiliza GitHub, las siguientes herramientas y las herramientas SAST de terceros se pueden integrar en el flujo de trabajo.

  • CodeQL de GitHub para el análisis de código fuente.
  • Analizador binario de Microsoft BinSkim para Windows y análisis binario de *nix.
  • Escaneo de secretos nativos de GitHub para el escaneo de credenciales en el código fuente.
  • Revisor de AWS CodeGuru para el análisis de código fuente de Python y Java.

Implementación de AWS y contexto adicional:

Guía de GCP: Integra SAST (como Software Delivery Shield, Artifact Analysis) en tu canalización (p. ej., en tu plantilla de infraestructura como código) para que el código fuente se pueda analizar automáticamente en tu flujo de trabajo de CI/CD.

Servicios como Cloud Build, Cloud Deploy, Artifact Registry admiten la integración con Software Delivery Shield y Artifact Analysis, que pueden analizar el código fuente y otros artefactos en el flujo de trabajo de CI/CD.

Implementación de GCP y contexto adicional:

Partes interesadas en la seguridad del cliente (más información):

DS-5: Integración de pruebas de seguridad dinámicas de aplicaciones en una canalización de DevOps

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
16.12 SA-11 6.3, 6.5

Principio de seguridad: asegúrese de que las pruebas dinámicas de seguridad de aplicaciones (DAST) formen parte de los controles de acceso en el flujo de trabajo de CI/CD. El acceso se puede establecer en función de los resultados de las pruebas para evitar que la vulnerabilidad se pueda compilar en los paquetes o implementarse en la producción.

Guía de Azure: Integre DAST en la canalización para que la aplicación en tiempo de ejecución se pueda probar automáticamente en el flujo de trabajo de CI/CD establecido en Azure DevOps o GitHub. Las pruebas de penetración automatizadas (con validación asistida manual) también deben formar parte del DAST.

Azure DevOps Pipeline o GitHub admite la integración de herramientas DAST de terceros en el flujo de trabajo de CI/CD.

Implementación de Azure y contexto adicional:

Guía de AWS: Integre DAST en su canalización para que la aplicación de tiempo de ejecución se pueda probar automáticamente en su flujo de trabajo de CI/CD establecido en AWS CodePipeline o GitHub. Las pruebas de penetración automatizadas (con validación asistida manual) también deben formar parte del DAST.

AWS CodePipeline o GitHub admiten la integración de herramientas DAST de terceros en el flujo de trabajo de CI/CD.

Implementación de AWS y contexto adicional:

Guía de GCP: Integra DAST (como Cloud Web Security Scanner) en tu canalización para que la aplicación de tiempo de ejecución se pueda probar automáticamente en tu flujo de trabajo de CI/CD establecido en los servicios como Google Cloud Build, Cloud Deploy o GitHub. Cloud Web Security Scanner se puede usar para identificar vulnerabilidades de seguridad en las aplicaciones web de tu carga de trabajo alojadas en App Engine, Google Kubernetes Engine (GKE) y Compute Engine. Las pruebas de penetración automatizadas (con validación asistida manual) también deben formar parte del DAST.

Google Cloud Build, Google Cloud Deploy, Artifact Registry y GitHub también admiten la integración de herramientas DAST de terceros en el flujo de trabajo de CI/CD.

Implementación de GCP y contexto adicional:

Partes interesadas en la seguridad del cliente (más información):

DS-6: Aplicación de seguridad de cargas de trabajo mediante el ciclo de vida de DevOps

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
7.5, 7.6, 7.7, 16.1, 16.7 CM-2, CM-6, AC-2, AC-3, AC-6 6.1, 6.2, 6.3

Principio de seguridad: asegúrese de que la carga de trabajo esté protegida durante todo el ciclo de vida en la etapa de desarrollo, prueba e implementación. Use Microsoft Cloud Security Benchmark para evaluar los controles (como la seguridad de red, la administración de identidades, el acceso con privilegios, etc.) que se pueden establecer como barreras de protección de forma predeterminada o desplazarse a la izquierda antes de la fase de implementación. En particular, asegúrese de que se implementen los siguientes controles en el proceso de DevOps:- Automatice la implementación mediante el uso de herramientas de Azure o de terceros en el flujo de trabajo de CI/CD, la administración de la infraestructura (infraestructura como código) y las pruebas para reducir el error humano y la superficie de ataque.

  • Asegúrese de que las VM, las imágenes de contenedor y otros artefactos están protegidos contra la manipulación malintencionada.
  • Examine los artefactos de carga de trabajo (es decir, imágenes de contenedor, dependencias y exámenes SAST y DAST) antes de realizar la implementación en el flujo de trabajo de CI/CD.
  • Implemente la evaluación de vulnerabilidades y la funcionalidad de detección de amenazas en el entorno de producción y use continuamente estas capacidades en tiempo de ejecución.

Guía de Azure: Guía para máquinas virtuales de Azure:

  • Use una instancia de Azure Shared Image Gallery para compartir imágenes con diferentes usuarios, entidades de servicio o grupos de AD dentro de su organización y administrar el acceso a estas. Use el control de acceso basado en rol de Azure (Azure RBAC) para asegurarse de que solo los usuarios autorizados pueden acceder a las imágenes personalizadas.
  • Defina las líneas base de configuración seguras para que las VM eliminen credenciales, permisos y paquetes innecesarios. Implemente y aplique líneas base de configuración a través de imágenes personalizadas, plantillas de Azure Resource Manager o configuración de invitado de Azure Policy.

Guía para los servicios de contenedor de Azure:

  • Use Azure Container Registry (ACR) para crear un registro de contenedor privado en el que el acceso pormenorizado se pueda restringir a través de Azure RBAC, de modo que solo los servicios y las cuentas autorizados puedan acceder a los contenedores del registro privado.
  • Use Defender para contenedores para la evaluación de vulnerabilidades de las imágenes de Azure Container Registry privado. Además, puede usar Microsoft Defender for Cloud para integrar los exámenes de imágenes de contenedor como parte de los flujos de trabajo de CI/CD.

En el caso de los servicios sin servidor de Azure, adopte controles similares para garantizar que los controles de seguridad se desplacen a la izquierda en la fase anterior a la implementación.

Implementación de Azure y contexto adicional:

Guía de AWS: Utilice Amazon Elastic Container Registry para compartir y controlar el acceso a sus imágenes por parte de diferentes usuarios y roles dentro de su organización. Y utilice AWS IAM para asegurarse de que solo los usuarios autorizados puedan acceder a sus imágenes personalizadas.

Defina las líneas base de configuración segura para las imágenes de la AMI de EC2 a fin de eliminar credenciales, permisos y paquetes innecesarios. Implemente y aplique líneas de base de configuraciones a través de imágenes de AMI personalizadas, plantillas de CloudFormation o reglas de AWS Config.

Utilice AWS Inspector para el análisis de vulnerabilidades de máquinas virtuales y entornos en contenedores, protegiéndolos de la manipulación maliciosa.

En el caso de los servicios sin servidor de AWS, utilice AWS CodePipeline junto con AWS AppConfig para adoptar controles similares que garanticen que los controles de seguridad se desplacen a la izquierda" a la etapa anterior a la implementación.

Implementación de AWS y contexto adicional:

Guía de GCP: Google Cloud incluye controles para proteger tus recursos de procesamiento y los recursos de contenedor de Google Kubernetes Engine (GKE). Google incluye Shielded VM, que fortalece las instancias de VM. Proporciona seguridad de arranque, supervisa la integridad y utiliza el módulo de plataforma de confianza virtual (vTPM).

Usa Google Cloud Artifact Analysis para analizar vulnerabilidades en imágenes de contenedores o sistemas operativos, y otros tipos de artefactos a pedido o automáticamente en tus canalizaciones. Utilice Container Threat Detection para supervisar continuamente el estado de las imágenes de nodo del sistema operativo Container-Optimized. El servicio evalúa todos los cambios e intentos de acceso remoto para detectar ataques en tiempo de ejecución casi en tiempo real.

Usa Artifact Registry para configurar el almacenamiento seguro de artefactos de compilación privada a fin de mantener el control sobre quién puede acceder, ver o descargar artefactos con roles y permisos de IAM nativos del registro, y para obtener un tiempo de actividad constante en la infraestructura segura y confiable de Google.

En el caso de los servicios sin servidores de GCP, adopta controles similares para garantizar que los controles de seguridad se desplacen a la izquierda" a la etapa anterior a la implementación.

Implementación de GCP y contexto adicional:

Partes interesadas en la seguridad del cliente (más información):

DS-7: Habilitación del registro y la supervisión en DevOps

Id. de CIS Controls v8 IDENTIFICADORES DEL NIST SP 800-53 r4 Id. de PCI-DSS v3.2.1
8.2, 8.5, 8.9, 8.11 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3, 10.6

Principio de seguridad: asegúrese de que el alcance de registro y supervisión incluya entornos que no sean de producción y elementos de flujo de trabajo de CI/CD utilizados en DevOps (y cualquier otro proceso de desarrollo). Las vulnerabilidades y amenazas que tienen como destino estos entornos pueden presentar riesgos significativos para el entorno de producción si no se supervisan correctamente. También se deben supervisar los eventos del flujo de trabajo de compilación, prueba e implementación de CI/CD para identificar las desviaciones en los trabajos del flujo de trabajo de CI/CD.

Guía de Azure: habilite y configure las funcionalidades de registro de auditoría en entornos de herramientas que no son de producción y de CI/CD (como Azure DevOps y GitHub) que se usan en todo el proceso de DevOps.

Los eventos generados a partir de Azure DevOps y el flujo de trabajo de CI/CD de GitHub, incluidos los trabajos de compilación, prueba e implementación, también deben supervisarse para identificar cualquier resultado anómalo.

Ingiera los registros y eventos anteriores en Microsoft Sentinel u otras herramientas SIEM a través de un flujo de registro o una API para asegurarse de que los incidentes de seguridad se supervisan y se evalúan correctamente para su control.

Implementación de Azure y contexto adicional:

Guía de AWS: Habilite y configure AWS CloudTrail para las capacidades de registro de auditoría en entornos de herramientas que no sean de producción y de CI/CD (como AWS CodePipeline, AWS CodeBuild, AWS CodeDeploy, AWS CodeStar) utilizados durante todo el proceso de DevOps.

Los eventos generados a partir de los entornos de CI/CD de AWS (como AWS CodePipeline, AWS CodeBuild, AWS CodeDeploy, AWS CodeStar) y el flujo de trabajo de CI/CD de GitHub, incluidos los trabajos de compilación, prueba e implementación, también deben monitorearse para identificar cualquier resultado anómalo.

Incorpore los registros y eventos anteriores en AWS CloudWatch, Microsoft Sentinel u otras herramientas de SIEM a través de un flujo de registro o una API para garantizar que los incidentes de seguridad se monitoreen y clasifiquen correctamente para su manejo.

Implementación de AWS y contexto adicional:

Guía de GCP: Habilita y configura las capacidades de registro de auditoría en entornos de herramientas que no son de producción y de CI/CD para productos como Cloud Build, Google Cloud Deploy, Artifact Registry y GitHub, que se pueden usar durante todo el proceso de DevOps.

Los eventos generados a partir de los entornos de CI/CD de GCP (como Cloud Build, Google Cloud Deploy, Artifact Registry) y el flujo de trabajo de CI/CD de GitHub, incluidos los trabajos de compilación, prueba e implementación, también se deben supervisar para identificar cualquier resultado anómalo.

Ingiera los registros y eventos anteriores en Microsoft Sentinel, Google Cloud Security Command Center, Chronicle u otras herramientas SIEM a través de un flujo de registro o una API para garantizar que los incidentes de seguridad se supervisen y clasifiquen correctamente para su control.

Implementación de GCP y contexto adicional:

Partes interesadas en la seguridad del cliente (más información):