Control de seguridad: Seguridad de DevOps

  • Artículo

Seguridad de DevOps cubre los controles relacionados con la ingeniería de seguridad y las operaciones en los procesos de DevOps, incluida la implementación de comprobaciones de seguridad críticas (como las pruebas de seguridad de aplicaciones estáticas o la administración de vulnerabilidades) antes de la fase de implementación para garantizar la seguridad a lo largo del proceso de DevOps; también incluye temas comunes como el modelado de amenazas y la seguridad de suministro de software.

DS-1: realizar el modelado de amenazas

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id de PCI-DSS v3.2.1
16.10, 16.14 SA-15 6.5, 12.2

Principio de seguridad: realice el modelado de amenazas para identificar las posibles amenazas y enumerar los controles de mitigación. Asegúrese de que el modelado de amenazas tiene los siguientes fines:

  • Proteja sus aplicaciones y servicios en la fase de tiempo de ejecución de la producción.
  • Proteja los artefactos, la canalización de CI/CD subyacente y otros entornos de herramientas que se usan para la compilación, las pruebas y la implementación. El modelado de amenazas debe incluir al menos los siguientes aspectos:
  • Defina los requisitos de seguridad de la aplicación. Asegúrese de que estos requisitos se abordan adecuadamente en el modelado de amenazas.
  • Analice los componentes de las aplicaciones y las conexiones de datos y sus relaciones. Asegúrese de que este análisis también incluye las conexiones ascendentes y descendentes fuera del ámbito de la aplicación.
  • Enumere las posibles amenazas y vectores de ataque a los que se pueden exponer los componentes de la aplicación, las conexiones de datos y los servicios de nivel ascendente y descendente.
  • Identifique los controles de seguridad aplicables que se pueden usar para mitigar las amenazas enumeradas e identificar las brechas de controles (por ejemplo, vulnerabilidades de seguridad) que pueden requerir planes de tratamiento adicionales.
  • Enumere y diseñe los controles que pueden mitigar las vulnerabilidades identificadas.

Guía de Azure: use herramientas de modelado de amenazas, como la herramienta de modelado de amenazas de Microsoft con la plantilla del modelo de amenazas de Azure insertada para impulsar el proceso de modelado de amenazas. Use el modelo STRIDE para enumerar las amenazas tanto internas como externas e identificar los controles aplicables. Asegúrese de que el proceso de modelado de amenazas incluye los escenarios de amenazas en el proceso de DevOps, como la inyección de código malintencionado a través de un repositorio de artefactos no seguros con una directiva de control de acceso mal configurada.

Si no se aplica una herramienta de modelado de amenazas, debe, como mínimo, usar un proceso de modelado de amenazas basado en cuestionarios para identificar las amenazas.

Asegúrese de que los resultados del análisis o el modelado de amenazas se registran y actualizan cuando se produce un cambio importante que afecte a la seguridad de la aplicación o al panorama de amenazas.

Implementación de Azure y contexto adicional:

Guía de AWS: use herramientas de modelado de amenazas como la herramienta de modelado de amenazas de Microsoft con la plantilla del modelo de amenazas de Azure insertada para impulsar el proceso de modelado de amenazas. Use el modelo STRIDE para enumerar las amenazas tanto internas como externas e identificar los controles aplicables. Asegúrese de que el proceso de modelado de amenazas incluye los escenarios de amenazas en el proceso de DevOps, como la inyección de código malintencionado a través de un repositorio de artefactos no seguros con una directiva de control de acceso mal configurada.

Si no se aplica una herramienta de modelado de amenazas, debe, como mínimo, usar un proceso de modelado de amenazas basado en cuestionarios para identificar las amenazas.

Asegúrese de que los resultados del análisis o el modelado de amenazas se registran y actualizan cuando se produce un cambio importante que afecte a la seguridad de la aplicación o al panorama de amenazas.

Implementación de AWS y contexto adicional:

Guía de GCP: use herramientas de modelado de amenazas como la herramienta de modelado de amenazas de Microsoft con la plantilla de modelo de amenazas de Azure insertada para impulsar el proceso de modelado de amenazas. Use el modelo STRIDE para enumerar las amenazas tanto internas como externas e identificar los controles aplicables. Asegúrese de que el proceso de modelado de amenazas incluye los escenarios de amenazas en el proceso de DevOps, como la inyección de código malintencionado a través de un repositorio de artefactos no seguros con una directiva de control de acceso mal configurada.

Si no se aplica una herramienta de modelado de amenazas, debe, como mínimo, usar un proceso de modelado de amenazas basado en cuestionarios para identificar las amenazas.

Asegúrese de que los resultados del análisis o el modelado de amenazas se registran y actualizan cuando se produce un cambio importante que afecte a la seguridad de la aplicación o al panorama de amenazas.

Implementación de GCP y contexto adicional:

Partes interesadas de la seguridad del cliente (más información):

DS-2: Garantizar la seguridad de la cadena de suministro de software

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id de PCI-DSS v3.2.1
16.4, 16.6, 16.11 SA-12, SA-15 6.3, 6.5

Principio de seguridad: asegúrese de que el SDLC de la empresa (ciclo de vida de desarrollo de software) o el proceso incluyen un conjunto de controles de seguridad para controlar los componentes de software internos y de terceros (incluido el software propietario y de código abierto) donde las aplicaciones tienen dependencias. Defina criterios de acceso para evitar que componentes vulnerables o malintencionados se integren e implementen en el entorno.

Los controles de seguridad de la cadena de suministro de software deben incluir al menos los siguientes aspectos:

  • Administre correctamente una lista de materiales de software (SBOM) mediante la identificación de las dependencias ascendentes necesarias para el desarrollo de servicios o recursos, la compilación, la integración y la fase de implementación.
  • Realice un inventario y un seguimiento de los componentes de software internos y de terceros para ver si hay alguna vulnerabilidad conocida cuando haya una corrección disponible en el nivel ascendente.
  • Evalúe las vulnerabilidades y el malware en los componentes de software mediante pruebas de aplicaciones estáticas y dinámicas en busca de vulnerabilidades desconocidas.
  • Asegúrese de que las vulnerabilidades y el malware se mitigan mediante el enfoque adecuado. Esto puede incluir la corrección local o ascendente del código fuente, la exclusión de características o la aplicación de controles de compensación si la mitigación directa no está disponible.

Si se usan componentes de terceros de origen cerrado en el entorno de producción, es posible que tenga una visibilidad limitada de su posición de seguridad. Por lo tanto, debe tener en cuenta controles adicionales, como el control de acceso, el aislamiento de red y la seguridad de los puntos de conexión para minimizar el impacto si hay alguna actividad malintencionada o una vulnerabilidad asociada al componente.

Guía de Azure: para la plataforma gitHub, asegúrese de que la seguridad de la cadena de suministro de software a través de las siguientes funcionalidades o herramientas de GitHub Advanced Security o la característica nativa de GitHub: use Dependency Graph para examinar, inventariar e identificar todas las dependencias del proyecto y las vulnerabilidades relacionadas a través de la base de datos de asesoramiento.

  • Use Dependabot para asegurarse de que se realiza el seguimiento y la corrección de la dependencia vulnerable, y asegúrese de que el repositorio se mantiene automáticamente al día con las versiones más recientes de los paquetes y aplicaciones de los que depende.
  • Use la funcionalidad de análisis de código nativo de GitHub para examinar el código fuente al obtener el código externamente.
  • Use Microsoft Defender for Cloud para integrar la evaluación de vulnerabilidades de la imagen de contenedor en el flujo de trabajo de CI/CD. En cuanto a Azure DevOps, puede usar extensiones de terceros para implementar controles similares para inventariar, analizar y corregir los componentes de software de terceros y sus vulnerabilidades.

Implementación de Azure y contexto adicional:

Guía de AWS: si usa plataformas de CI/CD de AWS como CodeCommit o CodePipeline, asegúrese de que la seguridad de la cadena de suministro de software mediante CodeGuru Reviewer para examinar el código fuente (para Java y Python) a través de los flujos de trabajo de CI/CD. Las plataformas como CodeCommit y CodePipeline también admiten extensiones de terceros para implementar controles similares al inventario, analizar y corregir los componentes de software de terceros y sus vulnerabilidades.

Si administra el código fuente a través de la plataforma de GitHub, asegúrese de que la seguridad de la cadena de suministro de software se realiza a través de las siguientes funcionalidades o herramientas de GitHub Advanced Security o la característica nativa de GitHub:

  • Use el gráfico de dependencias para examinar, inventariar e identificar todas las dependencias del proyecto y las vulnerabilidades relacionadas a través de la base de datos de asesoramiento.
  • Use Dependabot para asegurarse de que se realiza el seguimiento y la corrección de la dependencia vulnerable, y asegúrese de que el repositorio se mantiene automáticamente al día con las versiones más recientes de los paquetes y aplicaciones de los que depende.
  • Use la funcionalidad de análisis de código nativo de GitHub para examinar el código fuente al obtener el código externamente.
  • Si procede, use Microsoft Defender for Cloud para integrar la evaluación de vulnerabilidades de la imagen de contenedor en el flujo de trabajo de CI/CD.

Implementación de AWS y contexto adicional:

Guía de GCP: use el Escudo de entrega de software para realizar análisis de seguridad de la cadena de suministro de software de un extremo a otro. Esto incluye el servicio de sos seguro (software de código abierto) para acceder e incorporar los paquetes del sistema operativo comprobados y probados por Google, así como paquetes de Java y Python validados que se compilan mediante canalizaciones seguras de Google. Estos paquetes se examinan, analizan y prueban periódicamente para detectar vulnerabilidades. Estas funcionalidades se pueden integrar en Google Cloud Build, Cloud Deploy, Artifact Registry, Artifact Analysis como parte de los flujos de trabajo de CI/CD.

Si administra el código fuente a través de la plataforma de GitHub, asegúrese de que la seguridad de la cadena de suministro de software se realiza a través de las siguientes funcionalidades o herramientas de GitHub Advanced Security o la característica nativa de GitHub:

  • Use el gráfico de dependencias para examinar, inventariar e identificar todas las dependencias del proyecto y las vulnerabilidades relacionadas a través de la base de datos de asesoramiento.
  • Use Dependabot para asegurarse de que se realiza el seguimiento y la corrección de la dependencia vulnerable, y asegúrese de que el repositorio se mantiene automáticamente al día con las versiones más recientes de los paquetes y aplicaciones de los que depende.
  • Use la funcionalidad de análisis de código nativo de GitHub para examinar el código fuente al obtener el código externamente.
  • Si procede, use Microsoft Defender for Cloud para integrar la evaluación de vulnerabilidades de la imagen de contenedor en el flujo de trabajo de CI/CD.

Implementación de GCP y contexto adicional:

Partes interesadas de la seguridad del cliente (más información):

DS-3: Infraestructura de DevOps segura

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id de PCI-DSS v3.2.1
16.7 CM-2, CM-6, AC-2, AC-3, AC-6 2.2, 6.3, 7.1

Principio de seguridad: asegúrese de que la infraestructura y la canalización de DevOps siguen los procedimientos recomendados de seguridad en todos los entornos, incluidas las fases de compilación, prueba y producción. Normalmente, esto incluye los controles de seguridad para el ámbito siguiente:

  • Repositorios de artefactos que almacenan código fuente, paquetes e imágenes creados, artefactos de proyecto y datos empresariales.
  • Servidores, servicios y herramientas que hospedan canalizaciones de CI/CD.
  • Configuración de la canalización de CI/CD.

Guía de Azure: como parte de la aplicación de Microsoft Cloud Security Benchmark a los controles de seguridad de la infraestructura de DevOps, priorice los siguientes controles:

  • Proteja los artefactos y el entorno subyacente para asegurarse de que las canalizaciones de CI/CD no se convierten en avenidas para insertar código malintencionado. Por ejemplo, revise la canalización de CI/CD para identificar cualquier configuración incorrecta en las áreas principales de Azure DevOps, como Organización, Proyectos, Usuarios, Canalizaciones (Compilación & Versión), Connections y Agente de compilación para identificar las configuraciones incorrectas, como acceso abierto, autenticación débil, configuración de conexión no segura, etc. Para GitHub, use controles similares para proteger los niveles de permisos de organización.
  • Asegúrese de que la infraestructura de DevOps se implementa de forma coherente en los proyectos de desarrollo. Realice un seguimiento del cumplimiento de la infraestructura de DevOps a escala mediante Microsoft Defender for Cloud (como panel de cumplimiento, Azure Policy, Administración de posturas en la nube) o sus propias herramientas de supervisión de cumplimiento.
  • Configure los permisos de identidad o rol y las directivas de derechos en Azure AD, los servicios nativos y las herramientas de CI/CD en la canalización para asegurarse de que los cambios en las canalizaciones están autorizados.
  • Evite proporcionar acceso con privilegios "permanentes" a las cuentas humanas, como desarrolladores o evaluadores, mediante características como el acceso just-in-time de Azure managed.
  • Quite las claves, las credenciales y los secretos del código y los scripts usados en los trabajos de flujo de trabajo de CI/CD y guárdelos en un almacén de claves o azure Key Vault.
  • Si ejecuta agentes de compilación o implementación autohospedados, siga los controles de Microsoft Cloud Security Benchmark, incluida la seguridad de red, la posición y la administración de vulnerabilidades, y la seguridad de los puntos de conexión para proteger el entorno.

Nota: Consulte las secciones Registro y detección de amenazas, DS-7 y Administración de posturas y vulnerabilidades para usar servicios como Azure Monitor y Microsoft Sentinel para habilitar la gobernanza, el cumplimiento, la auditoría operativa y la auditoría de riesgos para la infraestructura de DevOps.

Implementación de Azure y contexto adicional:

Guía de AWS: como parte de la aplicación de Microsoft Cloud Security Benchmark a los controles de seguridad de la infraestructura de DevOps, como GitHub, CodeCommit, CodeArtifact, CodePipeline, CodeBuild y CodeDeploy, priorizan los siguientes controles:

  • Consulte esta guía y el pilar de seguridad de AWS Well-architected Framework para proteger los entornos de DevOps en AWS.
  • Proteja los artefactos y la infraestructura auxiliar subyacente para asegurarse de que las canalizaciones de CI/CD no se convierten en avenidas para insertar código malintencionado.
  • Asegúrese de que la infraestructura de DevOps se implementa y se mantiene de forma coherente en los proyectos de desarrollo. Realice un seguimiento del cumplimiento de la infraestructura de DevOps a escala mediante AWS Config o su propia solución de comprobación de cumplimiento.
  • Use CodeArtifact para almacenar y compartir paquetes de software de forma segura que se usan para el desarrollo de aplicaciones. Puede usar CodeArtifact con herramientas de compilación y administradores de paquetes populares, como Maven, Gradle, npm, yarn, pip y twine.
  • Configure los permisos de identidad/rol y las directivas de permisos en las herramientas de AWS IAM, servicios nativos y CI/CD en la canalización para asegurarse de que se autorizan los cambios en las canalizaciones.
  • Eliminación de claves, credenciales y secretos del código y los scripts usados en los trabajos de flujo de trabajo de CI/CD y mantenerlos en el almacén de claves o EN KMS de AWS
  • Si ejecuta agentes de compilación o implementación autohospedados, siga los controles de Microsoft Cloud Security Benchmark, incluida la seguridad de red, la posición y la administración de vulnerabilidades, y la seguridad de los puntos de conexión para proteger el entorno. Use AWS Inspector para el examen de vulnerabilidades de vulnerabilidades en EC2 o entorno en contenedor como entorno de compilación.

Nota: Consulte las secciones Registro y detección de amenazas, DS-7 y administración de posturas y vulnerabilidades para usar servicios como AWS CloudTrail, CloudWatch y Microsoft Sentinel para habilitar la gobernanza, el cumplimiento, la auditoría operativa y la auditoría de riesgos para la infraestructura de DevOps.

Implementación de AWS y contexto adicional:

Guía de GCP: como parte de la aplicación de Microsoft Cloud Security Benchmark a los controles de seguridad de la infraestructura de DevOps, priorice los siguientes controles:

  • Proteja los artefactos y el entorno subyacente para asegurarse de que las canalizaciones de CI/CD no se convierten en avenidas para insertar código malintencionado. Por ejemplo, revise la canalización de CI/CD para identificar cualquier configuración incorrecta en servicios como Google Cloud Build, Cloud Deploy, Artifact Registry, Connections y Build Agent para identificar cualquier configuración incorrecta, como acceso abierto, autenticación débil, configuración de conexión no segura, etc. Para GitHub, use controles similares para proteger los niveles de permisos de organización.
  • Asegúrese de que la infraestructura de DevOps se implementa de forma coherente en los proyectos de desarrollo. Realice un seguimiento del cumplimiento de la infraestructura de DevOps a escala mediante google Cloud Security Command Center (como panel de cumplimiento, directiva organizativa, registro de amenazas individuales e identificación de errores de configuración) o sus propias herramientas de supervisión de cumplimiento.
  • Configure los permisos de identidad/rol y las directivas de derechos en los servicios nativos de Cloud Identity/AD y las herramientas de CI/CD de la canalización para asegurarse de que se autorizan los cambios en las canalizaciones.
  • Evite proporcionar acceso con privilegios "permanentes" a las cuentas humanas, como desarrolladores o evaluadores, mediante características como google managed identificas.
  • Quite las claves, las credenciales y los secretos del código y los scripts usados en los trabajos de flujo de trabajo de CI/CD y guárdelos en un almacén de claves o en Google Secret Manager.
  • Si ejecuta agentes de compilación o implementación autohospedados, siga los controles de Microsoft Cloud Security Benchmark, incluida la seguridad de red, la posición y la administración de vulnerabilidades, y la seguridad de los puntos de conexión para proteger el entorno.

Nota: Consulte las secciones Registro y detección de amenazas, DS-7 y Administración de posturas y vulnerabilidades para usar servicios como Azure Monitor y Microsoft Sentinel o el conjunto de operaciones de Google Cloud y Chronicle SIEM y SOAR para habilitar la gobernanza, el cumplimiento, la auditoría operativa y la auditoría de riesgos para la infraestructura de DevOps.

Implementación de GCP y contexto adicional:

Partes interesadas de la seguridad del cliente (más información):

DS-4: Integración de pruebas de seguridad estáticas de aplicaciones en una canalización de DevOps

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id de PCI-DSS v3.2.1
16.12 SA-11 6.3, 6.5

Principio de seguridad: asegúrese de que las pruebas estáticas de seguridad de aplicaciones (SAST) aproximadas, las pruebas interactivas, las pruebas de aplicaciones móviles forman parte de los controles de acceso en el flujo de trabajo de CI/CD. El acceso se puede establecer en función de los resultados de las pruebas para evitar que los paquetes vulnerables se confirmen en el repositorio o se implementen en otros paquetes o en la producción.

Guía de Azure: integre SAST en la canalización (por ejemplo, en la infraestructura como plantilla de código) para que el código fuente se pueda examinar automáticamente en el flujo de trabajo de CI/CD. Azure DevOps Pipeline o GitHub pueden integrar las siguientes herramientas y herramientas saST de terceros en el flujo de trabajo.

  • CodeQL de GitHub para el análisis de código fuente.
  • Analizador binario de Microsoft BinSkim para Windows y análisis binario de *nix.
  • Analizador de credenciales de Azure DevOps (extensión de DevOps de seguridad de Microsoft) y examen de secretos nativos de GitHub para el examen de credenciales en el código fuente.

Implementación de Azure y contexto adicional:

Guía de AWS: integre SAST en la canalización para que el código fuente se pueda examinar automáticamente en el flujo de trabajo de CI/CD.

Si usa AWS CodeCommit, use AWS CodeGuru Reviewer para el análisis de código fuente de Python y Java. AWS Codepipeline también puede admitir la integración de herramientas saST de terceros en la canalización de implementación de código.

Si usa GitHub, las herramientas siguientes y las herramientas saST de terceros se pueden integrar en el flujo de trabajo.

  • CodeQL de GitHub para el análisis de código fuente.
  • Analizador binario de Microsoft BinSkim para Windows y análisis binario de *nix.
  • Examen de secretos nativos de GitHub para el examen de credenciales en el código fuente.
  • AWS CodeGuru Reviewer para el análisis de código fuente de Python y Java.

Implementación de AWS y contexto adicional:

Guía de GCP: integre SAST (como Escudo de entrega de software, Análisis de artefactos) en la canalización (por ejemplo, en la infraestructura como plantilla de código) para que el código fuente se pueda examinar automáticamente en el flujo de trabajo de CI/CD.

Los servicios como Cloud Build, Cloud Deploy, Artifact Registry admiten la integración con Software Delivery Shield y Artifact Analysis, que pueden examinar el código fuente y otros artefactos en el flujo de trabajo de CI/CD.

Implementación de GCP y contexto adicional:

Partes interesadas de la seguridad del cliente (más información):

DS-5: Integración de pruebas de seguridad dinámicas de aplicaciones en una canalización de DevOps

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id de PCI-DSS v3.2.1
16.12 SA-11 6.3, 6.5

Principio de seguridad: asegúrese de que las pruebas dinámicas de seguridad de aplicaciones (DAST) formen parte de los controles de acceso en el flujo de trabajo de CI/CD. El acceso se puede establecer en función de los resultados de las pruebas para evitar que la vulnerabilidad se pueda compilar en los paquetes o implementarse en la producción.

Guía de Azure: integre DAST en la canalización para que la aplicación en tiempo de ejecución se pueda probar automáticamente en el flujo de trabajo de CI/CD establecido en Azure DevOps o GitHub. Las pruebas de penetración automatizadas (con validación asistida manual) también deben formar parte del DAST.

Canalización de Azure DevOps o GitHub admite la integración de herramientas DAST de terceros en el flujo de trabajo de CI/CD.

Implementación de Azure y contexto adicional:

Guía de AWS: integre DAST en la canalización para que la aplicación en tiempo de ejecución se pueda probar automáticamente en el flujo de trabajo de CI/CD establecido en AWS CodePipeline o GitHub. Las pruebas de penetración automatizadas (con validación asistida manual) también deben formar parte del DAST.

AWS CodePipeline o GitHub admite la integración de herramientas DAST de terceros en el flujo de trabajo de CI/CD.

Implementación de AWS y contexto adicional:

Guía de GCP: integre DAST (como Cloud Web Security Scanner) en la canalización para que la aplicación en tiempo de ejecución se pueda probar automáticamente en el flujo de trabajo de CI/CD establecido en los servicios como Google Cloud Build, Cloud Deploy o GitHub. Cloud Web Security Scanner se puede usar para identificar la vulnerabilidad de seguridad en las aplicaciones web de carga de trabajo hospedadas en App Engine, Google Kubernetes Engine (GKE) y Compute Engine. Las pruebas de penetración automatizadas (con validación asistida manual) también deben formar parte del DAST.

Google Cloud Build, Google Cloud Deploy, Artifact Registry y GitHub también admiten la integración de herramientas DAST de terceros en el flujo de trabajo de CI/CD.

Implementación de GCP y contexto adicional:

Partes interesadas de la seguridad del cliente (más información):

DS-6: Aplicación de seguridad de cargas de trabajo mediante el ciclo de vida de DevOps

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id de PCI-DSS v3.2.1
7.5, 7.6, 7.7, 16.1, 16.7 CM-2, CM-6, AC-2, AC-3, AC-6 6.1, 6.2, 6.3

Principio de seguridad: asegúrese de que la carga de trabajo está protegida durante todo el ciclo de vida en fase de desarrollo, pruebas e implementación. Use Microsoft Cloud Security Benchmark para evaluar los controles (como la seguridad de red, la administración de identidades, el acceso con privilegios, etc.) que se pueden establecer como límites de protección de forma predeterminada o desplazarse a la izquierda antes de la fase de implementación. En concreto, asegúrese de que los siguientes controles están implementados en el proceso de DevOps: automatice la implementación mediante Azure o herramientas de terceros en el flujo de trabajo de CI/CD, la administración de la infraestructura (infraestructura como código) y las pruebas para reducir la superficie de error y ataque humanos.

  • Asegúrese de que las VM, las imágenes de contenedor y otros artefactos están protegidos contra la manipulación malintencionada.
  • Examine los artefactos de carga de trabajo (es decir, imágenes de contenedor, dependencias y exámenes SAST y DAST) antes de realizar la implementación en el flujo de trabajo de CI/CD.
  • Implemente la evaluación de vulnerabilidades y la funcionalidad de detección de amenazas en el entorno de producción y use continuamente estas capacidades en tiempo de ejecución.

Guía de Azure: Guía para máquinas virtuales de Azure:

  • Use una instancia de Azure Shared Image Gallery para compartir imágenes con diferentes usuarios, entidades de servicio o grupos de AD dentro de su organización y administrar el acceso a estas. Use el control de acceso basado en rol de Azure (Azure RBAC) para asegurarse de que solo los usuarios autorizados pueden acceder a las imágenes personalizadas.
  • Defina las líneas base de configuración seguras para que las VM eliminen credenciales, permisos y paquetes innecesarios. Implemente y aplique líneas base de configuración mediante imágenes personalizadas, plantillas de Azure Resource Manager o Azure Policy configuración de invitado.

Guía para los servicios de contenedor de Azure:

  • Use Azure Container Registry (ACR) para crear el registro de contenedor privado en el que se puede restringir el acceso pormenorizado a través de RBAC de Azure, por lo que solo los servicios y cuentas autorizados pueden acceder a los contenedores del registro privado.
  • Use Defender for Containers para la evaluación de vulnerabilidades de las imágenes de la Azure Container Registry privada. Además, puede usar Microsoft Defender for Cloud para integrar los exámenes de imágenes de contenedor como parte de los flujos de trabajo de CI/CD.

En el caso de los servicios sin servidor de Azure, adopte controles similares para garantizar que los controles de seguridad se "desplacen a la izquierda" en la fase anterior a la implementación.

Implementación de Azure y contexto adicional:

Guía de AWS: Use Amazon Elastic Container Registry para compartir y controlar el acceso a sus imágenes por diferentes usuarios y roles dentro de su organización. Y use AWS IAM para asegurarse de que solo los usuarios autorizados puedan acceder a sus imágenes personalizadas.

Defina las líneas base de configuración seguras para las imágenes de AMI ec2 para eliminar credenciales, permisos y paquetes innecesarios. Implemente y aplique las líneas base de configuración a través de imágenes de AMI personalizadas, plantillas de CloudFormation o reglas de configuración de AWS.

Use AWS Inspector para el examen de vulnerabilidades de los entornos de máquina virtual y en contenedores, protegiéndolos de la manipulación malintencionada.

En el caso de los servicios sin servidor de AWS, use AWS CodePipeline junto con AWS AppConfig para adoptar controles similares para garantizar que los controles de seguridad "cambien a la izquierda" a la fase anterior a la implementación.

Implementación de AWS y contexto adicional:

Guía de GCP: Google Cloud incluye controles para proteger los recursos de proceso y los recursos de contenedor de Google Kubernetes Engine (GKE). Google incluye máquina virtual blindada, que protege las instancias de máquina virtual. Proporciona seguridad de arranque, supervisa la integridad y usa el módulo de plataforma segura virtual (vTPM).

Use Google Cloud Artifact Analysis para examinar vulnerabilidades en imágenes de contenedor o sistema operativo y otro tipo de artefactos a petición o automáticamente en las canalizaciones. Use detección de amenazas de contenedor para supervisar continuamente lo indicado en Container-Optimized imágenes de nodo del sistema operativo. El servicio evalúa todos los cambios e intentos de acceso remoto para detectar ataques en tiempo de ejecución casi en tiempo real.

Use el Registro de artefactos, para configurar el almacenamiento seguro de artefactos de compilación privada para mantener el control sobre quién puede acceder, ver o descargar artefactos con roles y permisos de IAM nativos del Registro, y para obtener un tiempo de actividad coherente en la infraestructura segura y confiable de Google.

En el caso de los servicios sin servidor de GCP, adopte controles similares para garantizar que los controles de seguridad "desplazamiento a la izquierda" a la fase anterior a la implementación.

Implementación de GCP y contexto adicional:

Partes interesadas de la seguridad del cliente (más información):

DS-7: Habilitación del registro y la supervisión en DevOps

Id. de CIS Controls v8 Identificadores de NIST SP 800-53 r4 Id de PCI-DSS v3.2.1
8.2, 8.5, 8.9, 8.11 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3, 10.6

Principio de seguridad: asegúrese de que el ámbito de registro y supervisión incluye entornos que no son de producción y elementos de flujo de trabajo de CI/CD usados en DevOps (y cualquier otro proceso de desarrollo). Las vulnerabilidades y amenazas que tienen como destino estos entornos pueden presentar riesgos significativos para el entorno de producción si no se supervisan correctamente. También se deben supervisar los eventos del flujo de trabajo de compilación, prueba e implementación de CI/CD para identificar las desviaciones en los trabajos del flujo de trabajo de CI/CD.

Guía de Azure: habilite y configure las funcionalidades de registro de auditoría en entornos que no son de producción y herramientas de CI/CD (como Azure DevOps y GitHub) que se usan en todo el proceso de DevOps.

Los eventos generados a partir de Azure DevOps y el flujo de trabajo de CI/CD de GitHub, incluidos los trabajos de compilación, prueba e implementación, también se deben supervisar para identificar los resultados anómalos.

Ingiera los registros y eventos anteriores en Microsoft Sentinel u otras herramientas de SIEM a través de un flujo de registro o una API para asegurarse de que los incidentes de seguridad se supervisan y evalúan correctamente para su control.

Implementación de Azure y contexto adicional:

Guía de AWS: Habilite y configure AWS CloudTrail para las funcionalidades de registro de auditoría en entornos que no son de producción y herramientas de CI/CD (como AWS CodePipeline, AWS CodeBuild, AWS CodeDeploy, AWS CodeStar) que se usan en todo el proceso de DevOps.

Los eventos generados a partir de los entornos de CI/CD de AWS (como AWS CodePipeline, AWS CodeBuild, AWS CodeDeploy, AWS CodeStar) y el flujo de trabajo de CI/CD de GitHub, incluidos los trabajos de compilación, prueba e implementación, también deben supervisarse para identificar los resultados anómalos.

Ingiera los registros y eventos anteriores en AWS CloudWatch, Microsoft Sentinel u otras herramientas de SIEM a través de un flujo de registro o una API para asegurarse de que los incidentes de seguridad se supervisan y evalúan correctamente para su control.

Implementación de AWS y contexto adicional:

Guía de GCP: habilite y configure las funcionalidades de registro de auditoría en entornos de herramientas de CI/CD y no producción para productos como Cloud Build, Google Cloud Deploy, Artifact Registry y GitHub, que se pueden usar en todo el proceso de DevOps.

Los eventos generados a partir de los entornos de CI/CD de GCP (como Cloud Build, Google Cloud Deploy, Artifact Registry) y el flujo de trabajo de CI/CD de GitHub, incluidos los trabajos de compilación, prueba e implementación, también deben supervisarse para identificar los resultados anómalos.

Ingiera los registros y eventos anteriores en Microsoft Sentinel, Google Cloud Security Command Center, Chronic u otras herramientas de SIEM a través de una secuencia de registro o una API para asegurarse de que los incidentes de seguridad se supervisan y evalúan correctamente para su control.

Implementación de GCP y contexto adicional:

Partes interesadas de la seguridad del cliente (más información):