Améliorer la posture de sécurité de l’environnement DevOps
Avec l’augmentation des cyberattaques contre les systèmes de gestion de code source et les pipelines d’intégration et de livraison continue, il est crucial de sécuriser les plateformes DevOps contre le large éventail de menaces identifiées dans la Matrice des menaces DevOps. De telles cyberattaques peuvent permettre l’injection de code, l’élévation de privilèges et l’exfiltration de données, ce qui peut avoir un impact considérable.
La gestion de la posture DevOps est une fonctionnalité de Microsoft Defender pour Cloud qui :
- Fournit des informations sur la situation de sécurité de l’ensemble du cycle de vie de la chaîne d’approvisionnement logicielle.
- Utilise des scanners avancés pour des évaluations approfondies.
- Couvre diverses ressources, provenant d'organisations, de pipelines et de référentiels.
- Permet aux clients de réduire leur surface d'attaque en découvrant et en agissant sur les recommandations fournies.
Scanners DevOps
Pour fournir des résultats, la gestion de la posture DevOps utilise des scanners DevOps pour identifier les faiblesses dans la gestion du code source et les pipelines d'intégration continue/de livraison continue en effectuant des vérifications par rapport aux configurations de sécurité et aux contrôles d'accès.
Les scanners Azure DevOps et GitHub sont utilisés en interne au sein de Microsoft pour identifier les risques associés aux ressources DevOps, réduisant ainsi la surface d'attaque et renforçant les systèmes DevOps d'entreprise.
Une fois qu’un environnement DevOps est connecté, Defender pour le cloud configure automatiquement ces analyseurs pour effectuer des analyses récurrentes toutes les 24 heures sur plusieurs ressources DevOps, notamment :
- Versions
- Fichiers sécurisés
- Groupes de variables
- Connexions de service
- Organisations
- Référentiels
Réduction des risques de la matrice des menaces DevOps
La gestion de la posture DevOps aide les organisations à découvrir et à corriger les erreurs de configuration nuisibles dans la plateforme DevOps. Cela conduit à un environnement DevOps résilient et sans confiance, renforcé contre une série de menaces définies dans la matrice des menaces DevOps. Les principaux contrôles de gestion de la posture comprennent :
Accès secret limité : minimisez l'exposition des informations sensibles et réduisez le risque d'accès non autorisé, de fuites de données et de mouvements latéraux en garantissant que chaque pipeline n'a accès qu'aux secrets essentiels à sa fonction.
Restriction des exécuteurs auto-hébergés et autorisations élevées : évitez les exécutions non autorisées et les escalades potentielles en évitant les exécuteurs auto-hébergés et en garantissant que les autorisations du pipeline sont par défaut en lecture seule.
Protection améliorée des succursales : Maintenez l’intégrité du code en appliquant les règles de protection des branches et en empêchant les injections de code malveillant.
Autorisations optimisées et référentiels sécurisés : réduisez le risque d'accès non autorisé, de modifications en suivant les autorisations de base minimales et en activant la protection push secrète pour les référentiels.
En savoir plus sur la matrice des menaces DevOps.
Suggestions de gestion de la posture DevOps
Lorsque les scanners DevOps découvrent des écarts par rapport aux meilleures pratiques de sécurité au sein des systèmes de gestion de code source et des pipelines d'intégration et de livraison continue, Defender for Cloud émet des recommandations précises et exploitables. Ces suggestions présentent les avantages suivants :
- Visibilité améliorée : Obtenez des informations complètes sur la posture de sécurité des environnements DevOps, garantissant une compréhension complète de toutes les vulnérabilités existantes. Identifiez les règles de protection des succursales manquantes, les risques d’élévation de privilèges et les connexions non sécurisées pour prévenir les attaques.
- Action prioritaire : Filtrez les résultats par gravité pour dépenser vos ressources et vos efforts plus efficacement en traitant d'abord les vulnérabilités les plus critiques.
- Réduction de la surface d'attaque : Corrigez les failles de sécurité mises en évidence pour minimiser considérablement les surfaces d’attaque vulnérables, renforçant ainsi les défenses contre les menaces potentielles.
- Notifications en temps réel : Possibilité d'intégration aux automatisations de flux de travail pour recevoir des alertes immédiates lorsque les configurations sécurisées sont modifiées, permettant une action rapide et garantissant une conformité durable avec les protocoles de sécurité.