A DevOps-környezet biztonsági helyzetének javítása

A forráskódkezelő rendszerekre és a folyamatos integrációs/folyamatos kézbesítési folyamatokra irányuló kibertámadások számának növekedésével a DevOps-platformok védelme elengedhetetlen a DevOps-fenyegetési mátrixban azonosított különböző fenyegetésekkel szemben. Az ilyen kibertámadások lehetővé teszik a kódinjektálást, a jogosultságok eszkalálását és az adatok kiszivárgását, ami jelentős következményekhez vezethet.

A DevOps testtartás-kezelése a Felhőhöz készült Microsoft Defender olyan funkciója, amely:

• Betekintést nyújt a szoftverellátási lánc teljes életciklusának biztonsági helyzetébe.
• Speciális szkennereket használ a részletes értékelésekhez.
• Különböző erőforrásokat fed le a szervezetektől, folyamatoktól és adattáraktól.
• Lehetővé teszi az ügyfelek számára, hogy csökkentsék a támadási felületüket a megadott javaslatok feltárásával és működésével.

DevOps-szkennerek

Az eredmények biztosítása érdekében a DevOps-testtartás-kezelés DevOps-szkennerekkel azonosítja a forráskódkezelés és a folyamatos integrációs/folyamatos kézbesítési folyamatok gyengeségeit a biztonsági konfigurációk és a hozzáférés-vezérlők ellenőrzésének futtatásával.

Az Azure DevOps- és GitHub-szkennereket a Microsofton belül használják a DevOps-erőforrásokhoz kapcsolódó kockázatok azonosítására, a támadási felület csökkentésére és a vállalati DevOps-rendszerek megerősítésére.

Ha egy DevOps-környezet csatlakozik, Felhőhöz készült Defender automatikusan konfigurálja ezeket a szkennereket, hogy 24 óránként ismétlődő vizsgálatokat végezhessenek több DevOps-erőforráson, beleértve a következőket:

• Buildek
• Biztonságos fájlok
• Változócsoportok
• Szolgáltatáskapcsolatok
• Szervezetek
• Adattárak

DevOps-fenyegetésmátrix kockázatcsökkentése

A DevOps-testtartás kezelése segít a szervezeteknek a káros konfigurációk felderítésében és elhárításában a DevOps platformon. Ez rugalmas, zéró megbízhatóságú DevOps-környezetet eredményez, amely a DevOps-fenyegetési mátrixban meghatározott fenyegetésekkel szemben erősödik. Az elsődleges testtartás-kezelési vezérlők a következők:

• Hatókörön belüli titkos hozzáférés: Minimalizálja a bizalmas információk expozícióját, és csökkentse a jogosulatlan hozzáférés, az adatszivárgás és az oldalirányú mozgás kockázatát azáltal, hogy minden folyamat csak a működéséhez nélkülözhetetlen titkos kulcsokhoz fér hozzá.

• A saját üzemeltetésű futók és a magas engedélyek korlátozása: megakadályozza a jogosulatlan végrehajtásokat és a lehetséges eszkalációkat azáltal, hogy elkerüli a saját üzemeltetésű futókat, és biztosítja, hogy a folyamatengedélyek alapértelmezés szerint csak olvashatók legyenek.

• Továbbfejlesztett ágvédelem: A kód integritásának fenntartása az ágvédelmi szabályok kényszerítésével és a rosszindulatú kódinjektálások megelőzésével.

• Optimalizált engedélyek és biztonságos adattárak: Csökkentheti a jogosulatlan hozzáférés, a módosítások kockázatát a minimális alapengedélyek nyomon követésével, valamint az adattárak titkos leküldéses védelmének engedélyezésével.

• További információ a DevOps fenyegetési mátrixáról.

DevOps-testtartáskezelési javaslatok

Amikor a DevOps-szkennerek a forráskódkezelő rendszereken és a folyamatos integrációs/folyamatos kézbesítési folyamatokon belüli ajánlott biztonsági eljárásoktól eltérnek, Felhőhöz készült Defender pontos és végrehajtható javaslatokat ad ki. Ezek a javaslatok a következő előnyökkel járnak:

• Továbbfejlesztett láthatóság: Átfogó betekintést nyerhet a DevOps-környezetek biztonsági helyzetébe, így a meglévő biztonsági rések teljes körű ismerete biztosítható. Azonosíthatja a hiányzó ágvédelmi szabályokat, a jogosultságok eszkalálási kockázatait és a nem biztonságos kapcsolatokat a támadások megelőzése érdekében.
• Prioritásalapú művelet: Az eredmények szűrése súlyosság szerint, hogy hatékonyabban költse el az erőforrásokat és az erőfeszítéseket a legkritikusabb biztonsági rések kezelése révén.
• Támadási felület csökkentése: A kiemelt biztonsági rések kezelése a sebezhető támadási felületek jelentős minimalizálása érdekében, ezáltal a potenciális fenyegetések elleni védelem megerősödése.
• Valós idejű értesítések: A munkafolyamat-automatizálásokkal integrálható, és azonnali riasztásokat kaphat a biztonságos konfigurációk módosításakor, lehetővé téve a gyors beavatkozást és a biztonsági protokollok folyamatos betartását.

Következő lépések

• Csatlakozás a GitHub-adattárakat Felhőhöz készült Microsoft Defender.
• Csatlakozás Azure DevOps-adattárakat Felhőhöz készült Microsoft Defender.