Biztonsági javaslatok DevOps-erőforrásokhoz
Ez a cikk felsorolja azokat a javaslatokat, amelyeket az Felhőhöz készült Microsoft Defender láthat, ha Azure DevOps-, GitHub- vagy GitLab-környezetet csatlakoztat a Környezet beállításai lap használatával. A környezetben megjelenő javaslatok a védeni kívánt erőforrásokon és a testre szabott konfiguráción alapulnak.
A javaslatokra válaszul végrehajtható műveletekről a Felhőhöz készült Defender vonatkozó javaslatok szervizelése című témakörben olvashat.
További információ a DevOps biztonsági előnyeiről és funkcióiról.
A DevOps-javaslatok nem befolyásolják a biztonságos pontszámot. Annak eldöntéséhez, hogy melyik javaslatokat kell először megoldani, tekintse meg az egyes javaslatok súlyosságát és a biztonságos pontszámra gyakorolt lehetséges hatását.
DevOps-javaslatok
Azure DevOps-javaslatok
Az Azure DevOps-adattárakban engedélyezni kell a GitHub Advanced Security for Azure DevOps (GHAzDO) használatát
Leírás: A Felhőhöz készült Defender devOps-biztonsága egy központi konzol használatával teszi lehetővé a biztonsági csapatok számára, hogy az Azure DevOpsban a kódtól a felhőig védjék az alkalmazásokat és erőforrásokat. Az Azure DevOpshoz készült GitHub Advanced Security (GHAzDO) adattárak lehetővé teszik a GitHub Advanced Security for Azure DevOps használatát, így az Azure DevOps-adattárakban Felhőhöz készült Microsoft Defender feltárt titkos kódokra, függőségekre és kód sebezhetőségekre vonatkozó megállapításokat kaphat.
Súlyosság: Magas
Az Azure DevOps-adattárakban meg kell oldani a titkos kulcsok vizsgálatának eredményeit
Leírás: Titkos kódokat találtak a kódtárakban. Azonnal elháríthatja a biztonsági incidenseket. Az adattárakban található titkos kulcsokat a támadók kiszivárogtathatják vagy felderíthetik, ami egy alkalmazás vagy szolgáltatás sérüléséhez vezet. Megjegyzés: A Microsoft Security DevOps hitelesítőadat-ellenőrző eszköz csak olyan teszteket végez, amelyekre konfigurálva van a futtatásra. Ezért előfordulhat, hogy az eredmények nem tükrözik az adattárak titkos kulcsainak teljes állapotát.
Súlyosság: Magas
Az Azure DevOps-adattárakban fel kell oldani a kódkeresési eredményeket
Leírás: A kódtárakban biztonsági rések találhatók. Az adattárak biztonsági helyzetének javítása érdekében javasoljuk, hogy javítsa ezeket a biztonsági réseket.
Súlyosság: Közepes
Az Azure DevOps-adattárakban meg kell oldani a függőségi biztonsági rések vizsgálatának eredményeit
Leírás: Függőségi biztonsági rések találhatók a kódtárakban. Az adattárak biztonsági helyzetének javítása érdekében javasoljuk, hogy javítsa ezeket a biztonsági réseket.
Súlyosság: Közepes
Az Azure DevOps-adattáraknak infrastruktúrával kell rendelkezniük a kódkeresési eredmények megoldásakor
Leírás: Az infrastruktúra mint kód biztonsági konfigurációs problémái az adattárakban találhatók. Az alábbi problémákat a sablonfájlokban észleltük. A kapcsolódó felhőerőforrások biztonsági helyzetének javítása érdekében erősen ajánlott elhárítani ezeket a problémákat.
Súlyosság: Közepes
Az Azure DevOps buildelési folyamatainak nem szabad titkos kulcsokkal rendelkezniük az elágazások létrehozásához
Leírás: Nyilvános adattárakban előfordulhat, hogy a szervezeten kívüli személyek elágazásokat hoznak létre, és buildeket futtatnak az elágazott adattáron. Ilyen esetben, ha ez a beállítás engedélyezve van, a kívülállók hozzáférhetnek a belsőnek szánt folyamattitkokhoz.
Súlyosság: Magas
Az Azure DevOps szolgáltatáskapcsolatainak nem szabad hozzáférést biztosítaniuk az összes folyamathoz
Leírás: A szolgáltatáskapcsolatok az Azure Pipelines és a külső és távoli szolgáltatások közötti kapcsolatok létrehozására szolgálnak a feladatok végrehajtásához. A folyamatengedélyek szabályozzák, hogy mely folyamatok jogosultak a szolgáltatáskapcsolat használatára. A folyamatműveletek biztonsága érdekében a szolgáltatáskapcsolatoknak nem szabad hozzáférést biztosítani az összes YAML-folyamathoz. Ez segít fenntartani a minimális jogosultság elvét, mivel az egyik folyamat által használt összetevők biztonsági rését kihasználhatja a támadó, hogy megtámadja a kritikus erőforrásokhoz hozzáféréssel rendelkező más folyamatokat.
Súlyosság: Magas
Az Azure DevOps biztonságos fájljai nem adhatnak hozzáférést az összes folyamathoz
Leírás: A biztonságos fájlok lehetővé teszik a fejlesztők számára a folyamatok között megosztható fájlok tárolását. Ezeket a fájlokat általában titkos kódok, például aláíró tanúsítványok és SSH-kulcsok tárolására használják. Ha egy biztonságos fájl hozzáféréssel rendelkezik az összes YAML-folyamathoz, egy jogosulatlan felhasználó egy YAML-folyamat létrehozásával és a biztonságos fájl elérésével adatokat lophat el a biztonságos fájlokból.
Súlyosság: Magas
A titkos változókkal rendelkező Azure DevOps-változócsoportok nem adhatnak hozzáférést az összes folyamathoz
Leírás: A változócsoportok olyan értékeket és titkos kulcsokat tárolnak, amelyeket át szeretne adni egy YAML-folyamatnak, vagy több folyamaton keresztül elérhetővé kell tenni őket. Ugyanazon projektben több folyamat változócsoportjait is megoszthatja és használhatja. Ha egy titkos kulcsokat tartalmazó változócsoport minden YAML-folyamat számára elérhetőként van megjelölve, akkor a támadó egy új folyamat létrehozásával kihasználhatja a titkos változókat tartalmazó objektumokat.
Súlyosság: Magas
Az Azure DevOps klasszikus Azure-szolgáltatáskapcsolatai nem használhatók előfizetések eléréséhez
Leírás: Az Azure Resource Manager (ARM) típusú szolgáltatáskapcsolatok használata klasszikus Azure-szolgáltatáskapcsolatok helyett az Azure-előfizetésekhez való csatlakozáshoz. Az ARM-modell számos biztonsági fejlesztést kínál, többek között az erősebb hozzáférés-vezérlést, a továbbfejlesztett naplózást, az ARM-alapú üzembe helyezést/szabályozást, a felügyelt identitásokhoz és kulcstartókhoz való hozzáférést a titkos kódokhoz, az Entra engedélyalapú hitelesítést, valamint a címkék és erőforráscsoportok támogatását az egyszerűsített felügyelet érdekében.
Súlyosság: Közepes
(Előzetes verzió) Az Azure DevOps-adattárakban meg kell oldani az API biztonsági tesztelési eredményeit
Leírás: Az API biztonsági rései kódtárakban találhatók. Az adattárak biztonsági helyzetének javítása érdekében javasoljuk, hogy javítsa ezeket a biztonsági réseket.
Súlyosság: Közepes
GitHub-javaslatok
A GitHub-adattárakban engedélyezve kell lennie a titkos kódok vizsgálatának
Leírás: A GitHub az ismert titkos kulcstípusok tárházait vizsgálja, hogy megelőzze a véletlenül az adattárakban lekötött titkos kódok csalárd használatát. A titkos kódok vizsgálata a GitHub-adattárban található összes ág teljes Git-előzményeit ellenőrzi. A titkos kulcsok közé tartoznak például a jogkivonatok és a titkos kulcsok, amelyeket a szolgáltató a hitelesítéshez kibocsáthat. Ha egy titkos kód be van jelentkezve egy adattárba, bárki, aki olvasási hozzáféréssel rendelkezik az adattárhoz, a titkos kód használatával hozzáférhet a külső szolgáltatáshoz ezekkel a jogosultságokkal. A titkos kulcsokat a projekt adattárán kívül, dedikált, biztonságos helyen kell tárolni.
Súlyosság: Magas
A GitHub-adattárakban engedélyezve kell lennie a kódvizsgálatnak
Leírás: A GitHub kódvizsgálatot használ a kód elemzéséhez, hogy biztonsági réseket és hibákat találjon a kódban. A kódvizsgálat használható a kódban meglévő problémák javításainak megkeresésére, osztályozására és rangsorolására. A kódvizsgálat azt is megakadályozhatja, hogy a fejlesztők új problémákat vezessenek be. A vizsgálatok ütemezhetők adott napokra és időpontokra, vagy a vizsgálat akkor aktiválható, ha egy adott esemény történik az adattárban, például leküldés. Ha a kódvizsgálat potenciális biztonsági rést vagy hibát talál a kódban, a GitHub riasztást jelenít meg az adattárban. A biztonsági rés olyan probléma a projekt kódjában, amely a projekt titkosságának, integritásának vagy rendelkezésre állásának sérülésére használható.
Súlyosság: Közepes
A GitHub-adattárakban engedélyezve kell lennie a Dependabot-vizsgálatnak
Leírás: A GitHub Dependabot-riasztásokat küld, amikor az adattárakat érintő kódfüggőségek biztonsági réseit észleli. A biztonsági rés olyan probléma a projekt kódjában, amely kihasználható a projekt vagy a kódját használó egyéb projektek bizalmasságának, integritásának vagy rendelkezésre állásának sérülésére. A biztonsági rések típusa, súlyossága és támadási módja eltérő. Ha a kód egy biztonsági sebezhetőséggel rendelkező csomagtól függ, ez a sebezhető függőség számos problémát okozhat.
Súlyosság: Közepes
A GitHub-adattárakban fel kell oldani a titkos kulcsok vizsgálatának eredményeit
Leírás: Titkos kódokat találtak a kódtárakban. Ezt azonnal orvosolni kell a biztonsági incidensek megelőzése érdekében. Az adattárakban található titkos kulcsokat a támadók kiszivárogtathatják vagy felderíthetik, ami egy alkalmazás vagy szolgáltatás sérüléséhez vezet.
Súlyosság: Magas
A GitHub-adattárakban meg kell oldani a kódkeresési eredményeket
Leírás: A kódtárakban biztonsági rések találhatók. Az adattárak biztonsági helyzetének javítása érdekében javasoljuk, hogy javítsa ezeket a biztonsági réseket.
Súlyosság: Közepes
A GitHub-adattáraknak meg kell oldaniuk a függőségi biztonságirés-vizsgálat eredményeit
Leírás: A GitHub-adattáraknak meg kell oldaniuk a függőségi biztonságirés-vizsgálat eredményeit.
Súlyosság: Közepes
A GitHub-adattáraknak infrastruktúrával kell rendelkezniük a kódkeresési eredmények megoldásakor
Leírás: Az infrastruktúra mint kód biztonsági konfigurációs problémái az adattárakban találhatók. Az alábbi problémákat a sablonfájlokban észleltük. A kapcsolódó felhőerőforrások biztonsági helyzetének javítása érdekében erősen ajánlott elhárítani ezeket a problémákat.
Súlyosság: Közepes
A GitHub-adattáraknak engedélyezve kell lennie az alapértelmezett ág védelmi szabályzatainak
Leírás: Az adattár alapértelmezett ágát elágaztatásvédelmi szabályzatokkal kell védeni, hogy megakadályozza a nem szándékos/rosszindulatú módosítások közvetlen véglegesítését az adattárban.
Súlyosság: Magas
A GitHub-adattáraknak le kell tiltani az alapértelmezett ágra történő leküldéseket
Leírás: Mivel az alapértelmezett ágat általában az üzembe helyezéshez és más kiemelt tevékenységekhez használják, a módosításokat körültekintően kell megközelíteni. Az kényszerítő leküldések engedélyezése nem szándékos vagy rosszindulatú módosításokat okozhat az alapértelmezett ágon.
Súlyosság: Közepes
A GitHub-szervezeteknek engedélyezniük kell a titkos kulcsok vizsgálatának leküldéses védelmét
Leírás: A Push Protection letiltja a titkos kulcsokat tartalmazó véglegesítéseket, így megakadályozza a titkos kódok véletlen felfedését. A hitelesítő adatok expozíciójának elkerülése érdekében a Leküldéses védelmet automatikusan engedélyezni kell minden titkos vizsgálatra engedélyezett adattárhoz.
Súlyosság: Magas
A GitHub-adattárak nem használhatnak saját üzemeltetésű futókat
Leírás: A GitHubon futó önkiszolgáló futók nem garantálják a rövid élettartamú tiszta virtuális gépeken való működést, és a munkafolyamat nem megbízható kódjai tartósan veszélyeztethetik őket. Ezért a saját üzemeltetésű futókat nem szabad műveleti munkafolyamatokhoz használni.
Súlyosság: Magas
A GitHub-szervezeteknek írásvédettre kell állítaniuk a műveletek munkafolyamat-engedélyeit
Leírás: Alapértelmezés szerint a műveleti munkafolyamatoknak írásvédett engedélyeket kell biztosítaniuk, hogy a rosszindulatú felhasználók ne használják ki a túlzottan engedélyezett munkafolyamatokat az erőforrások eléréséhez és illetéktelen illetéktelen használatához.
Súlyosság: Magas
A GitHub-szervezeteknek egynél több rendszergazdai engedéllyel kell rendelkezniük
Leírás: Ha legalább két rendszergazda rendelkezik, azzal csökkentheti a rendszergazdai hozzáférés elvesztésének kockázatát. Ez üvegtöréses fiókok esetén hasznos.
Súlyosság: Magas
A GitHub-szervezeteknek engedély nélküli vagy olvasási alapengedélyekkel kell rendelkezniük
Leírás: Az alapengedélyeket úgy kell beállítani, hogy ne legyenek beállítva vagy beolvasva a szervezet számára, hogy betartsák a minimális jogosultság elvét, és megakadályozzák a szükségtelen hozzáférést.
Súlyosság: Magas
(Előzetes verzió) A GitHub-adattáraknak meg kell oldaniuk az API biztonsági tesztelési eredményeit
Leírás: Az API biztonsági rései kódtárakban találhatók. Az adattárak biztonsági helyzetének javítása érdekében javasoljuk, hogy javítsa ezeket a biztonsági réseket.
Súlyosság: Közepes
GitLab-javaslatok
A GitLab-projektekben fel kell oldani a titkos kulcsok vizsgálatának eredményeit
Leírás: Titkos kódokat találtak a kódtárakban. Ezt azonnal orvosolni kell a biztonsági incidensek megelőzése érdekében. Az adattárakban található titkos kulcsokat a támadók kiszivárogtathatják vagy felderíthetik, ami egy alkalmazás vagy szolgáltatás sérüléséhez vezet.
Súlyosság: Magas
A GitLab-projektekben fel kell oldani a kódkeresési eredményeket
Leírás: A kódtárakban biztonsági rések találhatók. Az adattárak biztonsági helyzetének javítása érdekében javasoljuk, hogy javítsa ezeket a biztonsági réseket.
Súlyosság: Közepes
A GitLab-projekteknek feloldott függőségi biztonságirés-vizsgálatokkal kell rendelkezniük
Leírás: A GitHub-adattáraknak meg kell oldaniuk a függőségi biztonságirés-vizsgálat eredményeit.
Súlyosság: Közepes
A GitLab-projekteknek infrastruktúrával kell rendelkezniük a kódkeresési eredmények megoldásakor
Leírás: Az infrastruktúra mint kód biztonsági konfigurációs problémái az adattárakban találhatók. Az alábbi problémákat a sablonfájlokban észleltük. A kapcsolódó felhőerőforrások biztonsági helyzetének javítása érdekében erősen ajánlott elhárítani ezeket a problémákat.
Súlyosság: Közepes
Elavult DevOps biztonsági javaslatok
A kódtárakban fel kell oldani a kódkeresési eredményeket
Leírás: A DevOps Felhőhöz készült Defender biztonsági réseket talált a kódtárakban. Az adattárak biztonsági helyzetének javítása érdekében javasoljuk, hogy javítsa ezeket a biztonsági réseket. (Nincs kapcsolódó szabályzat)
Súlyosság: Közepes
A kódtárakban meg kell oldani a titkos kódok vizsgálatának eredményeit
Leírás: A DevOps biztonsági Felhőhöz készült Defender talált egy titkos kódot a kódtárakban. Ezt azonnal orvosolni kell a biztonsági incidensek megelőzése érdekében. Az adattárakban található titkos kulcsokat a támadók kiszivárogtathatják vagy felderíthetik, ami egy alkalmazás vagy szolgáltatás sérüléséhez vezet. Az Azure DevOps esetében a Microsoft Security DevOps CredScan eszköz csak azokat a buildeket vizsgálja, amelyekre konfigurálva lett a futtatásra. Ezért előfordulhat, hogy az eredmények nem tükrözik az adattárak titkos kulcsainak teljes állapotát. (Nincs kapcsolódó szabályzat)
Súlyosság: Magas
A kódtárakban meg kell oldani a Dependabot vizsgálati eredményeit
Leírás: A DevOps Felhőhöz készült Defender biztonsági réseket talált a kódtárakban. Az adattárak biztonsági helyzetének javítása érdekében javasoljuk, hogy javítsa ezeket a biztonsági réseket. (Nincs kapcsolódó szabályzat)
Súlyosság: Közepes
A kódtáraknak infrastruktúrával kell rendelkezniük a kódkeresési eredmények feloldásakor
Leírás: Az Felhőhöz készült Defender devOps-biztonsága kódbiztonsági konfigurációs problémákként talált infrastruktúrát az adattárakban. Az alábbi problémákat a sablonfájlokban észleltük. A kapcsolódó felhőerőforrások biztonsági helyzetének javítása érdekében erősen ajánlott elhárítani ezeket a problémákat. (Nincs kapcsolódó szabályzat)
Súlyosság: Közepes
A GitHub-adattárakban engedélyezve kell lennie a kódvizsgálatnak
Leírás: A GitHub kódvizsgálatot használ a kód elemzéséhez, hogy biztonsági réseket és hibákat találjon a kódban. A kódvizsgálat használható a kódban meglévő problémák javításainak megkeresésére, osztályozására és rangsorolására. A kódvizsgálat azt is megakadályozhatja, hogy a fejlesztők új problémákat vezessenek be. A vizsgálatok ütemezhetők adott napokra és időpontokra, vagy a vizsgálat akkor aktiválható, ha egy adott esemény történik az adattárban, például leküldés. Ha a kódvizsgálat potenciális biztonsági rést vagy hibát talál a kódban, a GitHub riasztást jelenít meg az adattárban. A biztonsági rés olyan probléma a projekt kódjában, amely a projekt titkosságának, integritásának vagy rendelkezésre állásának sérülésére használható. (Nincs kapcsolódó szabályzat)
Súlyosság: Közepes
A GitHub-adattárakban engedélyezve kell lennie a titkos kódok vizsgálatának
Leírás: A GitHub az ismert titkos kulcstípusok tárházait vizsgálja, hogy megelőzze a véletlenül az adattárakban lekötött titkos kódok csalárd használatát. A titkos kódok vizsgálata a GitHub-adattárban található összes ág teljes Git-előzményeit ellenőrzi. A titkos kulcsok közé tartoznak például a jogkivonatok és a titkos kulcsok, amelyeket a szolgáltató a hitelesítéshez kibocsáthat. Ha egy titkos kód be van jelentkezve egy adattárba, bárki, aki olvasási hozzáféréssel rendelkezik az adattárhoz, a titkos kód használatával hozzáférhet a külső szolgáltatáshoz ezekkel a jogosultságokkal. A titkos kulcsokat a projekt adattárán kívül, dedikált, biztonságos helyen kell tárolni. (Nincs kapcsolódó szabályzat)
Súlyosság: Magas
A GitHub-adattárakban engedélyezve kell lennie a Dependabot-vizsgálatnak
Leírás: A GitHub Dependabot-riasztásokat küld, amikor az adattárakat érintő kódfüggőségek biztonsági réseit észleli. A biztonsági rés olyan probléma a projekt kódjában, amely kihasználható a projekt vagy a kódját használó egyéb projektek bizalmasságának, integritásának vagy rendelkezésre állásának sérülésére. A biztonsági rések típusa, súlyossága és támadási módja eltérő. Ha a kód egy biztonsági sebezhetőséggel rendelkező csomagtól függ, ez a sebezhető függőség számos problémát okozhat. (Nincs kapcsolódó szabályzat)
Súlyosság: Közepes