Megosztás a következőn keresztül:

Biztonsági ellenőrzés: DevOps biztonság

A DevOps Security magában foglalja a DevOps-folyamatok biztonsági tervezéséhez és műveleteihez kapcsolódó vezérlőket, beleértve a kritikus biztonsági ellenőrzések (például statikus alkalmazások biztonsági tesztelése, sebezhetőségi felügyelet) üzembe helyezését az üzembe helyezési fázis előtt, hogy a DevOps-folyamat során a biztonság biztosítható legyen; Olyan gyakori témaköröket is tartalmaz, mint a fenyegetésmodellezés és a szoftverellátás biztonsága.

DS-1: Fenyegetésmodellezés végrehajtása

CIS vezérlők v8 azonosítói NIST SP 800-53 r4 azonosító(k) PCI-DSS 3.2.1-s verziójú azonosító(ok)
16.10, 16.14 SA–15 6.5, 12.2

Biztonsági elv: Fenyegetésmodellezés végrehajtása a lehetséges fenyegetések azonosításához és a kockázatcsökkentő vezérlők számbavételéhez. Győződjön meg arról, hogy a fenyegetésmodellezés a következő célokra szolgál:

  • Az alkalmazások és szolgáltatások védelme az éles üzemidő szakaszában.
  • Biztonságossá teheti az összetevőket, az alapul szolgáló CI/CD-folyamatot és a buildeléshez, teszteléshez és üzembe helyezéshez használt egyéb eszközkörnyezetet. A fenyegetésmodellezésnek legalább a következő szempontokat kell tartalmaznia:
  • Határozza meg az alkalmazás biztonsági követelményeit. Győződjön meg arról, hogy a fenyegetések modellezése megfelelően kezeli ezeket a követelményeket.
  • Az alkalmazás összetevőinek, adatkapcsolatainak és kapcsolatának elemzése. Győződjön meg arról, hogy az elemzés magában foglalja az alkalmazás hatókörén kívüli felső és alsóbb rétegbeli kapcsolatokat is.
  • Sorolja fel azokat a potenciális fenyegetéseket és támadási vektorokat, amelyekkel az alkalmazás összetevői, az adatkapcsolatok, valamint a felsőbb és alsóbb rétegbeli szolgáltatások is ki lehetnek téve.
  • Azonosítsa azokat a biztonsági vezérlőket, amelyek a számba vett fenyegetések enyhítésére használhatók, és azonosítsa azokat a szabályozási réseket (például biztonsági réseket), amelyek további kezelési terveket igényelhetnek.
  • Sorolja fel és tervezzen meg olyan vezérlőket, amelyek képesek csökkenteni az azonosított biztonsági réseket.

Azure-útmutató: Fenyegetésmodellezési eszközökkel, például a Microsoft fenyegetésmodellezési eszközével és a beágyazott Azure fenyegetésmodell-sablonnal vezérelheti a fenyegetésmodellezési folyamatot. A STRIDE-modell használatával számba tudja adni a belső és külső fenyegetéseket, és azonosíthatja az alkalmazható vezérlőket. Győződjön meg arról, hogy a fenyegetésmodellezési folyamat tartalmazza a DevOps-folyamat fenyegetési forgatókönyveit, például a rosszindulatú kódinjektálást egy nem biztonságos összetevő-adattáron keresztül, helytelenül konfigurált hozzáférés-vezérlési szabályzattal.

Ha a fenyegetésmodellező eszköz használata nem alkalmazható, legalább kérdőívalapú fenyegetésmodellezési folyamatot kell használnia a fenyegetések azonosításához.

Győződjön meg arról, hogy a fenyegetésmodellezés vagy -elemzés eredményei rögzítve vannak és frissülnek, ha jelentős biztonsági hatással járó változás történik az alkalmazásban vagy a fenyegetési környezetben.

Azure-implementáció és további környezet:

AWS-útmutató: Fenyegetésmodellezési folyamatának irányításához használjon fenyegetésmodellezési eszközöket, például a Microsoft fenyegetésmodellező eszközét az Azure fenyegetésmodell-sablonnal. A STRIDE-modell használatával számba tudja adni a belső és külső fenyegetéseket, és azonosíthatja az alkalmazható vezérlőket. Győződjön meg arról, hogy a fenyegetésmodellezési folyamat tartalmazza a DevOps-folyamat fenyegetési forgatókönyveit, például a rosszindulatú kódinjektálást egy nem biztonságos összetevő-adattáron keresztül, helytelenül konfigurált hozzáférés-vezérlési szabályzattal.

Ha a fenyegetésmodellező eszköz használata nem alkalmazható, legalább kérdőívalapú fenyegetésmodellezési folyamatot kell használnia a fenyegetések azonosításához.

Győződjön meg arról, hogy a fenyegetésmodellezés vagy -elemzés eredményei rögzítve vannak és frissülnek, ha jelentős biztonsági hatással járó változás történik az alkalmazásban vagy a fenyegetési környezetben.

AWS-implementáció és további környezet:

GCP-útmutató: A fenyegetésmodellezési folyamat irányításához használjon fenyegetésmodellezési eszközöket, például a Microsoft fenyegetésmodellező eszközét az Azure fenyegetésmodell-sablonnal. A STRIDE-modell használatával számba tudja adni a belső és külső fenyegetéseket, és azonosíthatja az alkalmazható vezérlőket. Győződjön meg arról, hogy a fenyegetésmodellezési folyamat tartalmazza a DevOps-folyamat fenyegetési forgatókönyveit, például a rosszindulatú kódinjektálást egy nem biztonságos összetevő-adattáron keresztül, helytelenül konfigurált hozzáférés-vezérlési szabályzattal.

Ha a fenyegetésmodellező eszköz használata nem alkalmazható, legalább kérdőívalapú fenyegetésmodellezési folyamatot kell használnia a fenyegetések azonosításához.

Győződjön meg arról, hogy a fenyegetésmodellezés vagy -elemzés eredményei rögzítve vannak és frissülnek, ha jelentős biztonsági hatással járó változás történik az alkalmazásban vagy a fenyegetési környezetben.

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

DS-2: A szoftverellátási lánc biztonságának biztosítása

CIS vezérlők v8 azonosítói NIST SP 800-53 r4 azonosító(k) PCI-DSS 3.2.1-s verziójú azonosító(ok)
16.4, 16.6, 16.11 SA-12, SA-15 6.3, 6.5

Biztonsági elv: Győződjön meg arról, hogy a vállalat SDLC-je (szoftverfejlesztési életciklusa) vagy folyamata tartalmaz egy sor biztonsági vezérlőt, amelyek szabályozzák a házon belüli és harmadik féltől származó szoftverösszetevőket (beleértve a szabadalmaztatott és a nyílt forráskódú szoftvereket is), ahol az alkalmazások függőségekkel rendelkeznek. A sebezhető vagy rosszindulatú összetevők környezetbe való integrálásának és üzembe helyezésének megakadályozása érdekében határozzon meg gating kritériumokat.

A szoftverellátási lánc biztonsági ellenőrzésének legalább a következő szempontokat kell tartalmaznia:

  • A szoftverjegyzék (SBOM) megfelelő kezelése a szolgáltatás/erőforrás fejlesztési, buildelési, integrációs és üzembe helyezési fázishoz szükséges felsőbb rétegbeli függőségek azonosításával.
  • Leltározza és kövesse nyomon a házon belüli és harmadik féltől származó szoftverösszetevőket az ismert sebezhetőség érdekében, ha a felsőbb rétegben elérhető javítás érhető el.
  • A szoftverösszetevők biztonsági réseinek és kártevőinek felmérése az ismeretlen biztonsági rések statikus és dinamikus alkalmazástesztelésével.
  • Győződjön meg arról, hogy a biztonsági rések és a kártevők a megfelelő megközelítéssel elháríthatók. Ide tartozhat a forráskód helyi vagy felsőbb rétegbeli javítása, a funkciók kizárása és/vagy kompenzáló vezérlők alkalmazása, ha a közvetlen kockázatcsökkentés nem érhető el.

Ha az éles környezetben zárt forrású külső összetevőket használnak, előfordulhat, hogy korlátozott a biztonsági helyzetük. Érdemes megfontolni a további vezérlőket, például a hozzáférés-vezérlést, a hálózatelkülönítést és a végpontbiztonságot, hogy a lehető legkisebb legyen a hatás, ha az összetevőhöz rosszindulatú tevékenység vagy biztonsági rés van társítva.

Azure-útmutató: A GitHub platform esetében biztosítsa a szoftver-ellátási lánc biztonságát a GitHub Advanced Security vagy a GitHub natív funkciójának következő képességeivel vagy eszközeivel:- A Dependency Graph használatával megvizsgálhatja, leltározhatja és azonosíthatja a projekt összes függőségét és kapcsolódó biztonsági rést a tanácsadói adatbázison keresztül.

  • A Dependabot használatával gondoskodhat arról, hogy a sebezhető függőség nyomon legyen követve és orvosolva, és hogy az adattár automatikusan lépést tartson az általa használt csomagok és alkalmazások legújabb kiadásaival.
  • A GitHub natív kódvizsgálati képességével beolvashatja a forráskódot a kód külső forrásakor.
  • A Microsoft Defender for Cloud használatával integrálhatja a tároló rendszerképének sebezhetőségi felmérését a CI/CD-munkafolyamatba. Az Azure DevOps esetében külső bővítményekkel hasonló vezérlőket implementálhat a külső szoftverösszetevők és azok biztonsági réseinek leltározásához, elemzéséhez és szervizeléséhez.

Azure-implementáció és további környezet:

AWS-útmutató: Ha AWS CI/CD platformokat, például CodeCommit vagy CodePipeline platformot használ, biztosítsa a szoftverellátási lánc biztonságát a CodeGuru Reviewer segítségével a forráskód (Java és Python esetén) CI/CD-munkafolyamatokon keresztüli beolvasásához. Az olyan platformok, mint a CodeCommit és a CodePipeline, harmadik féltől származó bővítményeket is támogatnak, hogy hasonló vezérlőket valósítsanak meg a harmadik féltől származó szoftverösszetevők és azok sebezhetőségeinek leltározására, elemzésére és szervizelésére.

Ha a forráskódot a GitHub platformon keresztül kezeli, biztosítsa a szoftver-ellátási lánc biztonságát a GitHub Advanced Security vagy a GitHub natív funkciójának következő képességeivel vagy eszközeivel:

  • A Dependency Graph használatával az Advisory Database segítségével megvizsgálhatja, leltározza és azonosíthatja a projekt összes függőségét és a kapcsolódó biztonsági réseket.
  • A Dependabot használatával gondoskodhat arról, hogy a sebezhető függőség nyomon legyen követve és orvosolva, és hogy az adattár automatikusan lépést tartson az általa használt csomagok és alkalmazások legújabb kiadásaival.
  • A GitHub natív kódvizsgálati képességével beolvashatja a forráskódot a kód külső forrásakor.
  • Ha lehetséges, a Microsoft Defender for Cloud használatával integrálja a tároló rendszerképének sebezhetőségi felmérését a CI/CD-munkafolyamatba.

AWS-implementáció és további környezet:

GCP-útmutató: A Software Delivery Shield használatával teljes körű szoftver-ellátási lánc biztonsági elemzést végezhet. Ez magában foglalja az Assured OSS (Open Source Software) szolgáltatást a Google által ellenőrzött és tesztelt OSS-csomagok eléréséhez és beépítéséhez, valamint a Google biztonságos folyamatainak felhasználásával készült validált Java és Python csomagokat. Ezeket a csomagokat rendszeresen ellenőrzik, elemzik és tesztelik a biztonsági rések szempontjából. Ezek a képességek integrálhatók a Google Cloud Build, a Cloud Deploy, az Artifact Registry és az Artifact Analysis szolgáltatásba a CI/CD-munkafolyamatok részeként.

Ha a forráskódot a GitHub platformon keresztül kezeli, biztosítsa a szoftver-ellátási lánc biztonságát a GitHub Advanced Security vagy a GitHub natív funkciójának következő képességeivel vagy eszközeivel:

  • A Dependency Graph használatával az Advisory Database segítségével megvizsgálhatja, leltározza és azonosíthatja a projekt összes függőségét és a kapcsolódó biztonsági réseket.
  • A Dependabot használatával gondoskodhat arról, hogy a sebezhető függőség nyomon legyen követve és orvosolva, és hogy az adattár automatikusan lépést tartson az általa használt csomagok és alkalmazások legújabb kiadásaival.
  • A GitHub natív kódvizsgálati képességével beolvashatja a forráskódot a kód külső forrásakor.
  • Ha lehetséges, a Microsoft Defender for Cloud használatával integrálja a tároló rendszerképének sebezhetőségi felmérését a CI/CD-munkafolyamatba.

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

DS-3: Biztonságos DevOps-infrastruktúra

CIS vezérlők v8 azonosítói NIST SP 800-53 r4 azonosító(k) PCI-DSS 3.2.1-s verziójú azonosító(ok)
16.7 CM-2, CM-6, AC-2, AC-3, AC-6 2.2, 6.3, 7.1

Biztonsági elv: Győződjön meg arról, hogy a DevOps-infrastruktúra és -folyamat követi az ajánlott biztonsági eljárásokat a környezetekben, beleértve a buildelési, tesztelési és éles fázisokat is. Ez általában a következő hatókörhöz tartozó biztonsági vezérlőket foglalja magában:

  • Forráskódot, beépített csomagokat és képeket, projektösszetevőket és üzleti adatokat tároló összetevő-adattárak.
  • CI/CD-folyamatokat üzemeltető kiszolgálók, szolgáltatások és eszközök.
  • CI-/CD-folyamatkonfiguráció.

Azure-útmutató: A Microsoft Cloud Security Benchmark DevOps-infrastruktúra biztonsági vezérlőire való alkalmazásának részeként rangsorolja a következő vezérlőket:

  • Védje az összetevőket és a mögöttes környezetet, hogy a CI/CD-folyamatok ne váljanak rosszindulatú kódok beszúrásának módjává. Tekintse át például a CI-/CD-folyamatot, hogy azonosítsa az Azure DevOps alapvető területein( szervezet, projektek, felhasználók, folyamatok (build és kiadás), kapcsolatok és buildügynök minden helytelen konfigurációjának azonosításához, mint például a nyílt hozzáférés, a gyenge hitelesítés, a nem biztonságos kapcsolat beállítása stb. A GitHub esetében hasonló vezérlőkkel biztosíthatja a szervezeti engedélyszinteket.
  • Győződjön meg arról, hogy a DevOps-infrastruktúra konzisztensen van üzembe helyezve a fejlesztési projektekben. A DevOps-infrastruktúra megfelelőségét nagy méretekben nyomon követheti a Microsoft Defender for Cloud (például megfelelőségi irányítópult, Azure Policy, Cloud Posture Management) vagy saját megfelelőségfigyelési eszközei használatával.
  • Identitás-/szerepkör-engedélyeket és jogosultsági szabályzatokat konfigurálhat az Azure AD-ben, a natív szolgáltatásokban és a ci/CD-eszközökben a folyamatban, hogy a folyamatok módosításai engedélyezve legyenek.
  • Kerülje az állandó "álló" emelt szintű hozzáférés biztosítását az emberi fiókokhoz, például a fejlesztőkhöz vagy a tesztelőkhöz olyan funkciókkal, mint az Azure által felügyelt azonosítók és az igény szerinti hozzáférés.
  • Távolítsa el a kulcsokat, hitelesítő adatokat és titkos kulcsokat a CI/CD-munkafolyamat-feladatokban használt kódból és szkriptekből, és tartsa őket egy kulcstárban vagy Azure Key Vault.
  • Ha saját üzemeltetésű buildelési/üzembe helyezési ügynököket futtat, kövesse a Microsoft Cloud Security Benchmark vezérlőket, beleértve a hálózati biztonságot, a testtartás- és biztonságirés-kezelést, valamint a végpontbiztonságot a környezet védelme érdekében.

Megjegyzés: A Naplózás és fenyegetésészlelés, a DS-7, valamint a Helyzettartás és biztonságirés-kezelés szakaszban olyan szolgáltatásokat használhat, mint az Azure Monitor és a Microsoft Sentinel a DevOps-infrastruktúra irányításának, megfelelőségének, működési naplózásának és kockázatnaplózásának engedélyezéséhez.

Azure-implementáció és további környezet:

AWS-útmutató: A Microsoft Cloud Security Benchmark DevOps-infrastruktúra biztonsági vezérlőire, például a GitHubra, a CodeCommit-ra, a CodeArtifactre, a CodePipeline-ra, a CodeBuildre és a CodeDeploy-ra való alkalmazásának részeként rangsorolja a következő vezérlőket:

  • Tekintse meg ezt az útmutatót és az AWS Well-Architected Framework biztonsági pillérét a DevOps-környezetek AWS-ben való biztonságossá tételéhez.
  • Védje az összetevőket és a mögöttes támogató infrastruktúrát, hogy a CI/CD-folyamatok ne váljanak rosszindulatú kódok beszúrásának módjává.
  • Győződjön meg arról, hogy a DevOps-infrastruktúra konzisztensen üzembe helyezése és fenntartása a fejlesztési projektek során. A DevOps-infrastruktúra megfelelőségének nagy léptékű nyomon követése az AWS-konfiguráció vagy a saját megfelelőség-ellenőrzési megoldás használatával.
  • A CodeArtifact használatával biztonságosan tárolhatja és megoszthatja az alkalmazásfejlesztéshez használt szoftvercsomagokat. A CodeArtifact olyan népszerű építőeszközökkel és csomagkezelőkkel használható, mint a Maven, a Gradle, az npm, a fonal, a pip és a zsineg.
  • Konfigurálja az identitás-/szerepkör-engedélyeket és az engedélyszabályzatokat az AWS IAM-ben, a natív szolgáltatásokban és a folyamat CI/CD-eszközeiben, hogy a folyamatok módosításai engedélyezve legyenek.
  • Távolítsa el a kulcsokat, hitelesítő adatokat és titkos kulcsokat a CI/CD-munkafolyamat-feladatokban használt kódból és szkriptekből, és tartsa őket a kulcstárolóban vagy az AWS KMS-ben
  • Ha saját üzemeltetésű buildelési/üzembe helyezési ügynököket futtat, kövesse a Microsoft Cloud Security Benchmark vezérlőket, beleértve a hálózati biztonságot, a testtartás- és biztonságirés-kezelést, valamint a végpontbiztonságot a környezet védelme érdekében. Használja az AWS Inspectort az EC2 vagy konténeres környezet biztonsági réseinek vizsgálatához építési környezetként.

Megjegyzés: Tekintse meg a Naplózás és fenyegetésészlelés, a DS-7, valamint a Testtartás és biztonságirés-kezelés szakaszt, ha olyan szolgáltatásokat használhat, mint az AWS CloudTrail, a CloudWatch és a Microsoft Sentinel, hogy lehetővé tegye a DevOps-infrastruktúra irányítását, megfelelőségét, működési naplózását és kockázatnaplózását.

AWS-implementáció és további környezet:

GCP-útmutató: A Microsoft Cloud Security Benchmark DevOps-infrastruktúra biztonsági vezérlőire való alkalmazásának részeként rangsorolja a következő vezérlőket:

  • Védje az összetevőket és a mögöttes környezetet, hogy a CI/CD-folyamatok ne váljanak rosszindulatú kódok beszúrásának módjává. Tekintse át például a CI/CD-folyamatot, és azonosítsa az olyan szolgáltatások helytelen konfigurációját, mint a Google Cloud Build, a Cloud Deploy, az Artifact Registry, a Connections és a Build Agent, hogy azonosítsa a helytelen konfigurációkat, például a nyílt hozzáférést, a gyenge hitelesítést, a nem biztonságos kapcsolat beállítását stb. A GitHub esetében hasonló vezérlőkkel biztosíthatja a szervezeti engedélyszinteket.
  • Győződjön meg arról, hogy a DevOps-infrastruktúra konzisztensen van üzembe helyezve a fejlesztési projektekben. A DevOps-infrastruktúra megfelelőségét nagy méretekben nyomon követheti a Google Cloud Security Command Center (például a megfelelőségi irányítópult, a szervezeti szabályzat, az egyéni fenyegetések nyilvántartása és a helytelen konfigurációk azonosítása) vagy saját megfelelőségfigyelő eszközei használatával.
  • Konfigurálja az identitás-/szerepkörengedélyeket és jogosultsági szabályzatokat a Cloud Identity/AD natív szolgáltatásokban, valamint a folyamat CI/CD-eszközeit, hogy a folyamatok módosításai engedélyezve legyenek.
  • Kerülje az állandó "állandó" emelt szintű hozzáférés biztosítását az emberi fiókokhoz, például a fejlesztőkhöz vagy a tesztelőkhöz olyan funkciók használatával, mint a Google által felügyelt azonosítók.
  • Távolítsa el a kulcsokat, hitelesítő adatokat és titkos kulcsokat a CI/CD-munkafolyamat-feladatokban használt kódokból és szkriptekből, és tartsa őket egy kulcstárolóban vagy a Google Titkos kódkezelőben.
  • Ha saját üzemeltetésű buildelési/üzembe helyezési ügynököket futtat, kövesse a Microsoft Cloud Security Benchmark vezérlőket, beleértve a hálózati biztonságot, a testtartás- és biztonságirés-kezelést, valamint a végpontbiztonságot a környezet védelme érdekében.

Megjegyzés: A Naplózás és fenyegetésészlelés, a DS-7, valamint a Helyzettartás és biztonságirés-kezelés szakaszokban olyan szolgáltatásokat használhat, mint az Azure Monitor és a Microsoft Sentinel vagy a Google Cloud üzemeltetési csomagja, valamint a Chronicle SIEM és a SOAR a DevOps-infrastruktúra irányításának, megfelelőségének, működési naplózásának és kockázatnaplózásának engedélyezéséhez.

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

DS-4: Statikus alkalmazásbiztonsági tesztelés integrálása a DevOps-folyamatba

CIS vezérlők v8 azonosítói NIST SP 800-53 r4 azonosító(k) PCI-DSS 3.2.1-s verziójú azonosító(ok)
16.12 SA-11 6.3, 6.5

Biztonsági elv: Biztosítsa, hogy a statikus alkalmazásbiztonsági tesztelés (SAST) fuzzy tesztelése, az interaktív tesztelés, a mobilalkalmazás-tesztelés a CI/CD-munkafolyamat kapuvezérlőinek részét képezi. A kapuállítás a tesztelési eredmények alapján állítható be annak érdekében, hogy a sebezhető csomagok elkerüljék az adattárba való bekerülést, ne épülhessenek be a csomagokba, vagy ne kerüljenek éles környezetbe.

Azure-útmutató: Integrálja a SAST-ot a folyamatba (például az infrastruktúrába kódsablonként), hogy a forráskód automatikusan beolvasható legyen a CI/CD-munkafolyamatban. Az Azure DevOps Pipeline vagy a GitHub integrálhatja az alábbi eszközöket és a külső SAST-eszközöket a munkafolyamatba.

  • GitHub CodeQL forráskódelemzéshez.
  • Microsoft BinSkim Binary Analyzer for Windows és *nix bináris elemzés.
  • Azure DevOps Credential Scanner (Microsoft Security DevOps-bővítmény) és GitHub natív titkos kódvizsgálat a hitelesítő adatok vizsgálatához a forráskódban.

Azure-implementáció és további környezet:

AWS-útmutató: Integrálja a SAST-ot a folyamatba, hogy a forráskód automatikusan beolvasható legyen a CI/CD-munkafolyamatban.

Ha AWS CodeCommit-ot használ, használja az AWS CodeGuru Reviewer-t a Python és Java forráskód elemzéséhez. Az AWS Codepipeline támogatja a harmadik féltől származó SAST-eszközök integrálását a kódtelepítési folyamatba.

A GitHub használata esetén az alábbi eszközök és a harmadik féltől származó SAST-eszközök integrálhatók a munkafolyamatba.

  • GitHub CodeQL forráskódelemzéshez.
  • Microsoft BinSkim Binary Analyzer for Windows és *nix bináris elemzés.
  • GitHub natív titkos kód vizsgálata a hitelesítő adatok vizsgálatához a forráskódban.
  • AWS CodeGuru Reviewer a Python és Java forráskód elemzéséhez.

AWS-implementáció és további környezet:

GCP-útmutató: Integrálja a SAST-ot (például a szoftverkézbesítési pajzsot, az összetevőelemzést) a folyamatba (például az infrastruktúrába kódsablonként), hogy a forráskód automatikusan beolvasható legyen a CI/CD-munkafolyamatban.

Az olyan szolgáltatások, mint a Cloud Build, a Cloud Deploy, az Artifact Registry támogatják a Software Delivery Shield és az Artifact Analysis integrációját, amely képes beolvasni a forráskódot és más összetevőket a CI/CD-munkafolyamatban.

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

DS-5: Dinamikus alkalmazásbiztonsági tesztelés integrálása a DevOps-folyamatba

CIS vezérlők v8 azonosítói NIST SP 800-53 r4 azonosító(k) PCI-DSS 3.2.1-s verziójú azonosító(ok)
16.12 SA-11 6.3, 6.5

Biztonsági elv: Győződjön meg arról, hogy a dinamikus alkalmazásbiztonsági tesztelés (DAST) a CI/CD-munkafolyamat kapuvezérlőinek része legyen. A vezérlés a tesztelési eredmények alapján állítható be, hogy megakadályozza a sebezhetőségek bekerülését a csomagokba vagy az éles környezetbe való telepítést.

Azure-útmutató: Integrálja a DAST-ot a folyamatba, hogy a futásidejű alkalmazás automatikusan tesztelhető legyen az Azure DevOpsban vagy a GitHubban beállított CI/CD-munkafolyamatban. Az automatizált behatolástesztelésnek (manuális, támogatott ellenőrzéssel) szintén a DAST részét kell képeznie.

Az Azure DevOps Pipeline vagy a GitHub támogatja a külső DAST-eszközök integrálását a CI/CD-munkafolyamatba.

Azure-implementáció és további környezet:

AWS-útmutató: Integrálja a DAST-ot a folyamatba, hogy a futásidejű alkalmazás automatikusan tesztelhető legyen az AWS CodePipeline-ban vagy a GitHubon beállított CI/CD-munkafolyamatban. Az automatizált behatolástesztelésnek (manuális, támogatott ellenőrzéssel) szintén a DAST részét kell képeznie.

Az AWS CodePipeline vagy a GitHub támogatja a harmadik féltől származó DAST-eszközök integrálását a CI/CD-munkafolyamatba.

AWS-implementáció és további környezet:

GCP-útmutató: Integrálja a DAST-ot (például a Cloud Web Security Scannert) a folyamatba, hogy a futásidejű alkalmazás automatikusan tesztelhető legyen a szolgáltatásokban, például a Google Cloud Buildben, a Cloud Deploy vagy a GitHubban beállított CI/CD-munkafolyamatban. A Cloud Web Security Scanner az App Engine, a Google Kubernetes Engine (GKE) és a Compute Engine által üzemeltetett számítási feladatok webalkalmazásainak biztonsági réseinek azonosítására használható. Az automatizált behatolástesztelésnek (manuális, támogatott ellenőrzéssel) szintén a DAST részét kell képeznie.

A Google Cloud Build, a Google Cloud Deploy, az Artifact Registry és a GitHub a harmadik féltől származó DAST-eszközök CI/CD-munkafolyamatba való integrálását is támogatja.

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

DS-6: A számítási feladatok biztonságának érvényesítése a DevOps teljes életciklusa során

CIS vezérlők v8 azonosítói NIST SP 800-53 r4 azonosító(k) PCI-DSS 3.2.1-s verziójú azonosító(ok)
7.5, 7.6, 7.7, 16.1, 16.7 CM-2, CM-6, AC-2, AC-3, AC-6 6.1, 6.2, 6.3

Biztonsági elv: Győződjön meg arról, hogy a számítási feladat a teljes életciklus során biztonságban van a fejlesztési, tesztelési és üzembe helyezési szakaszban. A Microsoft Cloud Security Benchmark használatával kiértékelheti azokat a vezérlőket (például hálózati biztonságot, identitáskezelést, emelt szintű hozzáférést stb.), amelyek alapértelmezés szerint védőkorlátként állíthatók be, vagy az üzembe helyezési szakasz előtt balra tolhatók. Különösen győződjön meg arról, hogy a következő vezérlők vannak érvényben a DevOps-folyamatban:- Automatizálja az üzembe helyezést az Azure-beli vagy külső eszközökkel a CI/CD-munkafolyamatban, az infrastruktúra-kezelésben (kódként használt infrastruktúra), valamint az emberi hibák és a támadási felület csökkentése érdekében végzett teszteléssel.

  • Győződjön meg arról, hogy a virtuális gépek, tárolólemezképek és egyéb összetevők biztonságban vannak a rosszindulatú manipulációktól.
  • Vizsgálja meg a számítási feladat összetevőit (más szóval tárolólemezképeket, függőségeket, SAST- és DAST-vizsgálatokat) a CI/CD-munkafolyamatban való üzembe helyezés előtt
  • Telepítse a sebezhetőségi felmérési és fenyegetésészlelési képességet az éles környezetben, és folyamatosan használja ezeket a képességeket futásidőben.

Azure-útmutató: Útmutató Azure-beli virtuális gépekhez:

  • Az Azure Shared Image Gallery használatával megoszthatja és szabályozhatja a rendszerképekhez való hozzáférést a szervezet különböző felhasználói, szolgáltatásnevei vagy AD-csoportjai számára. Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával biztosíthatja, hogy csak a jogosult felhasználók férhessenek hozzá az egyéni rendszerképekhez.
  • Határozza meg a virtuális gépek biztonságos konfigurációs alapkonfigurációit a szükségtelen hitelesítő adatok, engedélyek és csomagok kiküszöbölése érdekében. Konfigurációs alapkonfigurációk üzembe helyezése és kényszerítése egyéni rendszerképekkel, Azure Resource Manager sablonokkal és/vagy Azure Policy vendégkonfigurációval.

Útmutató az Azure-tárolószolgáltatásokhoz:

  • Az Azure Container Registry (ACR) használatával hozza létre a privát tárolóregisztrációs adatbázist, ahol a részletes hozzáférés korlátozható az Azure RBAC-n keresztül, így csak az engedélyezett szolgáltatások és fiókok férhetnek hozzá a privát beállításjegyzékben lévő tárolókhoz.
  • A Defender for Containers használatával felmérheti a privát Azure Container Registry rendszerképeit. Emellett a Microsoft Defender for Cloud használatával integrálhatja a tárolórendszerkép-vizsgálatokat a CI/CD-munkafolyamatok részeként.

Az Azure kiszolgáló nélküli szolgáltatásai esetében hasonló vezérlőket alkalmazhat annak biztosításához, hogy a biztonsági vezérlők "balra tolódjanak" az üzembe helyezés előtti szakaszra.

Azure-implementáció és további környezet:

AWS-útmutató: Az Amazon Elastic Container Registry használatával megoszthatja és szabályozhatja a rendszerképekhez való hozzáférést a szervezeten belüli különböző felhasználók és szerepkörök között. Az AWS IAM használatával pedig biztosíthatja, hogy csak a jogosult felhasználók férhessenek hozzá az egyéni rendszerképekhez.

Határozza meg az EC2 AMI-lemezképek biztonságos konfigurációs alapkonfigurációit a felesleges hitelesítő adatok, engedélyek és csomagok kiküszöbölése érdekében. Konfigurációk alapkonfigurációinak üzembe helyezése és kényszerítése egyéni AMI-rendszerképekkel, CloudFormation-sablonokkal és/vagy AWS-konfigurációs szabályokkal.

Az AWS Inspector segítségével a virtuális gépek és a konténeres környezetek sebezhetőségét vizsgálhatja, megvédve őket a rosszindulatú manipulációtól.

Az AWS kiszolgáló nélküli szolgáltatásai esetén az AWS CodePipeline és az AWS AppConfig együttes használatával hasonló vezérlőket fogadhat el, hogy a biztonsági vezérlők az üzembe helyezés előtti szakaszra "balra tolódjanak".

AWS-implementáció és további környezet:

GCP-útmutató: A Google Cloud vezérlőket tartalmaz a számítási erőforrások és a Google Kubernetes Engine (GKE) tárolóerőforrásainak védelmére. A Google tartalmazza a védett virtuális gépet, amely megerősíti a virtuálisgép-példányokat. Rendszerindítási biztonságot nyújt, figyeli az integritást, és a virtuális platformmegbízhatósági modult (vTPM) használja.

A Google Cloud Artifact Analysis használatával igény szerint vagy automatikusan megvizsgálhatja a tárolók vagy operációsrendszer-rendszerképek biztonsági réseit, valamint más típusú összetevőket a folyamatokban. A tárolófenyegetés-észlelés használatával folyamatosan figyelheti az Container-Optimized operációsrendszer-csomópont rendszerképeinek állapotát. A szolgáltatás kiértékeli az összes változást és távelérési kísérletet, hogy közel valós időben észlelje a futásidejű támadásokat.

Az Artifact Registry segítségével biztonságos, privát buildelésű műtermék-tárolót állíthat be, hogy továbbra is szabályozhatja, hogy ki férhet hozzá, tekinthet meg vagy tölthet le összetevőket a beállításjegyzék natív IAM-szerepköreivel és engedélyeivel, és egyenletes üzemidőt érhet el a Google biztonságos és megbízható infrastruktúráján.

A kiszolgáló nélküli GCP-szolgáltatások esetében hasonló vezérlőket alkalmazhat annak biztosításához, hogy a biztonsági vezérlők az üzembe helyezés előtti szakaszra "balra tolódjanak".

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

DS-7: Naplózás és figyelés engedélyezése a DevOpsban

CIS vezérlők v8 azonosítói NIST SP 800-53 r4 azonosító(k) PCI-DSS 3.2.1-s verziójú azonosító(ok)
8.2, 8.5, 8.9, 8.11 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3, 10.6

Biztonsági elv: Győződjön meg arról, hogy a naplózási és figyelési hatókör tartalmazza a nem éles környezeteket és a DevOpsban (és bármely más fejlesztési folyamatban) használt CI/CD-munkafolyamat-elemeket. Az ezeket a környezeteket célzó biztonsági rések és fenyegetések jelentős kockázatokat jelenthetnek az éles környezet számára, ha nem figyelik megfelelően őket. A CI/CD buildelési, tesztelési és üzembehelyezési munkafolyamat eseményeit is figyelni kell a CI/CD munkafolyamat-feladatok eltéréseinek azonosítása érdekében.

Azure-útmutató: Engedélyezze és konfigurálja a naplózási képességeket a DevOps-folyamat során használt nem éles és CI/CD-eszközkörnyezetekben (például Azure DevOps és GitHub).

Az Azure DevOpsból és a GitHub CI/CD-munkafolyamatból létrehozott eseményeket, beleértve a buildelési, tesztelési és üzembe helyezési feladatokat is, figyelni kell a rendellenes eredmények azonosítása érdekében.

A fenti naplókat és eseményeket a Microsoft Sentinelbe vagy más SIEM-eszközökbe kell betöltenie egy naplózási streamen vagy API-n keresztül, hogy a biztonsági incidensek megfelelően figyelhetők legyenek, és osztályozzák a kezelést.

Azure-implementáció és további környezet:

AWS-útmutató: Engedélyezze és konfigurálja az AWS CloudTrailt a DevOps-folyamat során használt nem éles és CI/CD-eszközkörnyezetek (például AWS CodePipeline, AWS CodeBuild, AWS CodeDeploy, AWS CodeStar) naplózási képességeihez.

Az AWS CI/CD-környezetekből (például AWS CodePipeline, AWS CodeBuild, AWS CodeDeploy, AWS CodeStar) és a GitHub CI/CD-munkafolyamatból generált eseményeket, beleértve a buildelési, tesztelési és üzembe helyezési feladatokat is, szintén figyelni kell a rendellenes eredmények azonosítása érdekében.

A fenti naplókat és eseményeket az AWS CloudWatchba, a Microsoft Sentinelbe vagy más SIEM-eszközökbe kell betöltenie egy naplózási streamen vagy API-n keresztül, hogy a biztonsági incidensek megfelelően legyenek figyelve és osztályozva legyenek a kezeléshez.

AWS-implementáció és további környezet:

GCP-útmutató: Engedélyezze és konfigurálja a naplózási képességeket a nem éles és CI/CD-eszközkörnyezetekben olyan termékekhez, mint a Cloud Build, a Google Cloud Deploy, az Artifact Registry és a GitHub, amelyek a DevOps-folyamat során használhatók.

A GCP CI/CD-környezetekből (például Cloud Build, Google Cloud Deploy, Artifact Registry) és a GitHub CI/CD-munkafolyamatból létrehozott eseményeket, beleértve a buildelési, tesztelési és üzembe helyezési feladatokat is, szintén figyelni kell a rendellenes eredmények azonosításához.

A fenti naplókat és eseményeket a Microsoft Sentinelbe, a Google Cloud Security Command Centerbe, a Chronicle-be vagy más SIEM-eszközökbe kell betöltenie egy naplózási streamen vagy API-n keresztül, hogy a biztonsági incidensek megfelelően figyelhetők legyenek, és osztályozzák a kezelést.

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):