Meningkatkan postur keamanan lingkungan DevOps
Dengan peningkatan serangan cyber pada sistem manajemen kode sumber dan integrasi berkelanjutan/alur pengiriman berkelanjutan, mengamankan platform DevOps terhadap berbagai ancaman yang diidentifikasi dalam DevOps Threat Matrix sangat penting. Serangan cyber tersebut dapat memungkinkan injeksi kode, eskalasi hak istimewa, dan eksfiltrasi data, berpotensi menyebabkan dampak yang luas.
Manajemen postur DevOps adalah fitur dalam Microsoft Defender untuk Cloud yang:
- Memberikan wawasan tentang postur keamanan seluruh siklus hidup rantai pasokan perangkat lunak.
- Menggunakan pemindai tingkat lanjut untuk penilaian mendalam.
- Mencakup berbagai sumber daya, dari organisasi, alur, dan repositori.
- Memungkinkan pelanggan mengurangi permukaan serangan mereka dengan mengungkap dan bertindak berdasarkan rekomendasi yang diberikan.
Pemindai DevOps
Untuk memberikan temuan, manajemen postur DevOps menggunakan pemindai DevOps untuk mengidentifikasi kelemahan dalam manajemen kode sumber dan integrasi berkelanjutan/alur pengiriman berkelanjutan dengan menjalankan pemeriksaan terhadap konfigurasi keamanan dan kontrol akses.
Pemindai Azure DevOps dan GitHub digunakan secara internal dalam Microsoft untuk mengidentifikasi risiko yang terkait dengan sumber daya DevOps, mengurangi permukaan serangan dan memperkuat sistem DevOps perusahaan.
Setelah lingkungan DevOps terhubung, Defender untuk Cloud mengonfigurasi otomatis pemindai ini untuk melakukan pemindaian berulang setiap 24 jam di beberapa sumber daya DevOps, termasuk:
- Build
- File Aman
- Grup Variabel
- Koneksi Layanan
- Organisasi
- Repositori
Pengurangan risiko matriks ancaman DevOps
Manajemen postur DevOps membantu organisasi dalam menemukan dan memulihkan kesalahan konfigurasi berbahaya di platform DevOps. Hal ini menyebabkan lingkungan DevOps yang tangguh dan tanpa kepercayaan, yang diperkuat terhadap berbagai ancaman yang ditentukan dalam matriks ancaman DevOps. Kontrol manajemen postur utama meliputi:
Akses rahasia terlingkup: Minimalkan paparan informasi sensitif dan kurangi risiko akses tidak sah, kebocoran data, dan gerakan lateral dengan memastikan setiap alur hanya memiliki akses ke rahasia yang penting untuk fungsinya.
Pembatasan pelari yang dihost sendiri dan izin tinggi: mencegah eksekusi yang tidak sah dan potensi eskalasi dengan menghindari pelari yang dihost sendiri dan memastikan bahwa izin alur default ke baca-saja.
Perlindungan cabang yang ditingkatkan: Pertahankan integritas kode dengan memberlakukan aturan perlindungan cabang dan mencegah injeksi kode berbahaya.
Izin yang dioptimalkan dan repositori aman: Kurangi risiko akses yang tidak sah, modifikasi dengan melacak izin dasar minimum, dan pengaktifan perlindungan push rahasia untuk repositori.
Pelajari selengkapnya tentang matriks ancaman DevOps.
Rekomendasi manajemen postur DevOps
Ketika pemindai DevOps mengungkap penyimpangan dari praktik terbaik keamanan dalam sistem manajemen kode sumber dan alur integrasi berkelanjutan/pengiriman berkelanjutan, Defender untuk Cloud menghasilkan rekomendasi yang tepat dan dapat ditindaklanjuti. Rekomendasi ini memiliki manfaat berikut:
- Visibilitas yang ditingkatkan: Dapatkan wawasan komprehensif tentang postur keamanan lingkungan DevOps, memastikan pemahaman yang bulat dengan baik tentang kerentanan yang ada. Identifikasi aturan perlindungan cabang yang hilang, risiko eskalasi hak istimewa, dan koneksi yang tidak aman untuk mencegah serangan.
- Tindakan berbasis prioritas: Memfilter hasil berdasarkan tingkat keparahan untuk membelanjakan sumber daya dan upaya secara lebih efektif dengan mengatasi kerentanan yang paling penting terlebih dahulu.
- Pengurangan permukaan serangan: Alamat menyoroti celah keamanan untuk secara signifikan meminimalkan permukaan serangan yang rentan, sehingga memperkuat pertahanan terhadap potensi ancaman.
- Pemberitahuan real-time: Kemampuan untuk berintegrasi dengan otomatisasi alur kerja untuk menerima pemberitahuan langsung saat konfigurasi aman berubah, memungkinkan tindakan cepat dan memastikan kepatuhan berkelanjutan dengan protokol keamanan.