Migliorare il comportamento di sicurezza dell'ambiente DevOps

Con un aumento degli attacchi informatici sui sistemi di gestione del codice sorgente e sulle pipeline di integrazione continua/recapito continuo, la protezione delle piattaforme DevOps contro l'ampia gamma di minacce identificate nella matrice di minacce DevOps è fondamentale. Tali attacchi informatici possono abilitare l'inserimento del codice, l'escalation dei privilegi e l'esfiltrazione dei dati, causando potenzialmente un impatto notevole.

La gestione del comportamento devOps è una funzionalità di Microsoft Defender per il cloud che:

• Fornisce informazioni dettagliate sul comportamento di sicurezza dell'intero ciclo di vita della supply chain software.
• Usa scanner avanzati per valutazioni approfondite.
• Vengono illustrate varie risorse, dalle organizzazioni, dalle pipeline e dai repository.
• Consente ai clienti di ridurre la superficie di attacco individuando e operando sulle raccomandazioni fornite.

Scanner DevOps

Per fornire risultati, la gestione del comportamento devOps usa gli scanner DevOps per identificare i punti deboli nella gestione del codice sorgente e nelle pipeline di integrazione continua/recapito continuo eseguendo controlli sulle configurazioni di sicurezza e sui controlli di accesso.

Gli scanner Di Azure DevOps e GitHub vengono usati internamente all'interno di Microsoft per identificare i rischi associati alle risorse DevOps, riducendo la superficie di attacco e potenziando i sistemi DevOps aziendali.

Una volta connesso un ambiente DevOps, Defender per il cloud configurare automaticamente questi scanner per eseguire analisi ricorrenti ogni 24 ore tra più risorse DevOps, tra cui:

• Compilazioni
• File protetti
• Gruppi di variabili
• Connessioni al servizio
• Organizzazioni
• Repository

Riduzione del rischio della matrice di minacce DevOps

La gestione del comportamento devOps consente alle organizzazioni di individuare e correggere errori di configurazione dannosi nella piattaforma DevOps. Ciò porta a un ambiente DevOps resiliente e zero-trust, che viene rafforzato contro una serie di minacce definite nella matrice di minacce DevOps. I controlli principali di gestione della postura includono:

• Accesso segreto con ambito: ridurre al minimo l'esposizione delle informazioni riservate e ridurre il rischio di accessi non autorizzati, perdite di dati e spostamenti laterali assicurando che ogni pipeline abbia accesso solo ai segreti essenziali per la sua funzione.

• Restrizione di strumenti di esecuzione self-hosted e autorizzazioni elevate: impedisce esecuzioni non autorizzate e potenziali escalation evitando strumenti di esecuzione self-hosted e assicurando che le autorizzazioni della pipeline siano di sola lettura.

• Protezione avanzata dei rami: mantenere l'integrità del codice applicando le regole di protezione dei rami e impedendo inserimenti di codice dannoso.

• Autorizzazioni ottimizzate e repository sicuri: ridurre il rischio di accesso non autorizzato, modifiche monitorando le autorizzazioni di base minime e abilitando la protezione push dei segreti per i repository.

• Altre informazioni sulla matrice di minacce DevOps.

Raccomandazioni per la gestione del comportamento devOps

Quando gli scanner DevOps individuano deviazioni dalle procedure consigliate per la sicurezza all'interno di sistemi di gestione del codice sorgente e pipeline di integrazione continua/recapito continuo, Defender per il cloud restituisce raccomandazioni precise e interattive. Questi consigli offrono i vantaggi seguenti:

• Visibilità migliorata: ottenere informazioni dettagliate complete sul comportamento di sicurezza degli ambienti DevOps, garantendo una comprensione ben arrotondata di eventuali vulnerabilità esistenti. Identificare le regole di protezione dei rami mancanti, i rischi di escalation dei privilegi e le connessioni non sicure per evitare attacchi.
• Azione basata sulla priorità: filtrare i risultati in base alla gravità per spendere risorse e sforzi in modo più efficace risolvendo prima le vulnerabilità più critiche.
• Riduzione della superficie di attacco: risolvere i gap di sicurezza evidenziati per ridurre al minimo in modo significativo le superfici di attacco vulnerabili, con conseguente protezione avanzata dalle potenziali minacce.
• Notifiche in tempo reale: possibilità di integrarsi con le automazione del flusso di lavoro per ricevere avvisi immediati quando le configurazioni sicure cambiano, consentendo un'azione di richiesta e garantendo una conformità prolungata ai protocolli di sicurezza.

Passaggi successivi

• Connessione i repository GitHub per Microsoft Defender per il cloud.
• Connessione i repository di Azure DevOps per Microsoft Defender per il cloud.