DevOps 環境のセキュリティ態勢を改善する
ソース コード管理システムや継続的インテグレーション/継続的デリバリー パイプラインに対するサイバー攻撃が増加する中、DevOps 脅威マトリックスで特定された多様な脅威に対して DevOps プラットフォームを保護することは極めて重要です。 このようなサイバー攻撃によって、コード インジェクション、特権エスカレーション、データ流出が可能になり、甚大な被害を引き起こす可能性があります。
Microsoft Defender for Cloud での DevOps 体制管理の特徴は次のとおりです。
- ソフトウェア サプライチェーン ライフサイクル全体のセキュリティ体制に関する分析情報を提供する。
- 詳細な評価のために高度なスキャナーを使用する。
- 組織、パイプライン、リポジトリなどさまざまなリソースに対応する。
- 顧客が提示された推奨事項に対応して行動することで、攻撃面を減少できる。
DevOps スキャナー
調査結果を提供するために、DevOps 体制管理では、DevOps スキャナを使用してセキュリティ構成とアクセス制御に対する確認を行うことによって、ソース コード管理と継続的インテグレーション/継続的デリバリー パイプラインの弱点を特定します。
Azure DevOps スキャナーと GitHub スキャナーは、Microsoft 内で DevOps リソースに関連するリスクを特定するために使用され、攻撃面を減少し、企業の DevOps システムを強化します。
DevOps 環境が接続されると、Defender for Cloud はこれらのスキャナーを自動構成し、次の内容を含む複数の DevOps リソースに対して 24 時間ごとに定期的なスキャンを実施します。
- ビルド
- セキュリティで保護されたファイル
- 変数グループ
- サービス接続
- 組織
- リポジトリ
DevOps 脅威マトリックスのリスク軽減
DevOps 体制管理は、DevOps プラットフォームにおける有害な構成の誤りの検出と修正をサポートします。 これにより、DevOps 脅威マトリックスで定義されたさまざまな脅威に対して強化された、回復性が高くゼロトラストの DevOps 環境を実現できます。 主な体制管理には、次のようなものがあります。
範囲指定されたシークレット アクセス: 各パイプラインがその機能に不可欠なシークレットのみにアクセスできるようにすることで、機密情報の露出を最小限に抑え、不正アクセス、データ漏洩、侵入拡大のリスクを軽減します。
自己ホスト型ランナーと行為のアクセス許可の制限: 自己ホスト型ランナーを避け、パイプラインのアクセス許可の既定値を読み取り専用にすることで、未承認の実行と潜在的なエスカレーションを防ぎます。
強化されたブランチ保護: ブランチ保護ルールを適用し、悪意のあるコードの注入を防止することで、コードの整合性を維持します。
最適化されたアクセス許可とセキュリティで保護されたリポジトリ: 最小限の基本アクセス許可を追跡することで、不正アクセスや変更のリスクを軽減し、リポジトリのシークレット プッシュ保護を有効にします。
DevOps 脅威マトリックスの詳細について説明します。
DevOps 体制管理に関する推奨事項
DevOps スキャナーがソース コード管理システムや継続的インテグレーション/継続的デリバリー パイプライン内のセキュリティ ベスト プラクティスからの逸脱を検出すると、Defender for Cloud は正確で実行可能な推奨事項を出力します。 これらの推奨事項には、次のような利点があります。
- 可視性の向上: DevOps 環境のセキュリティ体制への包括的な分析情報を取得し、既存の脆弱性を包括的に理解できるようにします。 攻撃を防ぐために、ブランチ保護ルールの欠落、特権エスカレーションのリスク、セキュリティで保護されていない接続を特定します。
- 優先度ベースのアクション: 最も重要な脆弱性に最初に対処することで、リソースと労力をより効果的に費やすための重大度ごとに結果をフィルター処理します。
- 攻撃面の減少: 強調されたセキュリティ ギャップに対処し、脆弱な攻撃面を大幅に減少させることで、潜在的な脅威に対する防御を強化します。
- リアルタイム通知: ワークフロー自動化機能と統合することで、セキュリティで保護された構成が変更されたときに即時アラートを受け取ることができるため、迅速な対処が可能になり、セキュリティ プロトコルを持続的に遵守できます。