Beveiligingsbeheer: DevOps-beveiliging
DevOps Security omvat de controles met betrekking tot de beveiligingsengineering en -bewerkingen in de DevOps-processen, met inbegrip van de implementatie van kritieke beveiligingscontroles (zoals statische toepassingsbeveiligingstests, beheer van beveiligingsproblemen) voorafgaand aan de implementatiefase om de beveiliging tijdens het DevOps-proces te garanderen; Het bevat ook algemene onderwerpen, zoals bedreigingsmodellering en beveiliging van softwarelevering.
DS-1: Bedreigingsmodellering uitvoeren
CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
16.10, 16.14 | SA-15 | 6.5, 12.2 |
Beveiligingsprincipe: Voer threat modeling uit om de mogelijke bedreigingen te identificeren en de beperkende besturingselementen op te sommen. Zorg ervoor dat uw threat modeling de volgende doelen heeft:
- Beveilig uw toepassingen en services in de runtimefase van de productie.
- Beveilig de artefacten, de onderliggende CI/CD-pijplijn en andere hulpprogrammaomgevingen die worden gebruikt voor het bouwen, testen en implementeren. De threat modeling moet ten minste de volgende aspecten omvatten:
- Definieer de beveiligingsvereisten van de toepassing. Zorg ervoor dat aan deze vereisten voldoende aandacht wordt besteed in de threat modeling.
- Toepassingsonderdelen, gegevensverbindingen en hun relatie analyseren. Zorg ervoor dat deze analyse ook de upstream- en downstreamverbindingen buiten het toepassingsbereik omvat.
- Vermeld de mogelijke bedreigingen en aanvalsvectoren waaraan uw toepassingsonderdelen, gegevensverbindingen en upstream- en downstreamservices mogelijk worden blootgesteld.
- Identificeer de toepasselijke beveiligingscontroles die kunnen worden gebruikt om de opgesomde bedreigingen te beperken en identificeer eventuele hiaten in de controles (bijvoorbeeld beveiligingsproblemen) waarvoor mogelijk aanvullende behandelplannen nodig zijn.
- Inventariseer en ontwerp de besturingselementen die de geïdentificeerde beveiligingsproblemen kunnen verhelpen.
Azure-richtlijnen: gebruik hulpprogramma's voor bedreigingsmodellering, zoals het Hulpprogramma voor bedreigingsmodel van Microsoft, met de azure-bedreigingsmodelsjabloon ingesloten om uw threat modeling-proces te stimuleren. Gebruik het STRIDE-model om de bedreigingen van zowel interne als externe op te sommen en de toepasselijke besturingselementen te identificeren. Zorg ervoor dat het threat modeling-proces de bedreigingsscenario's in het DevOps-proces omvat, zoals het injecteren van schadelijke code via een opslagplaats voor onveilige artefacten met onjuist geconfigureerd toegangsbeheerbeleid.
Als het gebruik van een hulpprogramma voor bedreigingsmodellering niet van toepassing is, moet u minimaal een bedreigingsmodelleringsproces op basis van een vragenlijst gebruiken om de bedreigingen te identificeren.
Zorg ervoor dat de resultaten van bedreigingsmodellering of -analyse worden vastgelegd en bijgewerkt wanneer er een grote wijziging is die invloed heeft op de beveiliging in uw toepassing of in het bedreigingslandschap.
Azure-implementatie en aanvullende context:
- Overzicht van threat modeling
- Bedreigingsanalyse van toepassingen (inclusief methode op basis van STRIDE + vragenlijst)
- Azure-sjabloon - Microsoft Security Threat Model-stencil
AWS-richtlijnen: gebruik hulpprogramma's voor bedreigingsmodellering, zoals het Hulpprogramma voor bedreigingsmodellering van Microsoft, met de Azure-bedreigingsmodelsjabloon ingesloten om uw threat modeling-proces te stimuleren. Gebruik het STRIDE-model om de bedreigingen van zowel interne als externe op te sommen en de toepasselijke besturingselementen te identificeren. Zorg ervoor dat het threat modeling-proces de bedreigingsscenario's in het DevOps-proces omvat, zoals het injecteren van schadelijke code via een opslagplaats voor onveilige artefacten met onjuist geconfigureerd toegangsbeheerbeleid.
Als het gebruik van een hulpprogramma voor bedreigingsmodellering niet van toepassing is, moet u minimaal een bedreigingsmodelleringsproces op basis van een vragenlijst gebruiken om de bedreigingen te identificeren.
Zorg ervoor dat de resultaten van bedreigingsmodellering of -analyse worden vastgelegd en bijgewerkt wanneer er een grote wijziging is die invloed heeft op de beveiliging in uw toepassing of in het bedreigingslandschap.
AWS-implementatie en aanvullende context:
- Microsoft Threat Modeling Tool
- Bedreigingsmodellering voor AWS benaderen
- Bedreigingsanalyse van toepassingen (inclusief methode op basis van STRIDE + vragenlijst)
GCP-richtlijnen: gebruik hulpprogramma's voor bedreigingsmodellering, zoals het Hulpprogramma voor bedreigingsmodellering van Microsoft, met de Azure-bedreigingsmodelsjabloon ingesloten om uw threat modeling-proces te stimuleren. Gebruik het STRIDE-model om de bedreigingen van zowel interne als externe op te sommen en de toepasselijke besturingselementen te identificeren. Zorg ervoor dat het threat modeling-proces de bedreigingsscenario's in het DevOps-proces omvat, zoals het injecteren van schadelijke code via een opslagplaats voor onveilige artefacten met onjuist geconfigureerd toegangsbeheerbeleid.
Als het gebruik van een hulpprogramma voor bedreigingsmodellering niet van toepassing is, moet u minimaal een bedreigingsmodelleringsproces op basis van een vragenlijst gebruiken om de bedreigingen te identificeren.
Zorg ervoor dat de resultaten van bedreigingsmodellering of -analyse worden vastgelegd en bijgewerkt wanneer er een grote wijziging is die invloed heeft op de beveiliging in uw toepassing of in het bedreigingslandschap.
GCP-implementatie en aanvullende context:
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
DS-2: Beveiliging van softwareleveringsketen garanderen
CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
16.4, 16.6, 16.11 | SA-12, SA-15 | 6.3, 6.5 |
Beveiligingsprincipe: Zorg ervoor dat de SDLC (Software Development Lifecycle) of het proces van uw bedrijf een set beveiligingscontroles bevat om de interne softwareonderdelen en softwareonderdelen van derden te beheren (inclusief zowel bedrijfseigen als opensource-software) waar uw toepassingen afhankelijkheden hebben. Definieer beperkingscriteria om te voorkomen dat kwetsbare of schadelijke onderdelen worden geïntegreerd en geïmplementeerd in de omgeving.
De beveiligingsmaatregelen voor de toeleveringsketen van software moeten ten minste de volgende aspecten omvatten:
- Beheer een Software Bill of Materials (SBOM) op de juiste manier door de upstream-afhankelijkheden te identificeren die vereist zijn voor de fase service-/resourceontwikkeling, build, integratie en implementatie.
- Inventariseer en volg de interne en externe softwareonderdelen op bekende beveiligingsproblemen wanneer er een oplossing beschikbaar is in de upstream.
- Beoordeel de beveiligingsproblemen en malware in de softwareonderdelen met behulp van statische en dynamische toepassingstests op onbekende beveiligingsproblemen.
- Zorg ervoor dat de beveiligingsproblemen en malware worden verzacht met behulp van de juiste aanpak. Dit kan lokale of upstream-oplossing voor broncode zijn, uitsluiting van functies en/of het toepassen van compenserende besturingselementen als de directe beperking niet beschikbaar is.
Als onderdelen van derden worden gebruikt in uw productieomgeving, hebt u mogelijk beperkte zichtbaarheid van de beveiligingspostuur. Overweeg aanvullende besturingselementen, zoals toegangsbeheer, netwerkisolatie en eindpuntbeveiliging, om de impact te minimaliseren als er een schadelijke activiteit of beveiligingsprobleem is gekoppeld aan het onderdeel.
Azure-richtlijnen: voor het GitHub-platform zorgt u voor de beveiliging van de softwareleveringsketen met behulp van de volgende mogelijkheden of hulpprogramma's van GitHub Advanced Security of de systeemeigen functie van GitHub:- Gebruik Dependency Graph om alle afhankelijkheden en gerelateerde beveiligingsproblemen van uw project te scannen, inventariseren en identificeren via de Adviesdatabase.
- Gebruik Dependabot om ervoor te zorgen dat de kwetsbare afhankelijkheid wordt bijgehouden en hersteld, en zorg ervoor dat uw opslagplaats automatisch op de hoogte blijft van de nieuwste versies van de pakketten en toepassingen waarvan deze afhankelijk is.
- Gebruik de systeemeigen codescanfunctie van GitHub om de broncode te scannen wanneer de code extern wordt opgehaald.
- Gebruik Microsoft Defender for Cloud om evaluatie van beveiligingsproblemen voor uw containerinstallatiekopie te integreren in de CI/CD-werkstroom. Voor Azure DevOps kunt u extensies van derden gebruiken om vergelijkbare besturingselementen te implementeren voor het inventariseren, analyseren en herstellen van de softwareonderdelen van derden en hun beveiligingsproblemen.
Azure-implementatie en aanvullende context:
- GitHub Dependency Graph
- GitHub Dependabot
- Kwetsbare containerinstallatiekopieën in uw CI/CD-werkstromen identificeren
- Azure DevOps Marketplace : beveiliging van de toeleveringsketen
AWS-richtlijnen: als u AWS CI/CD-platforms zoals CodeCommit of CodePipeline gebruikt, zorgt u voor de beveiliging van de softwareleveringsketen met behulp van CodeGuru Reviewer om de broncode (voor Java en Python) te scannen via de CI/CD-werkstromen. Platforms zoals CodeCommit en CodePipeline ondersteunen ook extensies van derden om vergelijkbare controles te implementeren voor het inventariseren, analyseren en herstellen van de softwareonderdelen van derden en hun beveiligingsproblemen.
Als u uw broncode beheert via het GitHub-platform, zorgt u voor de beveiliging van de softwareleveringsketen met behulp van de volgende mogelijkheden of hulpprogramma's van GitHub Advanced Security of de systeemeigen functie van GitHub:
- Gebruik Dependency Graph om alle afhankelijkheden en gerelateerde beveiligingsproblemen van uw project te scannen, inventariseren en identificeren via de adviesdatabase.
- Gebruik Dependabot om ervoor te zorgen dat de kwetsbare afhankelijkheid wordt bijgehouden en hersteld, en zorg ervoor dat uw opslagplaats automatisch op de hoogte blijft van de nieuwste versies van de pakketten en toepassingen waarvan deze afhankelijk is.
- Gebruik de systeemeigen codescanfunctie van GitHub om de broncode te scannen wanneer de code extern wordt opgehaald.
- Gebruik indien van toepassing Microsoft Defender for Cloud om evaluatie van beveiligingsproblemen voor uw containerinstallatiekopie te integreren in de CI/CD-werkstroom.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: Gebruik Software Delivery Shield om end-to-end beveiligingsanalyses voor de toeleveringsketen van software uit te voeren. Dit omvat de Assured OSS-service (Open Source Software) voor toegang en omvat de OSS-pakketten die zijn geverifieerd en getest door Google, evenals gevalideerde Java- en Python-pakketten die zijn gebouwd met behulp van de beveiligde pijplijnen van Google. Deze pakketten worden regelmatig gescand, geanalyseerd en getest op beveiligingsproblemen. Dergelijke mogelijkheden kunnen worden geïntegreerd in Google Cloud Build, Cloud Deploy, Artifact Registry en Artifact Analysis als onderdeel van de CI/CD-werkstromen.
Als u uw broncode beheert via het GitHub-platform, zorgt u voor de beveiliging van de softwareleveringsketen met behulp van de volgende mogelijkheden of hulpprogramma's van GitHub Advanced Security of de systeemeigen functie van GitHub:
- Gebruik Dependency Graph om alle afhankelijkheden en gerelateerde beveiligingsproblemen van uw project te scannen, inventariseren en identificeren via de adviesdatabase.
- Gebruik Dependabot om ervoor te zorgen dat de kwetsbare afhankelijkheid wordt bijgehouden en hersteld, en zorg ervoor dat uw opslagplaats automatisch op de hoogte blijft van de nieuwste versies van de pakketten en toepassingen waarvan deze afhankelijk is.
- Gebruik de systeemeigen codescanfunctie van GitHub om de broncode te scannen wanneer de code extern wordt opgehaald.
- Gebruik indien van toepassing Microsoft Defender for Cloud om evaluatie van beveiligingsproblemen voor uw containerinstallatiekopie te integreren in de CI/CD-werkstroom.
GCP-implementatie en aanvullende context:
- Beveiliging van de toeleveringsketen van Google Cloud Software
- Software Delivery Shield
- Beveiliging van softwareleveringsketen
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
DS-3: Beveiligde DevOps-infrastructuur
CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
16.7 | CM-2, CM-6, AC-2, AC-3, AC-6 | 2.2, 6.3, 7.1 |
Beveiligingsprincipe: Zorg ervoor dat de DevOps-infrastructuur en -pijplijn de best practices voor beveiliging volgen in omgevingen, waaronder uw build-, test- en productiefasen. Dit omvat doorgaans de beveiligingscontroles voor het volgende bereik:
- Artefactopslagplaatsen die broncode, ingebouwde pakketten en installatiekopieën, projectartefacten en zakelijke gegevens opslaan.
- Servers, services en hulpprogramma's die als host fungeren voor CI/CD-pijplijnen.
- Configuratie van CI/CD-pijplijn.
Azure-richtlijnen: als onderdeel van het toepassen van de Microsoft Cloud Security Benchmark op de beveiligingsbesturingselementen van uw DevOps-infrastructuur, geeft u prioriteit aan de volgende besturingselementen:
- Beveilig artefacten en de onderliggende omgeving om ervoor te zorgen dat de CI/CD-pijplijnen geen manieren worden om schadelijke code in te voegen. Controleer bijvoorbeeld uw CI/CD-pijplijn om eventuele onjuiste configuraties te identificeren in kerngebieden van Azure DevOps, zoals organisatie, projecten, gebruikers, pijplijnen (build & release), Connections en buildagent om onjuiste configuraties te identificeren, zoals open toegang, zwakke verificatie, onveilige verbindingsinstellingen, enzovoort. Gebruik voor GitHub vergelijkbare besturingselementen om de machtigingsniveaus van de organisatie te beveiligen.
- Zorg ervoor dat uw DevOps-infrastructuur consistent wordt geïmplementeerd in ontwikkelingsprojecten. Houd de naleving van uw DevOps-infrastructuur op schaal bij met behulp van Microsoft Defender for Cloud (zoals compliancedashboard, Azure Policy, cloudpostuurbeheer) of uw eigen hulpprogramma's voor nalevingsbewaking.
- Configureer identiteits-/rolmachtigingen en rechtenbeleid in Azure AD, systeemeigen services en CI/CD-hulpprogramma's in uw pijplijn om ervoor te zorgen dat wijzigingen in de pijplijnen worden geautoriseerd.
- Vermijd permanente 'staande' bevoegde toegang tot de menselijke accounts, zoals ontwikkelaars of testers, met behulp van functies zoals door Azure beheerde identificaties en Just-In-Time-toegang.
- Verwijder sleutels, referenties en geheimen uit code en scripts die worden gebruikt in CI/CD-werkstroomtaken en bewaar deze in een sleutelarchief of Azure Key Vault.
- Als u zelf-hostende build-/implementatieagents uitvoert, volgt u Microsoft Cloud Security Benchmark-besturingselementen, waaronder netwerkbeveiliging, postuur- en beveiligingsbeheer en eindpuntbeveiliging om uw omgeving te beveiligen.
Opmerking: raadpleeg de secties Logboekregistratie en detectie van bedreigingen, DS-7 en Postuur en Beheer van beveiligingsproblemen om services zoals Azure Monitor en Microsoft Sentinel te gebruiken om governance, naleving, operationele controle en risicocontrole voor uw DevOps-infrastructuur in te schakelen.
Azure-implementatie en aanvullende context:
- Overzicht van DevSecOps-besturingselementen : beveiligde pijplijnen
- Uw GitHub-organisatie beveiligen
- Azure DevOps-pijplijn : beveiligingsoverwegingen voor door Microsoft gehoste agent
AWS-richtlijnen: als onderdeel van het toepassen van de Microsoft Cloud Security Benchmark op de beveiligingscontroles van uw DevOps-infrastructuur, zoals GitHub, CodeCommit, CodeArtifact, CodePipeline, CodeBuild en CodeDeploy, geeft u prioriteit aan de volgende besturingselementen:
- Raadpleeg deze richtlijnen en de beveiligingspijler AWS Well-architected Framework om uw DevOps-omgevingen in AWS te beveiligen.
- Beveilig artefacten en de onderliggende ondersteunende infrastructuur om ervoor te zorgen dat de CI/CD-pijplijnen geen manieren worden om schadelijke code in te voegen.
- Zorg ervoor dat uw DevOps-infrastructuur consistent wordt geïmplementeerd en ondersteund in ontwikkelingsprojecten. Houd de naleving van uw DevOps-infrastructuur op schaal bij met behulp van AWS-configuratie of uw eigen oplossing voor nalevingscontrole.
- Gebruik CodeArtifact om softwarepakketten die worden gebruikt voor toepassingsontwikkeling veilig op te slaan en te delen. U kunt CodeArtifact gebruiken met populaire buildhulpprogramma's en pakketbeheerders zoals Maven, Gradle, npm, yarn, pip en tover.
- Configureer identiteits-/rolmachtigingen en machtigingsbeleid in AWS IAM, systeemeigen services en CI/CD-hulpprogramma's in uw pijplijn om ervoor te zorgen dat wijzigingen in de pijplijnen worden geautoriseerd.
- Verwijder sleutels, referenties en geheimen uit code en scripts die worden gebruikt in CI/CD-werkstroomtaken en bewaar ze in het sleutelarchief of AWS KMS
- Als u zelf-hostende build-/implementatieagents uitvoert, volgt u Microsoft Cloud Security Benchmark-besturingselementen, waaronder netwerkbeveiliging, postuur- en beveiligingsbeheer en eindpuntbeveiliging om uw omgeving te beveiligen. Gebruik AWS Inspector voor het scannen van beveiligingsproblemen op beveiligingsproblemen in EC2 of een containeromgeving als de build-omgeving.
Opmerking: raadpleeg de secties Logboekregistratie en bedreigingsdetectie, DS-7 en houding en beveiligingsbeheer om services zoals AWS CloudTrail, CloudWatch en Microsoft Sentinel te gebruiken voor governance, naleving, operationele controle en risicocontrole voor uw DevOps-infrastructuur.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: als onderdeel van het toepassen van de Microsoft Cloud Security Benchmark op de beveiligingscontroles van uw DevOps-infrastructuur, moet u de volgende besturingselementen prioriteren:
- Beveilig artefacten en de onderliggende omgeving om ervoor te zorgen dat de CI/CD-pijplijnen geen manieren worden om schadelijke code in te voegen. Controleer bijvoorbeeld uw CI/CD-pijplijn om eventuele onjuiste configuraties te identificeren in services zoals Google Cloud Build, Cloud Deploy, Artifact Registry, Connections en Build Agent om onjuiste configuraties te identificeren, zoals open toegang, zwakke verificatie, onveilige installatie van verbindingen, enzovoort. Gebruik voor GitHub vergelijkbare besturingselementen om de machtigingsniveaus van de organisatie te beveiligen.
- Zorg ervoor dat uw DevOps-infrastructuur consistent wordt geïmplementeerd in ontwikkelingsprojecten. Houd de naleving van uw DevOps-infrastructuur op schaal bij met behulp van google Cloud Security Command Center (zoals compliancedashboard, organisatiebeleid, record van afzonderlijke bedreigingen en het identificeren van onjuiste configuraties) of uw eigen hulpprogramma's voor nalevingsbewaking.
- Configureer identiteits-/rolmachtigingen en -rechtenbeleid in cloudidentiteit/AD-systeemeigen services en CI/CD-hulpprogramma's in uw pijplijn om ervoor te zorgen dat wijzigingen in de pijplijnen worden geautoriseerd.
- Vermijd het bieden van permanente 'staande' bevoegde toegang tot de menselijke accounts, zoals ontwikkelaars of testers, met behulp van functies zoals door Google beheerde identificaties.
- Verwijder sleutels, referenties en geheimen uit code en scripts die worden gebruikt in CI/CD-werkstroomtaken en bewaar ze in een sleutelarchief of Google Secret Manager.
- Als u zelf-hostende build-/implementatieagents uitvoert, volgt u Microsoft Cloud Security Benchmark-besturingselementen, waaronder netwerkbeveiliging, postuur- en beveiligingsbeheer en eindpuntbeveiliging om uw omgeving te beveiligen.
Opmerking: Raadpleeg de secties Logboekregistratie en bedreigingsdetectie, DS-7 en Postuur en Beheer van beveiligingsproblemen om services zoals Azure Monitor en Microsoft Sentinel of de operations suite van Google Cloud en Chronicle SIEM en SOAR te gebruiken om governance, naleving, operationele controle en risicocontrole voor uw DevOps-infrastructuur in te schakelen.
GCP-implementatie en aanvullende context:
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
- Toepassingsbeveiliging en DevSecOps
- Postuurbeheer
- Infrastructuur- en eindpuntbeveiliging
- Beveiligingsarchitectuur
DS-4: Statische toepassingsbeveiligingstests integreren in DevOps-pijplijn
CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
16.12 | SA-11 | 6.3, 6.5 |
Beveiligingsprincipe: Zorg ervoor dat statische toepassingsbeveiligingstests (SAST) fuzzy testen, interactief testen, testen van mobiele toepassingen, deel uitmaken van de besturingselementen voor beperking in de CI/CD-werkstroom. De beperking kan worden ingesteld op basis van de testresultaten om te voorkomen dat kwetsbare pakketten worden doorgevoerd in de opslagplaats, inbouwen in de pakketten of implementeren in de productie.
Azure-richtlijnen: integreer SAST in uw pijplijn (bijvoorbeeld in uw infrastructuur als codesjabloon), zodat de broncode automatisch kan worden gescand in uw CI/CD-werkstroom. Azure DevOps Pipeline of GitHub kan de onderstaande hulpprogramma's en SAST-hulpprogramma's van derden integreren in de werkstroom.
- GitHub CodeQL voor broncodeanalyse.
- Binaire analyse van Microsoft BinSkim voor Windows en *nix binaire analyse.
- Azure DevOps Credential Scanner (Microsoft Security DevOps-extensie) en het systeemeigen scannen van geheimen in GitHub voor referentiescans in de broncode.
Azure-implementatie en aanvullende context:
AWS-richtlijnen: Integreer SAST in uw pijplijn, zodat de broncode automatisch kan worden gescand in uw CI/CD-werkstroom.
Als u AWS CodeCommit gebruikt, gebruikt u AWS CodeGuru Reviewer voor python- en Java-broncodeanalyse. AWS Codepipeline kan ook ondersteuning bieden voor integratie van SAST-hulpprogramma's van derden in de pijplijn voor code-implementatie.
Als u GitHub gebruikt, kunnen de onderstaande hulpprogramma's en SAST-hulpprogramma's van derden worden geïntegreerd in de werkstroom.
- GitHub CodeQL voor broncodeanalyse.
- Binaire analyse van Microsoft BinSkim voor Windows en *nix binaire analyse.
- Systeemeigen GitHub-geheimscans voor referentiescan in de broncode.
- AWS CodeGuru Reviewer voor python- en Java-broncodeanalyse.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: integreer SAST (zoals Software Delivery Shield, Artifact Analysis) in uw pijplijn (bijvoorbeeld in uw infrastructuur als codesjabloon), zodat de broncode automatisch kan worden gescand in uw CI/CD-werkstroom.
Services zoals Cloud Build, Cloud Deploy en Artifact Registry ondersteunen de integratie met Software Delivery Shield en Artifact Analysis, waarmee broncode en andere artefacten in de CI/CD-werkstroom kunnen worden gescand.
GCP-implementatie en aanvullende context:
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
DS-5: Dynamische toepassingsbeveiligingstests integreren in DevOps-pijplijn
CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
16.12 | SA-11 | 6.3, 6.5 |
Beveiligingsprincipe: Zorg ervoor dat dynamische toepassingsbeveiligingstests (DAST) deel uitmaken van de besturingselementen voor beperking in de CI/CD-werkstroom. De beperking kan worden ingesteld op basis van de testresultaten om te voorkomen dat beveiligingsproblemen in de pakketten worden ingebouwd of in de productie worden geïmplementeerd.
Azure-richtlijnen: integreer DAST in uw pijplijn, zodat de runtimetoepassing automatisch kan worden getest in uw CI/CD-werkstroom die is ingesteld in Azure DevOps of GitHub. De geautomatiseerde penetratietests (met handmatig geassisteerde validatie) moeten ook deel uitmaken van de DAST.
Azure DevOps Pipeline of GitHub ondersteunt de integratie van DAST-hulpprogramma's van derden in de CI/CD-werkstroom.
Azure-implementatie en aanvullende context:
AWS-richtlijnen: integreer DAST in uw pijplijn, zodat de runtimetoepassing automatisch kan worden getest in uw CI/CD-werkstroom die is ingesteld in AWS CodePipeline of GitHub. De geautomatiseerde penetratietests (met handmatig geassisteerde validatie) moeten ook deel uitmaken van de DAST.
AWS CodePipeline of GitHub ondersteunt de integratie van DAST-hulpprogramma's van derden in de CI/CD-werkstroom.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: integreer DAST (zoals Cloud Web Security Scanner) in uw pijplijn, zodat de runtimetoepassing automatisch kan worden getest in uw CI/CD-werkstroom die is ingesteld in de services zoals Google Cloud Build, Cloud Deploy of GitHub. Cloud Web Security Scanner kan worden gebruikt om beveiligingsproblemen te identificeren in uw workloadwebtoepassingen die worden gehost op App Engine, Google Kubernetes Engine (GKE) en Compute Engine. De geautomatiseerde penetratietests (met handmatig geassisteerde validatie) moeten ook deel uitmaken van de DAST.
Google Cloud Build, Google Cloud Deploy, Artifact Registry en GitHub ondersteunen ook de integratie van DAST-hulpprogramma's van derden in de CI/CD-werkstroom.
GCP-implementatie en aanvullende context:
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
DS-6: Beveiliging van workload afdwingen tijdens de DevOps-levenscyclus
CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
7.5, 7.6, 7.7, 16.1, 16.7 | CM-2, CM-6, AC-2, AC-3, AC-6 | 6.1, 6.2, 6.3 |
Beveiligingsprincipe: Zorg ervoor dat de workload gedurende de hele levenscyclus wordt beveiligd in de ontwikkeling-, test- en implementatiefase. Gebruik Microsoft Cloud Security Benchmark om de besturingselementen (zoals netwerkbeveiliging, identiteitsbeheer, bevoegde toegang, enzovoort) te evalueren die standaard als kader kunnen worden ingesteld of naar links kunnen worden verplaatst vóór de implementatiefase. Zorg er met name voor dat de volgende besturingselementen aanwezig zijn in uw DevOps-proces:- Automatiseer de implementatie met behulp van Azure of hulpprogramma's van derden in de CI/CD-werkstroom, infrastructuurbeheer (infrastructuur als code) en testen om menselijke fouten en aanvallen te verminderen.
- Zorg ervoor dat VM's, containerinstallatiekopieën en andere artefacten zijn beveiligd tegen schadelijke manipulatie.
- Scan de workloadartefacten (met andere woorden containerinstallatiekopieën, afhankelijkheden, SAST- en DAST-scans) voorafgaand aan de implementatie in de CI/CD-werkstroom
- Implementeer de mogelijkheid voor evaluatie van beveiligingsproblemen en detectie van bedreigingen in de productieomgeving en gebruik deze mogelijkheden continu in de runtime.
Azure-richtlijnen: richtlijnen voor Azure-VM's:
- Gebruik Azure Shared Image Gallery om de toegang tot uw installatiekopieën te delen en te beheren door verschillende gebruikers, service-principals of AD-groepen binnen uw organisatie. Gebruik op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot uw aangepaste installatiekopieën.
- Definieer de beveiligde configuratiebasislijnen voor de VM's om onnodige referenties, machtigingen en pakketten te elimineren. Implementeer en dwing configuratiebasislijnen af via aangepaste installatiekopieën, Azure Resource Manager-sjablonen en/of Azure Policy gastconfiguratie.
Richtlijnen voor Azure-containerservices:
- Gebruik Azure Container Registry (ACR) om uw persoonlijke containerregister te maken waar gedetailleerde toegang kan worden beperkt via Azure RBAC, zodat alleen geautoriseerde services en accounts toegang hebben tot de containers in het privéregister.
- Gebruik Defender for Containers voor de evaluatie van beveiligingsproblemen van de installatiekopieën in uw persoonlijke Azure Container Registry. Daarnaast kunt u Microsoft Defender for Cloud gebruiken om de scans van containerinstallatiekopieën te integreren als onderdeel van uw CI/CD-werkstromen.
Voor serverloze Azure-services moet u vergelijkbare besturingselementen gebruiken om ervoor te zorgen dat beveiligingscontroles 'naar links' worden verplaatst naar de fase voorafgaand aan de implementatie.
Azure-implementatie en aanvullende context:
- overzicht van Shared Image Gallery
- Aanbevelingen voor het implementeren van Microsoft Defender voor de evaluatie van beveiligingsproblemen in de cloud
- Beveiligingsoverwegingen voor Azure Container
- Azure Defender voor containerregisters
AWS-richtlijnen: gebruik Amazon Elastic Container Registry om de toegang tot uw installatiekopieën te delen en te beheren door verschillende gebruikers en rollen binnen uw organisatie. En gebruik AWS IAM om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot uw aangepaste installatiekopieën.
Definieer de veilige configuratiebasislijnen voor de EC2 AMI-installatiekopieën om onnodige referenties, machtigingen en pakketten te elimineren. Implementeer en dwing configuratiebasislijnen af via aangepaste AMI-installatiekopieën, CloudFormation-sjablonen en/of AWS-configuratieregels.
Gebruik AWS Inspector voor het scannen van beveiligingsproblemen van VM's en containeromgevingen, om ze te beveiligen tegen schadelijke manipulatie.
Voor SERVERloze AWS-services gebruikt u AWS CodePipeline in combinatie met AWS AppConfig om vergelijkbare besturingselementen te gebruiken om ervoor te zorgen dat beveiligingscontroles naar links worden verplaatst naar de fase voorafgaand aan de implementatie.
AWS-implementatie en aanvullende context:
GCP-richtlijnen: Google Cloud bevat besturingselementen om uw rekenresources en GKE-containerresources (Google Kubernetes Engine) te beveiligen. Google bevat afgeschermde VM's, waardoor de VM-exemplaren worden beveiligd. Het biedt opstartbeveiliging, bewaakt de integriteit en maakt gebruik van de Virtual Trusted Platform Module (vTPM).
Gebruik Google Cloud Artifact Analysis om beveiligingsproblemen in container- of besturingssysteeminstallatiekopieën en andere soorten artefacten op aanvraag of automatisch in uw pijplijnen te scannen. Gebruik Detectie van containerdreigingen om continu de vermelde installatiekopieën van Container-Optimized besturingssysteemknooppunten te bewaken. De service evalueert alle wijzigingen en externe toegangspogingen om runtime-aanvallen bijna in realtime te detecteren.
Gebruik Artefactregister om beveiligde opslag van privé-buildartefacten in te stellen om controle te houden over wie toegang heeft tot artefacten met registereigen IAM-rollen en -machtigingen, en om consistente uptime te krijgen in de veilige en betrouwbare infrastructuur van Google.
Voor serverloze GCP-services moet u vergelijkbare besturingselementen gebruiken om ervoor te zorgen dat beveiligingscontroles 'naar links' worden verplaatst naar de fase voorafgaand aan de implementatie.
GCP-implementatie en aanvullende context:
Belanghebbenden bij de beveiliging van klanten (meer informatie)::
DS-7: Logboekregistratie en bewaking inschakelen in DevOps
CIS-besturingselementen v8-id('s) | NIST SP 800-53 r4 ID('s) | PCI-DSS-id('s) v3.2.1 |
---|---|---|
8.2, 8.5, 8.9, 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.1, 10.2, 10.3, 10.6 |
Beveiligingsprincipe: Zorg ervoor dat uw bereik voor logboekregistratie en bewaking niet-productieomgevingen en CI/CD-werkstroomelementen bevat die worden gebruikt in DevOps (en andere ontwikkelingsprocessen). De beveiligingsproblemen en bedreigingen die gericht zijn op deze omgevingen, kunnen aanzienlijke risico's met zich meebrengen voor uw productieomgeving als ze niet goed worden bewaakt. De gebeurtenissen van de CI/CD-build-, test- en implementatiewerkstroom moeten ook worden bewaakt om eventuele afwijkingen in de CI/CD-werkstroomtaken te identificeren.
Azure-richtlijnen: de mogelijkheden voor auditlogboekregistratie inschakelen en configureren in niet-productie- en CI/CD-hulpprogrammaomgevingen (zoals Azure DevOps en GitHub) die tijdens het DevOps-proces worden gebruikt.
De gebeurtenissen die zijn gegenereerd op basis van Azure DevOps en de GitHub CI/CD-werkstroom, inclusief de build-, test- en implementatietaken, moeten ook worden bewaakt om afwijkende resultaten te identificeren.
Neem de bovenstaande logboeken en gebeurtenissen op in Microsoft Sentinel of andere SIEM-hulpprogramma's via een logboekstroom of API om ervoor te zorgen dat de beveiligingsincidenten correct worden bewaakt en gerangschikt voor verwerking.
Azure-implementatie en aanvullende context:
AWS-richtlijnen: AWS CloudTrail inschakelen en configureren voor mogelijkheden voor auditlogboekregistratie in niet-productie- en CI/CD-toolingomgevingen (zoals AWS CodePipeline, AWS CodeBuild, AWS CodeDeploy, AWS CodeStar) die tijdens het DevOps-proces worden gebruikt.
De gebeurtenissen die worden gegenereerd uit de AWS CI/CD-omgevingen (zoals AWS CodePipeline, AWS CodeBuild, AWS CodeDeploy, AWS CodeStar) en de GitHub CI/CD-werkstroom, inclusief de build-, test- en implementatietaken, moeten ook worden bewaakt om afwijkende resultaten te identificeren.
Neem de bovenstaande logboeken en gebeurtenissen op in AWS CloudWatch, Microsoft Sentinel of andere SIEM-hulpprogramma's via een logboekstroom of API om ervoor te zorgen dat de beveiligingsincidenten correct worden bewaakt en gerangschikt voor verwerking.
AWS-implementatie en aanvullende context:
- Verbinding maken tussen Microsoft Sentinel en Amazon Web Services om AWS-servicelogboekgegevens op te nemen
- GitHub-logboekregistratie
GCP-richtlijnen: schakel en configureer de mogelijkheden voor auditlogboekregistratie in niet-productie- en CI/CD-hulpprogrammaomgevingen voor producten zoals Cloud Build, Google Cloud Deploy, Artifact Registry en GitHub, die tijdens het DevOps-proces kunnen worden gebruikt.
De gebeurtenissen die worden gegenereerd uit de GCP CI/CD-omgevingen (zoals Cloud Build, Google Cloud Deploy, Artifact Registry) en de GitHub CI/CD-werkstroom, inclusief de build-, test- en implementatietaken, moeten ook worden bewaakt om afwijkende resultaten te identificeren.
Neem de bovenstaande logboeken en gebeurtenissen op in Microsoft Sentinel, Google Cloud Security Command Center, Chronicle of andere SIEM-hulpprogramma's via een logboekstroom of API om ervoor te zorgen dat de beveiligingsincidenten correct worden bewaakt en gerangschikt voor verwerking.
GCP-implementatie en aanvullende context:
- Aanbevolen producten voor CI/CD
- Inleiding tot de operations suite van Google Cloud
- Aanbevolen procedures voor cloudlogboekregistratie
- Google Cloud-gegevens opnemen in Chronicle
Belanghebbenden bij de beveiliging van klanten (meer informatie)::