Beveiligingspostuur voor DevOps-omgeving verbeteren

Met een toename van cyberaanvallen op broncodebeheersystemen en continue integratie/continue leveringspijplijnen, is het beveiligen van DevOps-platforms tegen het diverse aantal bedreigingen dat is geïdentificeerd in de DevOps Threat Matrix cruciaal. Dergelijke cyberaanvallen kunnen code-injectie, escalatie van bevoegdheden en gegevensexfiltratie mogelijk maken, wat kan leiden tot een grote impact.

DevOps-postuurbeheer is een functie in Microsoft Defender voor Cloud die:

• Biedt inzicht in de beveiligingspostuur van de volledige levenscyclus van de software-toeleveringsketen.
• Maakt gebruik van geavanceerde scanners voor diepgaande evaluaties.
• Behandelt verschillende resources, van organisaties, pijplijnen en opslagplaatsen.
• Hiermee kunnen klanten hun kwetsbaarheid voor aanvallen verminderen door de verstrekte aanbevelingen bloot te leggen en erop te reageren.

DevOps-scanners

DevOps-houdingsbeheer maakt gebruik van DevOps-scanners om zwakke plekken in broncodebeheer en continue integratie/continue leveringspijplijnen te identificeren door controles uit te voeren op basis van de beveiligingsconfiguraties en toegangsbeheer.

Azure DevOps- en GitHub-scanners worden intern in Microsoft gebruikt om risico's te identificeren die zijn gekoppeld aan DevOps-resources, waardoor de kwetsbaarheid voor aanvallen wordt verminderd en bedrijfs DevOps-systemen worden versterkt.

Zodra een DevOps-omgeving is verbonden, Defender voor Cloud deze scanners automatisch configureert om elke 24 uur terugkerende scans uit te voeren op meerdere DevOps-resources, waaronder:

• Builds
• Beveiligde bestanden
• Variabelegroepen
• Serviceverbindingen
• Organisaties
• Opslagplaatsen

Risicobeperking devOps-bedreigingsmatrix

DevOps-houdingsbeheer helpt organisaties bij het detecteren en herstellen van schadelijke onjuiste configuraties in het DevOps-platform. Dit leidt tot een tolerante DevOps-omgeving met nul vertrouwen, die wordt versterkt tegen een reeks bedreigingen die zijn gedefinieerd in de DevOps-bedreigingsmatrix. De primaire besturingselementen voor postuurbeheer zijn onder andere:

• Geheime toegang binnen het bereik: minimaliseer de blootstelling van gevoelige informatie en verminder het risico op onbevoegde toegang, gegevenslekken en zijdelingse verplaatsingen door ervoor te zorgen dat elke pijplijn alleen toegang heeft tot de geheimen die essentieel zijn voor de functie ervan.

• Beperking van zelf-hostende runners en hoge machtigingen: voorkom niet-geautoriseerde uitvoeringen en mogelijke escalaties door zelf-hostende runners te voorkomen en ervoor te zorgen dat pijplijnmachtigingen standaard alleen-lezen zijn.

• Verbeterde vertakkingsbeveiliging: behoud de integriteit van de code door vertakkingsbeveiligingsregels af te dwingen en schadelijke code-injecties te voorkomen.

• Geoptimaliseerde machtigingen en beveiligde opslagplaatsen: verminder het risico op onbevoegde toegang, wijzigingen door minimale basismachtigingen bij te houden en het inschakelen van geheime pushbeveiliging voor opslagplaatsen.

• Meer informatie over de DevOps-bedreigingsmatrix.

Aanbevelingen voor Het beheer van DevOps-houding

Wanneer de DevOps-scanners afwijkingen ontdekken van aanbevolen beveiligingsprocedures binnen broncodebeheersystemen en continue integratie/continue leveringspijplijnen, levert Defender voor Cloud nauwkeurige en bruikbare aanbevelingen. Deze aanbevelingen hebben de volgende voordelen:

• Verbeterde zichtbaarheid: krijg uitgebreide inzichten in de beveiligingspostuur van DevOps-omgevingen, zodat u een goed afgerond inzicht krijgt in eventuele bestaande beveiligingsproblemen. Identificeer ontbrekende vertakkingsbeveiligingsregels, risico's voor escalatie van bevoegdheden en onveilige verbindingen om aanvallen te voorkomen.
• Actie op basis van prioriteit: filter resultaten op ernst om resources en inspanningen effectiever uit te geven door eerst de meest kritieke beveiligingsproblemen aan te pakken.
• Kwetsbaarheid voor aanvallen verminderen: los gemarkeerde beveiligingsproblemen op om kwetsbare kwetsbaarheid voor aanvallen aanzienlijk te minimaliseren, waardoor beveiliging tegen potentiële bedreigingen wordt beschermd.
• Realtime meldingen: de mogelijkheid om te integreren met werkstroomautomatiseringen om onmiddellijke waarschuwingen te ontvangen wanneer beveiligde configuraties veranderen, zodat u snel actie kunt ondernemen en ervoor kunt zorgen dat beveiligingsprotocollen voortdurend worden nageleefd.

Volgende stappen

• Verbinding maken uw GitHub-opslagplaatsen naar Microsoft Defender voor Cloud.
• Verbinding maken uw Azure DevOps-opslagplaatsen naar Microsoft Defender voor Cloud.