Compartilhar via


Melhorar a postura de segurança do ambiente de DevOps

Com um aumento dos ataques cibernéticos em sistemas de gerenciamento de código-fonte e em pipelines de integração contínua/entrega contínua, é crucial proteger as plataformas de DevOps contra a ampla gama de ameaças identificadas na Matriz de ameaças de DevOps. Esses ataques cibernéticos podem permitir a injeção de código, a elevação de privilégio e a exfiltração dos dados, potencialmente resultando em um amplo impacto.

O gerenciamento da postura de DevOps é um recurso do Microsoft Defender para Nuvem que:

  • Fornece insights sobre a postura de segurança de todo o ciclo de vida da cadeia de fornecimento de software.
  • Usa verificadores avançados para oferecer avaliações detalhadas.
  • Abrange vários recursos, de organizações e pipelines a repositórios.
  • Permite que os clientes reduzam a superfície de ataque descobrindo as recomendações fornecidas e tomando medidas com base nelas.

Verificadores de DevOps

Para fornecer conclusões, o gerenciamento da postura de DevOps usa verificadores de DevOps para identificar os pontos fracos no gerenciamento de código-fonte e nos pipelines de integração contínua/entrega contínua executando verificações em relação às configurações de segurança e aos controles de acesso.

Os verificadores do Azure DevOps e do GitHub são usados internamente na Microsoft para identificar os riscos associados aos recursos de DevOps, reduzindo a superfície de ataque e reforçando os sistemas de DevOps corporativos.

Depois que um ambiente de DevOps é conectado, o Defender para Nuvem configura automaticamente esses verificadores para realizar verificações recorrentes a cada 24 horas em vários recursos de DevOps, incluindo:

  • Compilações
  • Arquivos seguros
  • Grupos de Variáveis
  • Conexões de Serviço
  • Organizações
  • Repositórios

Redução de risco da matriz de ameaças de DevOps

O gerenciamento da postura de DevOps auxilia as organizações na descoberta e na correção de configurações incorretas prejudiciais na plataforma de DevOps. Isso resulta em um ambiente de DevOps resiliente e de confiança zero, que é reforçado em relação a uma série de ameaças definidas na matriz de ameaças de DevOps. Os principais controles de gerenciamento da postura incluem:

  • Acesso aos segredos com escopo: minimize a exposição de informações confidenciais e reduza o risco de acesso não autorizado, vazamentos de dados e movimentações laterais, garantindo que cada pipeline tenha acesso apenas aos segredos essenciais à respectiva função.

  • Restrição de executores auto-hospedados e permissões elevadas: impeça execuções não autorizadas e possíveis elevações, evitando o uso de executores auto-hospedados e garantindo que as permissões de pipeline sejam somente leitura por padrão.

  • Proteção aprimorada de branch: mantenha a integridade do código impondo regras de proteção de branch e impedindo injeções de código mal-intencionadas.

  • Permissões otimizadas e repositórios seguros: reduza o risco de acesso não autorizado, modificações por meio do acompanhamento das permissões base mínimas e habilitação da proteção contra push de segredos nos repositórios.

  • Saiba mais sobre a matriz de ameaças de DevOps.

Recomendações de gerenciamento da postura de DevOps

Quando os verificadores de DevOps descobrem desvios das melhores práticas de segurança em sistemas de gerenciamento de código-fonte e em pipelines de integração contínua/entrega contínua, o Defender para Nuvem gera recomendações precisas e acionáveis. Essas recomendações trazem os seguintes benefícios:

  • Visibilidade aprimorada: obtenha insights abrangentes sobre a postura de segurança dos ambientes de DevOps, garantindo uma ampla compreensão das vulnerabilidades existentes. Identifique regras de proteção de branch ausentes, riscos de elevação de privilégio e conexões não seguras para evitar ataques.
  • Ação baseada em prioridade: filtre os resultados por gravidade para gastar recursos e esforços com mais eficiência, resolvendo as vulnerabilidades mais críticas primeiro.
  • Redução da superfície de ataque: resolva as lacunas de segurança realçadas para minimizar consideravelmente as superfícies de ataque vulneráveis, reforçando as defesas contra possíveis ameaças.
  • Notificações em tempo real: capacidade de integração a automações de fluxo de trabalho para receber alertas imediatos quando as configurações seguras forem alteradas, permitindo a ação imediata e garantindo a conformidade prolongada com os protocolos de segurança.

Próximas etapas