Aplicar princípios de confiança zero a aplicativos IaaS na Amazon Web Services

  • Artigo

Este artigo fornece etapas para aplicar os princípios do Confiança Zero a aplicativos IaaS na Amazon Web Services (AWS):

Princípio de Confiança Zero Definição Atendido por
Verificação explícita Sempre autenticar e autorizar com base em todos os pontos de dados disponíveis. Segurança em DevOps (DevSecOps), utilizando segurança avançada GitHub e DevOps, verifica e protege sua infraestrutura como código.
Usar o acesso com privilégios mínimos Limite o acesso do usuário com JIT/JEA (Just-In-Time e Just-Enough-Access), políticas adaptáveis baseadas em risco e proteção de dados.
  • O Gerenciamento de Permissões do Microsoft Entra detecta, dimensiona corretamente e monitora permissões não utilizadas e excessivas.
  • Privileged Identity Management (PIM): Um serviço no Microsoft Entra ID P2 que permite gerenciar, controlar e monitorar o acesso a recursos importantes na sua organização.
  • Atribua aos usuários o RBAC (controle de acesso baseado em função) a recursos no nível do repositório, da equipe ou da organização.
Pressupor a violação Minimize o raio de alcance e segmente o acesso. Verifique a criptografia de ponta a ponta e use a análise para obter visibilidade, promover a detecção de ameaças e melhorar as defesas.
  • O Microsoft Defender para Nuvem e o Microsoft Defender para Ponto de Extremidade (Microsoft 365) examinam continuamente o ambiente em busca de ameaças e vulnerabilidades.
  • O Microsoft Sentinel analisa dados coletados, tendências comportamentais de entidades, anomalias e ameaças de vários estágios em todas as empresas para detectar atividades suspeitas e pode responder com automação.

Para obter mais informações sobre como aplicar os princípios da Confiança Zero em um ambiente do Azure IaaS, consulte a visão geral de Aplicar princípios da Confiança Zero ao Azure IaaS.

Componentes da AWS e da AWS

A AWS é um dos provedores de nuvem pública disponíveis no mercado, junto com o Microsoft Azure, Google Cloud Platform e outros. É comum que as empresas tenham uma arquitetura multicloud que consiste em mais de um provedor de nuvem. Neste artigo, nos concentramos em uma arquitetura multicloud onde:

  • O Azure e a AWS são integrados para executar cargas de trabalho e soluções de negócios de TI.
  • Você protege uma carga de trabalho de IaaS da AWS utilizando produtos Microsoft.

As máquinas virtuais da AWS, chamadas Amazon Elastic Compute Cloud (Amazon EC2), são executadas sobre uma rede virtual da AWS, chamada Amazon Virtual Private Cloud (Amazon VPC). Usuários e administradores de nuvem configuram uma Amazon VPC no seu ambiente da AWS e adicionam máquinas virtuais do Amazon EC2.

O AWS CloudTrail registra a atividade da conta da AWS no ambiente da AWS. Amazon EC2, Amazon VPC e AWS CloudTrail são comuns em ambientes da AWS. A coleta de logs desses serviços é essencial para entender o que está acontecendo no seu ambiente da AWS e as ações a serem tomadas para evitar ou mitigar ataques.

O Amazon GuardDuty é um serviço de detecção de ameaças que ajuda a proteger as cargas de trabalho da AWS monitorando o ambiente da AWS em busca de atividades maliciosas e comportamentos não autorizados.

Neste artigo, você aprenderá a integrar o monitoramento e o registro em log desses recursos e serviços da AWS com as soluções de monitoramento do Azure e a pilha de segurança da Microsoft.

Arquitetura de Referência

O diagrama de arquitetura a seguir mostra os serviços e recursos comuns necessários para executar uma carga de trabalho IaaS em um ambiente da AWS. O diagrama também mostra os serviços do Azure necessários para ingerir logs e dados do ambiente da AWS no Azure e para fornecer monitoramento e proteção contra ameaças.

Diagrama da arquitetura de referência para proteger aplicativos de IaaS no Amazon Web Services (AWS).

O diagrama demonstra a ingestão de logs no Azure para os seguintes recursos e serviços no ambiente da AWS:

  • Amazon Elastic Compute Cloud (Amazon EC2)
  • Amazon Virtual Private Cloud (Amazon VPC)
  • Amazon Web Services CloudTrail (AWS CloudTrail)
  • Amazon GuardDuty

Para ingerir logs no Azure para os recursos e serviços no ambiente da AWS, você deve ter o Amazon Simple Storage Service (Amazon S3) e o Amazon Simple Queue Service (SQS) definidos.

Os logs e dados são inseridos no Log Analytics no Azure Monitor.

Os seguintes produtos da Microsoft usam os dados ingeridos para monitorar:

  • Microsoft Defender para Nuvem
  • Microsoft Sentinel
  • Microsoft Defender para ponto de extremidade

Observação

Você não precisa ingerir logs em todos os produtos da Microsoft listados para monitorar seus recursos e serviços da AWS. No entanto, o uso de todos os produtos da Microsoft juntos oferece maior benefício da ingestão de log e dados da AWS no Azure.

Este artigo segue o diagrama de arquitetura e descreve como:

  • Instale e configure os produtos da Microsoft para ingerir logs de seus recursos da AWS.
  • Configure métricas para os dados de segurança que você deseja monitorar.
  • Melhore sua postura geral de segurança e proteja a carga de trabalho da AWS.
  • Infraestrutura segura como código.

Etapa 1: Instalar e conectar produtos Microsoft à ingestão de logs e dados

Essa seção orienta você sobre como instalar e conectar os produtos da Microsoft na arquitetura referenciada para ingerir logs de seus serviços e recursos da AWS e da Amazon. Para aderir ao princípio de verificação explícita da Confiança Zero, você precisa instalar produtos da Microsoft e conectar-se ao seu ambiente da AWS para tomar medidas proativas antes de um ataque.

Etapas Tarefa
Um Instale o agente do Azure Connected Machine na suas máquinas virtuais do Amazon Elastic Compute Cloud (Amazon EC2) para ingerir dados e logs do sistema operacional no Azure.
B Instale o Azure Monitor Agent em máquinas virtuais do Amazon EC2 para enviar logs para seu espaço de trabalho do Log Analytics.
C Conectar uma conta da AWS ao Microsoft Defender para Nuvem
D Conecte o Microsoft Sentinel à AWS para ingerir dados de log da AWS.
E Use os conectores da AWS para extrair logs de serviços da AWS no Microsoft Sentinel.

R. Instale o agente do Azure Connected Machine na suas máquinas virtuais do Amazon EC2 para ingerir dados do sistema operacional e logs no Azure

Os servidores habilitados para Azure Arc permitem que você gerencie os servidores físicos e as máquinas virtuais Windows e Linux hospedados fora do Azure, na rede corporativa ou em outro provedor de nuvem. Para a finalidade do Azure Arc, os computadores hospedados fora do Azure são considerados computadores híbridos. Para conectar suas máquinas virtuais do Amazon EC2 (também conhecidas como máquinas híbridas) ao Azure, instale o Azure Connected Machine Agent em cada máquina.

Para obter mais informações, consulte Conectar máquinas híbridas ao Azure.

B. Instale o Azure Monitor Agent em máquinas virtuais do Amazon EC2 para enviar logs para seu espaço de trabalho do Log Analytics

O Azure Monitor fornece monitoramento completo para seus recursos e aplicativos em execução no Azure e em outras nuvens, incluindo a AWS. O Azure Monitor coleta, analisa e atua na telemetria de seus ambientes de nuvem e locais. Os insights de VM no Azure Monitor usam servidores habilitados para Azure Arc para fornecer uma experiência consistente entre as máquinas virtuais do Azure e suas máquinas virtuais do Amazon EC2. É possível exibir suas máquinas virtuais do Amazon EC2 ao lado de suas máquinas virtuais do Azure. É possível integrar suas máquinas virtuais do Amazon EC2 usando métodos idênticos. Isso inclui usar de constructos padrão do Azure, como o Azure Policy e a aplicação de marcas.

Quando você habilita os insights de VM para uma máquina, o agente do Azure Monitor (AMA) é instalado. O AMA coleta dados de monitoramento das máquinas virtuais do Amazon EC2 e os entrega ao Azure Monitor para uso por recursos, insights e outros serviços, como o Microsoft Sentinel e o Microsoft Defender para Nuvem.

Importante

O Log Analytics é uma ferramenta no portal do Azure usada para editar e executar consultas de log nos dados do armazenamento de Logs do Azure Monitor. O Log Analytics é instalado automaticamente.

As máquinas virtuais do Amazon EC2 podem ter o agente herdado do Log Analytics instalado. Esse agente será preterido em setembro de 2024. A Microsoft recomenda a instalação do novo Azure Monitor Agent.

É necessário ter o agente do Log Analytics ou o do Azure Monitor para Windows e Linux para fazer o seguinte:

  • Monitore proativamente o sistema operacional e as cargas de trabalho em execução na máquina.
  • Gerenciá-los usando runbooks de automação ou soluções como o Gerenciamento de Atualizações.
  • Use outros serviços do Azure, como o Microsoft Defender para Nuvem.

Quando você coleta registros e dados, as informações são armazenadas em um workspace do Log Analytics. Você precisará de um espaço de trabalho analítico se coletar dados dos recursos do Azure na sua assinatura.

As pastas de trabalho do Monitor do Azure são uma ferramenta de visualização disponível no portal do Azure. As Pastas de Trabalho combinam texto, consultas de log, métricas e parâmetros em relatórios interativos avançados. A configuração de pastas de trabalho ajuda você a usar análises para aderir ao princípio de violação assumida da Confiança Zero.

As pastas de trabalho são discutidas no próximo artigo em Monitorar em logs do Microsoft Sentinel da Amazon Virtual Private Cloud (Amazon VPC), do AWS CloudTrail e do Amazon GuardDuty.

Para saber mais, veja:

C. Conectar uma conta da AWS ao Microsoft Defender para Nuvem

O Microsoft Defender para Nuvem é um gerenciamento da postura de segurança na nuvem (CSPM) e uma plataforma de proteção de cargas de trabalho na nuvem (CWPP) para todos os seus recursos do Azure, locais e multinuvem, incluindo a AWS. O Defender para Nuvem atende três necessidades vitais à medida que você gerencia a segurança de seus recursos e cargas de trabalho locais e na nuvem:

O Microsoft Defender para servidores é um dos planos pagos fornecidos pelo Microsoft Defender para Nuvem. O Defender para servidores estende a proteção para suas máquinas Windows e Linux que são executadas no Azure, AWS, Google Cloud Platform e localmente. Ele se integra ao Microsoft Defender para Ponto de Extremidade a fim de fornecer EDR (detecção e resposta de ponto de extremidade) e outros recursos de proteção contra ameaças.

Para saber mais, veja:

Observação

Se você ainda não implantou o AMA em seus servidores, poderá implantar o Agente do Azure Monitor em seus servidores ao habilitar o Defender para servidores.

D. Conectar o Microsoft Sentinel à AWS para ingerir dados de log da AWS

O Microsoft Sentinel é uma solução escalável e nativa da nuvem que fornece os seguintes serviços:

  • SIEM (Gerenciamento de informações e eventos de segurança)
  • SOAR (Orquestração de segurança, automação e resposta)

O Microsoft Sentinel oferece análise de segurança inteligente e inteligência contra ameaças em toda a empresa. Com o Microsoft Sentinel, você possui uma solução única para detecção de ataques, visibilidade de ameaças, busca proativa e resposta a ameaças.

Para obter instruções de configuração, consulte Integrar o Microsoft Sentinel.

E. Usar os conectores da AWS para extrair os registros de serviços da AWS para o Microsoft Sentinel

Para extrair os logs de serviço da AWS para o Microsoft Sentinel, você precisa utilizar um conector da AWS do Microsoft Sentinel. O conector funciona permitindo ao Microsoft Sentinel acesso aos logs de recursos da AWS. A configuração do conector estabelece uma relação de confiança entre a AWS e o Microsoft Sentinel. Na AWS, é criada uma função que dá permissão ao Microsoft Sentinel para acessar seus logs da AWS.

O conector da AWS está disponível em duas versões: o novo conector do Amazon Simple Storage Service (Amazon S3), que ingere registros ao extraí-los de um bucket do Amazon S3, e o conector legado para gerenciamento e logs de dados do CloudTrail. O conector do Amazon S3 pode ingerir logs da Amazon Virtual Private Cloud (Amazon VPC), do AWS CloudTrail e do Amazon GuardDuty. O conector do Amazon S3 está em visualização. Recomendamos o uso do conector do Amazon S3.

Para ingerir logs da Amazon VPC, do AWS CloudTrail e do Amazon GuardDuty usando o conector do Amazon S3, consulte Conectar o Microsoft Sentinel à AWS.

Observação

A Microsoft recomenda usar o script de configuração automática para implantar o conector do Amazon S3. Se preferir executar cada etapa manualmente, siga a configuração manual para conectar o Microsoft Sentinel à AWS.

Etapa 2: configurar métricas para seus dados de segurança

Agora que o Azure está ingerindo logs de seus recursos da AWS, você pode criar regras de detecção de ameaças no seu ambiente e monitorar alertas. Este artigo orienta você pelas etapas para coletar logs e dados e monitorar atividades suspeitas. O princípio de suposta violação da Confiança Zero é alcançado monitorando seu ambiente em busca de ameaças e vulnerabilidades.

Etapas Tarefa
Um Colete logs do Amazon Elastic Compute Cloud (Amazon EC2) no Azure Monitor.
B Visualize e gerencie alertas e recomendações de segurança do Microsoft Defender para Nuvem para o Amazon EC2.
C Integre o Microsoft Defender para Ponto de Extremidade com o Defender para Nuvem.
D Monitore os dados do Amazon EC2 no Microsoft Sentinel.
E Monitore os logs do Microsoft Sentinel da Amazon Virtual Private Cloud (Amazon VPC), do AWS CloudTrail e do Amazon GuardDuty.
F Utilize regras de detecção internas do Microsoft Sentinel para criar e investigar regras de detecção de ameaças no seu ambiente.

R. Coletar logs do Amazon Elastic Compute Cloud (Amazon EC2) no Azure Monitor

O agente do Azure Connected Machine instalado na suas VMs do Amazon EC2 permite que você monitore seus recursos da AWS como se fossem recursos do Azure. Por exemplo, você pode utilizar políticas do Azure para controlar e gerenciar atualizações para suas VMs do Amazon EC2.

O Agente do Azure Monitor (AMA) instalado em suas VMs do Amazon EC2 coleta dados de monitoramento e os entrega ao Azure Monitor. Esses registros se tornam entradas para o Microsoft Sentinel e o Defender para Nuvem.

Para coletar logs das suas VMs do Amazon EC2, consulte criar regras de coleta de dados.

B. Visualize e gerencie alertas e recomendações de segurança do Microsoft Defender para Nuvem para o Amazon EC2

O Microsoft Defender para Nuvem usa registros de recursos para gerar alertas e recomendações de segurança. O Defender para Nuvem pode fornecer alertas para alertá-lo sobre possíveis ameaças em suas VMs do Amazon EC2. Os alertas são priorizados por gravidade. Cada alerta fornece detalhes sobre recursos afetados, problemas e recomendações de correção.

Há duas maneiras de visualizar recomendações no portal do Azure. Na página de visão geral do Defender para Nuvem, você vê recomendações para o ambiente que deseja melhorar. Na página de inventário de ativos do Defender para Nuvem, as recomendações são mostradas de acordo com o recurso afetado.

Para exibir e gerenciar alertas e recomendações do Amazon EC2:

Observação

O MCSB (parâmetro de comparação de segurança da nuvem) da Microsoft inclui uma coleção de recomendações de segurança de alto impacto que você pode usar para ajudar a proteger seus serviços de nuvem em um ambiente único ou multinuvem. A Microsoft recomenda o uso de parâmetros de comparação de segurança para ajudar você a proteger rapidamente as implantações na nuvem. Saiba mais sobre o MCSB.

C. Integre o Microsoft Defender para Ponto de Extremidade com o Defender para Nuvem

Proteja seus pontos de extremidade com a solução integrada de detecção e resposta de ponto de extremidade do Defender para Nuvem, o Microsoft Defender para Ponto de Extremidade. O Microsoft Defender para Ponto de Extremidade protege seus computadores Windows e Linux, independentemente de eles estarem hospedados no Azure, no local ou em um ambiente multinuvem. O Microsoft Defender para Ponto de Extremidade é uma solução de segurança de ponto de extremidade holística entregue pela nuvem. Os principais recursos incluem:

  • Avaliação e gerenciamento de vulnerabilidades com base em risco
  • Redução da superfície de ataque
  • Proteção habilitada para a nuvem e baseada em comportamento
  • EDR (Detecção e Resposta de Ponto de Extremidade)
  • Investigação e correção automática
  • Serviços de busca gerenciados

Para obter mais informações, confira Habilitar a integração com o Microsoft Defender para Ponto de Extremidade.

D. Monitorar dados do Amazon EC2 no Microsoft Sentinel

Depois de instalar o agente do Azure Connected Machine e a AMA, os sistemas operacionais do Amazon EC2 começam a enviar logs para tabelas do Azure Log Analytics que ficam automaticamente disponíveis para o Microsoft Sentinel.

A imagem a seguir demonstra como os logs do sistema operacional do Amazon EC2 são ingeridos pelo Microsoft Sentinel. O agente do Azure Connected Machine torna suas VMs do Amazon EC2 parte do Azure. O conector de dados do Windows Security Events via AMA coleta dados de suas VMs do Amazon EC2.

Diagrama de logs do sistema operacional ingeridos pelo Microsoft Sentinel.

Observação

Você não precisa do Microsoft Sentinel para ingerir logs do Amazon EC2, mas precisa de um espaço de trabalho do Log Analytics previamente configurado.

Para obter orientações detalhadas, consulte Ingestão do Sentinel do Amazon EC2 Ingestion usando Arc e AMA, que é um documento no GitHub. O documento do GitHub aborda a instalação do AMA, que você pode ignorar porque instalou o AMA anteriormente neste guia de solução.

E. Monitorar logs do Microsoft Sentinel da Amazon Virtual Private Cloud (Amazon VPC), AWS CloudTrail e Amazon GuardDuty

Anteriormente, você conectou o Microsoft Sentinel à AWS utilizando o conector do Amazon Simple Storage Service (Amazon S3). O bucket do Amazon S3 envia logs para seu espaço de trabalho do Log Analytics, a ferramenta subjacente usada para consultá-los. As tabelas a seguir são criadas no espaço de trabalho:

  • AWSCloudTrail: os logs do AWS CloudTrail mantêm todos os seus dados e eventos de gerenciamento da sua conta da AWS.
  • AWSGuardDuty: as descobertas do Amazon GuardDuty representam um possível problema de segurança detectado em sua rede. O Amazon GuardDuty gera uma descoberta sempre que detecta atividades inesperadas e potencialmente maliciosas no seu ambiente da AWS.
  • AWSvPCFlow: os logs de fluxo da Amazon Virtual Private Cloud (Amazon VPC) permitem que você capture o tráfego IP de e para suas interfaces de rede da Amazon VPC.

É possível consultar o Amazon VPC Flow Logs, o AWS CloudTrail e o Amazon GuardDuty no Microsoft Sentinel. Veja a seguir exemplos de consulta para cada serviço e tabela correspondente no Log Analytics:

Para logs do Amazon GuardDuty:

AWSGuardDuty | where Severity > 7 | summarize count() by ActivityType

Para logs de fluxo da Amazon VPC:

AWSVPCFlow - Brasil | onde Ação == "REJEIÇÃO" | onde Tipo == "Ipv4" | tomar 10

Para logs do AWS CloudTrail:

AWSCloudTrail - Brasil | onde EventName == "CreateUser" | summarize count() por AWSRegion

No Microsoft Sentinel, você utiliza a pasta de trabalho do Amazon S3 para analisar mais detalhes.

Para o AWS CloudTrail, você pode analisar:

  • Fluxo de dados ao longo do tempo
  • IDs de conta
  • Lista de fontes de eventos

Para o Amazon GuardDuty, você pode analisar:

  • Amazon GuardDuty por mapa
  • Guarda AmazônicaPlantão por região
  • Amazon GuardDuty por IP

F. Utilize regras de detecção internas do Microsoft Sentinel para criar e investigar regras de detecção de ameaças no seu ambiente

Agora que você conectou suas fontes de dados ao Microsoft Sentinel, utilize os modelos de regra de detecção internos do Microsoft Sentinels para ajudá-lo a criar e investigar regras de detecção de ameaças no seu ambiente. O Microsoft Sentinel fornece modelos internos prontos para uso para ajudá-lo a criar regras de detecção de ameaças.

A equipe de analistas e especialistas em segurança da Microsoft projetou modelos de regras com base em ameaças conhecidas, vetores de ataque comuns e cadeias de escalonamento de atividades suspeitas. As regras criadas usando esses modelos pesquisam automaticamente todo o seu ambiente em busca de qualquer atividade que pareça suspeita. Muitos dos modelos podem ser personalizados para pesquisar atividades ou filtrá-los de acordo com as suas necessidades. Os alertas gerados por essas regras criam incidentes que você pode atribuir e investigar em seu ambiente.

Para obter mais informações, consulte Detectar ameaças com regras de análise incorporadas no Microsoft Sentinel.

Etapa 3: Melhore sua postura geral de segurança

Nesta seção, você aprenderá como o Gerenciamento de Permissões do Microsoft Entra ajuda a monitorar permissões não utilizadas e excessivas. Você explica como configurar, integrar e exibir dados importantes. O princípio de uso do acesso com privilégios mínimos da Confiança Zero é obtido por meio do gerenciamento, controle e monitoramento do acesso aos seus recursos.

Etapas Tarefa
Um Configure o Gerenciamento de Permissões e o Gerenciamento de Identidades Privilegiadas.
B Integrar uma conta da AWS.
C Veja as principais estatísticas e dados.

Configurar o gerenciamento de permissões

O Gerenciamento de Permissões é uma solução CIEM (gerenciamento de direitos de infraestrutura de nuvem) que detecta, dimensiona automaticamente e monitora continuamente permissões não utilizadas e excessivas na sua infraestrutura multicloud.

O Gerenciamento de Permissões aprofunda as estratégias de segurança de Confiança Zero aumentando o princípio de uso do acesso com privilégios mínimos, permitindo aos clientes:

  • Obter visibilidade abrangente: descobrir qual identidade está fazendo o que, onde e quando.
  • Automatizar o acesso de privilégios mínimos: usar a análise de acesso para garantir que as identidades tenham as permissões corretas, no momento certo.
  • Unifique políticas de acesso em todas as plataformas de IaaS: implemente políticas de segurança consistentes na sua infraestrutura de nuvem.

O Gerenciamento de permissões fornece um resumo das principais estatísticas e dados para a AWS e o Azure. Os dados incluem métricas relacionadas a riscos evitáveis. Essas métricas permitem que o administrador do Gerenciamento de Permissões identifique áreas em que os riscos relacionados ao princípio de uso do acesso com privilégios mínimos da Confiança Zero podem ser reduzidos.

Os dados podem ser alimentados no Microsoft Sentinel para análise e automação adicionais.

Para implementar tarefas, consulte:

Etapa 4: Infraestrutura segura como código

Essa seção aborda um pilar fundamental do DevSecOps, verificando e protegendo sua infraestrutura como código. Para infraestrutura como código, as equipes de segurança e DevOps devem monitorar se há configurações incorretas que podem levar a vulnerabilidades na suas implantações de infraestrutura.

Ao implementar verificações contínuas em modelos do Azure Resource Manager (ARM), Bicep ou Terraform, você evita violações e explorações no início do desenvolvimento, quando elas são menos dispendiosas de corrigir. Você também deseja manter um controle rígido dos administradores e grupos de contas de serviço no Microsoft Entra ID e na sua ferramenta de DevOps.

Você implementa o princípio de uso do acesso com privilégios mínimos da Confiança Zero da seguinte forma:

  • Realização de revisões robustas de suas configurações de infraestrutura com acesso de identidade de privilégios mínimos e configuração de rede.
  • Atribuindo usuários ao RBAC (controle de acesso baseado em função) a recursos no nível do repositório, da equipe ou da organização.

Pré-requisitos:

  • Os repositórios de código estão no Azure DevOps ou no GitHub
  • Os pipelines são hospedados no Azure DevOps ou no GitHub
Etapas Tarefa
Um Habilite o DevSecOps para infraestrutura como código (IaC).
B Implemente o RBAC para ferramentas de DevOps.
C Habilitar a Segurança Avançada do GitHub.
D Visualize o código e os resultados de verificação de segredos.

R. Habilitar DevSecOps para IaC

O Defender for DevOps fornece visibilidade sobre a postura de segurança de seu ambiente de vários pipelines, independentemente de seu código e pipelines estarem no Azure DevOps ou no GitHub. Ele tem o benefício extra de implementar um único painel de vidro onde as equipes de segurança e DevOps podem ver os resultados da varredura de todos os seus repositórios em um painel e configurar um processo de solicitação pull para corrigir quaisquer problemas.

Para saber mais, veja:

B. Implementar RBAC para ferramentas de DevOps

Você precisa gerenciar e implementar boas práticas de governança para sua equipe, como permissões de controle de acesso baseadas em funções. Se esse modelo não for espelhado para automação de DevOps, sua organização poderá deixar um backdoor de segurança aberto. Considere um exemplo em que um desenvolvedor não tem acesso por meio de modelos ARM. O desenvolvedor ainda pode ter permissões suficientes para alterar o código ou a infraestrutura do aplicativo como código e acionar um fluxo de trabalho de automação. O desenvolvedor, indiretamente via DevOps, pode acessar e fazer alterações destrutivas nos modelos do ARM.

Quando você implanta soluções baseadas em nuvem para suas implantações de infraestrutura, a segurança sempre deve ser sua preocupação mais importante. A Microsoft mantém a infraestrutura de nuvem subjacente segura. Você configura a segurança no Azure DevOps ou no GitHub.

Para configurar a segurança:

  • No Azure DevOps, você pode usar grupos de segurança, políticas e configurações no nível da organização/coleção, projeto ou objeto.
  • No GitHub, você pode atribuir aos usuários acesso aos recursos concedendo-lhes funções no nível do repositório, da equipe ou da organização.

C. Habilitar a Segurança Avançada do GitHub

Para proteger ambientes proativamente, é importante monitorar e fortalecer continuamente a segurança do DevOps. O GitHub Advanced Security automatiza as verificações no seu pipeline para procurar segredos expostos, vulnerabilidades de dependência e muito mais. O GitHub disponibiliza recursos extras de segurança para clientes sob uma licença de Segurança Avançada.

Por padrão, o GitHub Advanced Security está habilitado para repositórios públicos. Para seus repositórios privados, você precisa utilizar o licenciamento do GitHub Advanced Security. Uma vez habilitado, você pode começar a utilizar os muitos recursos que vêm com o pacote de segurança avançada do GitHub:

  • Varredura de código
  • Verificação de dependência
  • Verificação de segredo
  • Controle de acesso
  • Alertas de vulnerabilidade
  • Log de auditoria
  • Regras de proteção de branch
  • Revisões de pull request

Com esses recursos, você pode garantir que seu código seja seguro e compatível com os padrões do setor. Você também pode criar fluxos de trabalho automatizados para ajudá-lo a detectar e resolver rapidamente quaisquer problemas de segurança no seu código. Além disso, você pode usar regras de proteção de ramificação para impedir alterações não autorizadas na sua base de código.

Para obter mais informações, consulte Habilitar o GitHub Advanced Security.

D. Visualizar o código e os resultados da verificação de segredos

O Defender for DevOps, um serviço disponível no Defender para Nuvem, permite que as equipes de segurança gerenciem a segurança do DevOps em ambientes com vários pipelines. Ele usa um console central para permitir que as equipes de segurança protejam aplicativos e recursos, do código à nuvem, em ambientes de diversos pipelines como o GitHub e o Azure DevOps.

O Defender para DevOps expõe as descobertas de segurança como anotações em PRs (solicitações de pull). Os operadores de segurança podem habilitar anotações de PR no Microsoft Defender para Nuvem. Os problemas expostos podem ser resolvidos pelos desenvolvedores. Esse processo pode evitar e corrigir possíveis vulnerabilidades de segurança e configurações incorretas antes que elas entrem no estágio de produção. É possível configurar anotações de RP no Azure DevOps. Se você for um cliente do GitHub Advanced Security, poderá colocar as anotações de PR no GitHub.

Para saber mais, veja:

Próximas etapas

Saiba mais sobre os serviços do Azure discutidos neste artigo:

Saiba mais sobre os serviços e recursos da AWS e da Amazon discutidos neste artigo: