Partilhar via


Melhore a postura de segurança do ambiente de DevOps

Com um aumento de ataques cibernéticos a sistemas de gerenciamento de código-fonte e pipelines de integração contínua/entrega contínua, proteger as plataformas de DevOps contra a ampla gama de ameaças identificadas na Matriz de Ameaças de DevOps é crucial. Esses ataques cibernéticos podem permitir a injeção de código, o escalonamento de privilégios e a exfiltração de dados, potencialmente levando a um impacto extenso.

O gerenciamento de postura de DevOps é um recurso do Microsoft Defender for Cloud que:

  • Fornece informações sobre a postura de segurança de todo o ciclo de vida da cadeia de suprimentos de software.
  • Utiliza scanners avançados para avaliações aprofundadas.
  • Abrange vários recursos, desde organizações, pipelines e repositórios.
  • Permite que os clientes reduzam sua superfície de ataque descobrindo e agindo de acordo com as recomendações fornecidas.

Scanners de DevOps

Para fornecer descobertas, o gerenciamento de postura de DevOps usa scanners de DevOps para identificar pontos fracos no gerenciamento de código-fonte e pipelines de integração contínua/entrega contínua, executando verificações em relação às configurações de segurança e controles de acesso.

Os scanners de DevOps e GitHub do Azure são usados internamente na Microsoft para identificar riscos associados aos recursos de DevOps, reduzindo a superfície de ataque e fortalecendo os sistemas de DevOps corporativos.

Depois que um ambiente de DevOps é conectado, o Defender for Cloud configura automaticamente esses scanners para realizar verificações recorrentes a cada 24 horas em vários recursos de DevOps, incluindo:

  • Builds
  • Ficheiros Seguros
  • Grupos de variáveis
  • Ligações de Serviço
  • Organizations
  • Repositórios

Redução de riscos da matriz de ameaças de DevOps

O gerenciamento de postura de DevOps auxilia as organizações a descobrir e corrigir configurações incorretas prejudiciais na plataforma DevOps. Isso leva a um ambiente de DevOps resiliente e de confiança zero, que é fortalecido contra uma série de ameaças definidas na matriz de ameaças de DevOps. Os principais controlos de gestão postural incluem:

  • Acesso secreto com escopo: minimize a exposição de informações confidenciais e reduza o risco de acesso não autorizado, vazamentos de dados e movimentos laterais, garantindo que cada pipeline tenha acesso apenas aos segredos essenciais para sua função.

  • Restrição de corredores auto-hospedados e permissões altas: impeça execuções não autorizadas e possíveis escaladas, evitando corredores auto-hospedados e garantindo que as permissões de pipeline sejam somente leitura.

  • Proteção aprimorada de ramificação: mantenha a integridade do código aplicando regras de proteção de ramificação e evitando injeções de código mal-intencionado.

  • Permissões otimizadas e repositórios seguros: reduza o risco de acesso não autorizado, modificações rastreando permissões básicas mínimas e habilitando a proteção secreta por push para repositórios.

  • Saiba mais sobre a matriz de ameaças de DevOps.

Recomendações de gerenciamento de postura de DevOps

Quando os scanners de DevOps descobrem desvios das práticas recomendadas de segurança em sistemas de gerenciamento de código-fonte e pipelines de integração contínua/entrega contínua, o Defender for Cloud emite recomendações precisas e acionáveis. Estas recomendações têm os seguintes benefícios:

  • Visibilidade aprimorada: obtenha informações abrangentes sobre a postura de segurança dos ambientes de DevOps, garantindo uma compreensão completa de quaisquer vulnerabilidades existentes. Identifique regras de proteção de ramificação ausentes, riscos de escalonamento de privilégios e conexões inseguras para evitar ataques.
  • Ação baseada em prioridades: filtre os resultados por gravidade para gastar recursos e esforços de forma mais eficaz, abordando primeiro as vulnerabilidades mais críticas.
  • Redução da superfície de ataque: resolva as lacunas de segurança destacadas para minimizar significativamente as superfícies de ataque vulneráveis, fortalecendo assim as defesas contra ameaças potenciais.
  • Notificações em tempo real: Capacidade de integração com automações de fluxo de trabalho para receber alertas imediatos quando as configurações seguras são alteradas, permitindo uma ação rápida e garantindo o cumprimento sustentado dos protocolos de segurança.

Próximos passos