Partilhar via


Controlo de Segurança: Segurança do DevOps

A Segurança do DevOps abrange os controlos relacionados com a engenharia de segurança e as operações nos processos de DevOps, incluindo a implementação de verificações de segurança críticas (como testes de segurança de aplicações estáticas, gestão de vulnerabilidades) antes da fase de implementação para garantir a segurança ao longo do processo de DevOps; também inclui tópicos comuns, como a modelação de ameaças e a segurança do fornecimento de software.

DS-1: Realizar modelação de ameaças

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
16.10, 16.14 SA-15 6.5, 12.2

Princípio de segurança: efetue a modelação de ameaças para identificar as potenciais ameaças e enumerar os controlos de mitigação. Certifique-se de que a modelação de ameaças serve as seguintes finalidades:

  • Proteja as suas aplicações e serviços na fase de tempo de execução de produção.
  • Proteja os artefactos, o pipeline de CI/CD subjacente e outro ambiente de ferramentas utilizado para compilação, teste e implementação. A modelação de ameaças deve incluir, pelo menos, os seguintes aspetos:
  • Defina os requisitos de segurança da aplicação. Certifique-se de que estes requisitos são devidamente abordados na modelação de ameaças.
  • Analise os componentes da aplicação, as ligações de dados e a respetiva relação. Certifique-se de que esta análise também inclui as ligações a montante e a jusante fora do âmbito da aplicação.
  • Liste as potenciais ameaças e vetores de ataque aos quais os componentes da aplicação, as ligações de dados e os serviços a montante e a jusante podem estar expostos.
  • Identifique os controlos de segurança aplicáveis que podem ser utilizados para mitigar as ameaças enumeradas e identificar eventuais lacunas de controlo (por exemplo, vulnerabilidades de segurança) que possam exigir planos de tratamento adicionais.
  • Enumerar e estruturar os controlos que podem mitigar as vulnerabilidades identificadas.

Orientação do Azure: utilize ferramentas de modelação de ameaças, como a ferramenta de modelação de ameaças da Microsoft com o modelo de modelo de ameaças do Azure incorporado para impulsionar o seu processo de modelação de ameaças. Utilize o modelo STRIDE para enumerar as ameaças tanto internas como externas e identificar os controlos aplicáveis. Certifique-se de que o processo de modelação de ameaças inclui os cenários de ameaça no processo de DevOps, como a injeção de código malicioso através de um repositório de artefactos inseguro com uma política de controlo de acesso configurada incorretamente.

Se a utilização de uma ferramenta de modelação de ameaças não for aplicável, deve, no mínimo, utilizar um processo de modelação de ameaças baseado no questionário para identificar as ameaças.

Certifique-se de que os resultados da modelação ou análise de ameaças são registados e atualizados quando existe uma alteração de impacto de segurança importante na sua aplicação ou no panorama das ameaças.

Implementação do Azure e contexto adicional:


Orientação do AWS: utilize ferramentas de modelação de ameaças, como a ferramenta de modelação de ameaças da Microsoft com o modelo de modelo de ameaças do Azure incorporado para impulsionar o seu processo de modelação de ameaças. Utilize o modelo STRIDE para enumerar as ameaças tanto internas como externas e identificar os controlos aplicáveis. Certifique-se de que o processo de modelação de ameaças inclui os cenários de ameaça no processo de DevOps, como a injeção de código malicioso através de um repositório de artefactos inseguro com uma política de controlo de acesso configurada incorretamente.

Se a utilização de uma ferramenta de modelação de ameaças não for aplicável, deve, no mínimo, utilizar um processo de modelação de ameaças baseado no questionário para identificar as ameaças.

Certifique-se de que os resultados da modelação ou análise de ameaças são registados e atualizados quando existe uma alteração de impacto de segurança importante na sua aplicação ou no panorama das ameaças.

Implementação do AWS e contexto adicional:


Orientação do GCP: utilize ferramentas de modelação de ameaças, como a ferramenta de modelação de ameaças da Microsoft com o modelo de modelo de ameaças do Azure incorporado para impulsionar o seu processo de modelação de ameaças. Utilize o modelo STRIDE para enumerar as ameaças tanto internas como externas e identificar os controlos aplicáveis. Certifique-se de que o processo de modelação de ameaças inclui os cenários de ameaça no processo de DevOps, como a injeção de código malicioso através de um repositório de artefactos inseguro com uma política de controlo de acesso configurada incorretamente.

Se a utilização de uma ferramenta de modelação de ameaças não for aplicável, deve, no mínimo, utilizar um processo de modelação de ameaças baseado no questionário para identificar as ameaças.

Certifique-se de que os resultados da modelação ou análise de ameaças são registados e atualizados quando existe uma alteração de impacto de segurança importante na sua aplicação ou no panorama das ameaças.

Implementação do GCP e contexto adicional:


Intervenientes na segurança do cliente (Saiba mais):

DS-2: Garantir a segurança da cadeia de fornecimento de software

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
16.4, 16.6, 16.11 SA-12, SA-15 6.3, 6.5

Princípio de segurança: certifique-se de que o SDLC da sua empresa (Ciclo de Vida de Desenvolvimento de Software) ou o processo incluem um conjunto de controlos de segurança para governar os componentes de software internos e de terceiros (incluindo software proprietário e open source) em que as suas aplicações têm dependências. Defina critérios de gating para evitar que componentes vulneráveis ou maliciosos sejam integrados e implementados no ambiente.

Os controlos de segurança da cadeia de fornecimento de software devem incluir, pelo menos, os seguintes aspetos:

  • Faça a gestão correta de uma Fatura de Materiais de Software (SBOM) ao identificar as dependências a montante necessárias para a fase de desenvolvimento de serviços/recursos, compilação, integração e implementação.
  • Efetue o inventário e controle os componentes de software internos e de terceiros para obter vulnerabilidades conhecidas quando existe uma correção disponível a montante.
  • Avalie as vulnerabilidades e o software maligno nos componentes de software com testes de aplicações estáticos e dinâmicos para vulnerabilidades desconhecidas.
  • Certifique-se de que as vulnerabilidades e o software maligno são mitigados com a abordagem adequada. Isto pode incluir a correção local ou a montante do código fonte, a exclusão de funcionalidades e/ou a aplicação de controlos de compensação se a mitigação direta não estiver disponível.

Se forem utilizados componentes de terceiros de origem fechada no seu ambiente de produção, poderá ter visibilidade limitada à respetiva postura de segurança. Deve considerar controlos adicionais, como o controlo de acesso, o isolamento de rede e a segurança do ponto final para minimizar o impacto se existir uma atividade ou vulnerabilidade maliciosa associada ao componente.


Orientação do Azure: para a plataforma GitHub, garanta a segurança da cadeia de fornecimento de software através da seguinte capacidade ou ferramentas do GitHub Advanced Security ou da funcionalidade nativa do GitHub:- Utilize o Graph de Dependências para analisar, inventariar e identificar todas as dependências do projeto e vulnerabilidades relacionadas através da Base de Dados Consultiva.

  • Utilize o Dependabot para garantir que a dependência vulnerável é controlada e remediada e certifique-se de que o repositório mantém automaticamente as versões mais recentes dos pacotes e aplicações de que depende.
  • Utilize a capacidade de análise de código nativo do GitHub para analisar o código fonte ao fornecer o código externamente.
  • Utilize Microsoft Defender para a Cloud para integrar a avaliação de vulnerabilidades para a imagem de contentor no fluxo de trabalho CI/CD. Para o Azure DevOps, pode utilizar extensões de terceiros para implementar controlos semelhantes no inventário, analisar e remediar os componentes de software de terceiros e as respetivas vulnerabilidades.

Implementação do Azure e contexto adicional:


Orientação do AWS: se utilizar plataformas CI/CD do AWS, como CodeCommit ou CodePipeline, certifique-se de que a segurança da cadeia de fornecimento de software com o CodeGuru Reviewer para analisar o código fonte (para Java e Python) através dos fluxos de trabalho CI/CD. Plataformas como CodeCommit e CodePipeline também suportam extensões de terceiros para implementar controlos semelhantes ao inventário, analisar e remediar os componentes de software de terceiros e as respetivas vulnerabilidades.

Se gerir o código fonte através da plataforma GitHub, certifique-se de que a segurança da cadeia de fornecimento de software através da seguinte capacidade ou ferramentas do GitHub Advanced Security ou da funcionalidade nativa do GitHub:

  • Utilize o Graph de Dependências para analisar, inventariar e identificar todas as dependências e vulnerabilidades relacionadas do projeto através da Base de Dados Consultiva.
  • Utilize o Dependabot para garantir que a dependência vulnerável é controlada e remediada e certifique-se de que o repositório mantém automaticamente as versões mais recentes dos pacotes e aplicações de que depende.
  • Utilize a capacidade de análise de código nativo do GitHub para analisar o código fonte ao fornecer o código externamente.
  • Se aplicável, utilize Microsoft Defender para a Cloud para integrar a avaliação de vulnerabilidades para a sua imagem de contentor no fluxo de trabalho CI/CD.

Implementação do AWS e contexto adicional:


Orientação do GCP: utilize o Escudo de Entrega de Software para realizar a análise de segurança da cadeia de fornecimento de software ponto a ponto. Isto inclui o serviço OSS Garantido (Software Open Source) para acesso e incorpora os pacotes OSS que foram verificados e testados pela Google, bem como pacotes Java e Python validados que são criados com os pipelines seguros da Google. Estes pacotes são regularmente analisados, analisados e testados para vulnerabilidades. Estas capacidades podem ser integradas no Google Cloud Build, Cloud Deploy, Artifact Registry, Artifact Analysis como parte dos fluxos de trabalho CI/CD.

Se gerir o código fonte através da plataforma GitHub, certifique-se de que a segurança da cadeia de fornecimento de software através da seguinte capacidade ou ferramentas do GitHub Advanced Security ou da funcionalidade nativa do GitHub:

  • Utilize o Graph de Dependências para analisar, inventariar e identificar todas as dependências e vulnerabilidades relacionadas do projeto através da Base de Dados Consultiva.
  • Utilize o Dependabot para garantir que a dependência vulnerável é controlada e remediada e certifique-se de que o repositório mantém automaticamente as versões mais recentes dos pacotes e aplicações de que depende.
  • Utilize a capacidade de análise de código nativo do GitHub para analisar o código fonte ao fornecer o código externamente.
  • Se aplicável, utilize Microsoft Defender para a Cloud para integrar a avaliação de vulnerabilidades para a sua imagem de contentor no fluxo de trabalho CI/CD.

Implementação do GCP e contexto adicional:


Intervenientes na segurança do cliente (Saiba mais):

DS-3: Infraestrutura de DevOps Segura

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
16.7 CM-2, CM-6, AC-2, AC-3, AC-6 2.2, 6.3, 7.1

Princípio de segurança: certifique-se de que a infraestrutura e o pipeline do DevOps seguem as melhores práticas de segurança em ambientes, incluindo as fases de compilação, teste e produção. Normalmente, isto inclui os controlos de segurança para o âmbito seguinte:

  • Repositórios de artefactos que armazenam código fonte, pacotes e imagens criados, artefactos de projeto e dados empresariais.
  • Servidores, serviços e ferramentas que alojam pipelines CI/CD.
  • Configuração do pipeline CI/CD.

Orientação do Azure: como parte da aplicação do Microsoft Cloud Security Benchmark aos controlos de segurança da infraestrutura de DevOps, priorize os seguintes controlos:

  • Proteja os artefactos e o ambiente subjacente para garantir que os pipelines CI/CD não se tornam vias para inserir código malicioso. Por exemplo, reveja o pipeline ci/CD para identificar qualquer configuração incorreta em áreas principais do Azure DevOps, como Organização, Projetos, Utilizadores, Pipelines (Compilação & Release), Connections e Build Agent para identificar quaisquer configurações incorretas, tais como acesso aberto, autenticação fraca, configuração de ligação insegura, etc. Para o GitHub, utilize controlos semelhantes para proteger os níveis de permissão da Organização.
  • Certifique-se de que a sua infraestrutura de DevOps é implementada de forma consistente em projetos de desenvolvimento. Controle a conformidade da sua infraestrutura de DevOps em escala ao utilizar Microsoft Defender para a Cloud (como Dashboard de Conformidade, Azure Policy, Gestão de Posturas na Cloud) ou as suas próprias ferramentas de monitorização de conformidade.
  • Configure permissões de identidade/função e políticas de elegibilidade em Azure AD, serviços nativos e ferramentas CI/CD no pipeline para garantir que as alterações aos pipelines estão autorizadas.
  • Evite fornecer acesso privilegiado permanente "permanente" às contas humanas, como programadores ou testadores, utilizando funcionalidades como identificadores geridos do Azure e acesso just-in-time.
  • Remova chaves, credenciais e segredos de código e scripts utilizados em tarefas de fluxo de trabalho ci/CD e mantenha-os num arquivo de chaves ou no Azure Key Vault.
  • Se executar agentes de compilação/implementação autoalojados, siga os controlos do Microsoft Cloud Security Benchmark, incluindo segurança de rede, gestão de posturas e vulnerabilidades e segurança de pontos finais para proteger o seu ambiente.

Nota: veja as secções Registo e Deteção de Ameaças, DS-7 e Gestão de Posturas e Vulnerabilidades para utilizar serviços como o Azure Monitor e o Microsoft Sentinel para permitir a governação, conformidade, auditoria operacional e auditoria de riscos para a sua infraestrutura de DevOps.

Implementação do Azure e contexto adicional:


Orientação do AWS: como parte da aplicação do Microsoft Cloud Security Benchmark aos controlos de segurança da sua infraestrutura de DevOps, como o GitHub, CodeCommit, CodeArtifact, CodePipeline, CodeBuild e CodeDeploy, priorize os seguintes controlos:

  • Veja esta documentação de orientação e o pilar de segurança AWS Well-architected Framework para proteger os seus ambientes de DevOps no AWS.
  • Proteja os artefactos e a infraestrutura de suporte subjacente para garantir que os pipelines CI/CD não se tornam vias para inserir código malicioso.
  • Certifique-se de que a sua infraestrutura de DevOps é implementada e mantida de forma consistente em projetos de desenvolvimento. Controle a conformidade da sua infraestrutura de DevOps em escala com a Configuração do AWS ou a sua própria solução de verificação de conformidade.
  • Utilize o CodeArtifact para armazenar e partilhar pacotes de software utilizados em segurança para o desenvolvimento de aplicações. Pode utilizar o CodeArtifact com ferramentas de compilação e gestores de pacotes populares, como Maven, Gradle, npm, yarn, pip e twine.
  • Configure as permissões de identidade/função e as políticas de permissão no IAM do AWS, nos serviços nativos e nas ferramentas CI/CD no pipeline para garantir que as alterações aos pipelines estão autorizadas.
  • Remover chaves, credenciais e segredos de código e scripts utilizados em tarefas de fluxo de trabalho CI/CD e mantê-los no arquivo de chaves ou no KMS do AWS
  • Se executar agentes de compilação/implementação autoalojados, siga os controlos do Microsoft Cloud Security Benchmark, incluindo segurança de rede, gestão de posturas e vulnerabilidades e segurança de pontos finais para proteger o seu ambiente. Utilize o Inspetor do AWS para analisar vulnerabilidades no EC2 ou no ambiente em contentor como o ambiente de compilação.

Nota: veja as secções Registo e Deteção de Ameaças, DS-7 e Gestão de Posturas e Vulnerabilidades para utilizar serviços como o AWS CloudTrail, o CloudWatch e o Microsoft Sentinel para permitir a governação, conformidade, auditoria operacional e auditoria de riscos para a sua infraestrutura de DevOps.

Implementação do AWS e contexto adicional:


Orientação do GCP: como parte da aplicação do Microsoft Cloud Security Benchmark aos controlos de segurança da infraestrutura de DevOps, priorize os seguintes controlos:

  • Proteja os artefactos e o ambiente subjacente para garantir que os pipelines CI/CD não se tornam vias para inserir código malicioso. Por exemplo, reveja o pipeline CI/CD para identificar qualquer configuração incorreta em serviços como o Google Cloud Build, Cloud Deploy, Artifact Registry, Connections e Build Agent para identificar quaisquer configurações incorretas, tais como acesso aberto, autenticação fraca, configuração de ligação insegura, etc. Para o GitHub, utilize controlos semelhantes para proteger os níveis de permissão da Organização.
  • Certifique-se de que a sua infraestrutura de DevOps é implementada de forma consistente em projetos de desenvolvimento. Controle a conformidade da sua infraestrutura de DevOps em escala através do Centro de Comandos de Segurança do Google Cloud (como Dashboard de Conformidade, Política Organizacional, Registo de ameaças individuais e Identificação de configurações incorretas) ou as suas próprias ferramentas de monitorização de conformidade.
  • Configure as permissões de identidade/função e as políticas de elegibilidade nos serviços nativos da Identidade da Cloud/AD e as ferramentas CI/CD no pipeline para garantir que as alterações aos pipelines estão autorizadas.
  • Evite fornecer acesso privilegiado permanente "permanente" às contas humanas, como programadores ou testadores, utilizando funcionalidades como identificadores geridos pela Google.
  • Remova chaves, credenciais e segredos de código e scripts utilizados em tarefas de fluxo de trabalho ci/CD e mantenha-os num arquivo de chaves ou no Google Secret Manager.
  • Se executar agentes de compilação/implementação autoalojados, siga os controlos do Microsoft Cloud Security Benchmark, incluindo segurança de rede, gestão de posturas e vulnerabilidades e segurança de pontos finais para proteger o seu ambiente.

Nota: veja as secções Registo e Deteção de Ameaças, DS-7 e Gestão de Posturas e Vulnerabilidades para utilizar serviços como o Azure Monitor e o Microsoft Sentinel ou o conjunto de operações do Google Cloud e o Chronicle SIEM e SOAR para permitir a governação, conformidade, auditoria operacional e auditoria de riscos para a sua infraestrutura de DevOps.

Implementação do GCP e contexto adicional:


Intervenientes na segurança do cliente (Saiba mais):

DS-4: Integrar testes de segurança de aplicações estáticas no pipeline de DevOps

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
16.12 SA-11 6.3, 6.5

Princípio de segurança: certifique-se de que os testes de segurança de aplicações estáticas (SAST), testes interativos, testes de aplicações móveis fazem parte dos controlos de gating no fluxo de trabalho CI/CD. A gating pode ser definida com base nos resultados dos testes para impedir que pacotes vulneráveis se comprometem no repositório, criem-se nos pacotes ou implementem na produção.


Orientação do Azure: integre o SAST no pipeline (por exemplo, na sua infraestrutura como modelo de código) para que o código fonte possa ser analisado automaticamente no fluxo de trabalho CI/CD. O Pipeline do Azure DevOps ou o GitHub podem integrar as ferramentas abaixo e ferramentas SAST de terceiros no fluxo de trabalho.

  • GitHub CodeQL para análise de código fonte.
  • Microsoft BinSkim Binary Analyzer para Windows e *nix binary analysis.
  • Scanner de Credenciais do Azure DevOps (extensão Microsoft Security DevOps) e Análise de segredos nativos do GitHub para análise de credenciais no código fonte.

Implementação do Azure e contexto adicional:


Orientação do AWS: integre o SAST no pipeline para que o código fonte possa ser analisado automaticamente no fluxo de trabalho CI/CD.

Se estiver a utilizar o AWS CodeCommit, utilize o Revisor do AWS CodeGuru para análise de código fonte Python e Java. O AWS Codepipeline também pode suportar a integração de ferramentas SAST de terceira parte no pipeline de implementação de código.

Se utilizar o GitHub, as ferramentas abaixo e as ferramentas SAST de terceiros podem ser integradas no fluxo de trabalho.

  • GitHub CodeQL para análise de código fonte.
  • Microsoft BinSkim Binary Analyzer para Windows e *nix binary analysis.
  • Análise de segredos nativos do GitHub para análise de credenciais no código fonte.
  • AWS CodeGuru Reviewer for Python and Java source code analysis(Revisor de Código do AWS CodeGuru para Python) e Java source code analysis (Análise de código fonte do AWS CodeGuru para Python e Java

Implementação do AWS e contexto adicional:


Orientação do GCP: integre o SAST (como o Escudo de Entrega de Software, a Análise de Artefactos) no pipeline (por exemplo, na sua infraestrutura como modelo de código) para que o código fonte possa ser analisado automaticamente no fluxo de trabalho ci/CD.

Serviços como Cloud Build, Cloud Deploy, Artifact Registry suportam a integração com o Escudo de Entrega de Software e a Análise de Artefactos, que pode analisar código fonte e outros artefactos no fluxo de trabalho CI/CD.

Implementação do GCP e contexto adicional:


Intervenientes na segurança do cliente (Saiba mais):

DS-5: Integrar testes de segurança de aplicações dinâmicos no pipeline de DevOps

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
16.12 SA-11 6.3, 6.5

Princípio de segurança: certifique-se de que os testes de segurança de aplicações dinâmicos (DAST) fazem parte dos controlos de gating no fluxo de trabalho CI/CD. A gating pode ser definida com base nos resultados do teste para impedir que a vulnerabilidade se crie nos pacotes ou implemente na produção.


Orientação do Azure: integre o DAST no pipeline para que a aplicação de runtime possa ser testada automaticamente no seu fluxo de trabalho CI/CD definido no Azure DevOps ou no GitHub. Os testes de penetração automatizados (com validação assistida manual) também devem fazer parte do DAST.

O Pipeline do Azure DevOps ou o GitHub suporta a integração de ferramentas DAST de terceiros no fluxo de trabalho CI/CD.

Implementação do Azure e contexto adicional:


Orientação do AWS: integre o DAST no pipeline para que a aplicação de runtime possa ser testada automaticamente no seu fluxo de trabalho CI/CD definido no AWS CodePipeline ou no GitHub. Os testes de penetração automatizados (com validação assistida manual) também devem fazer parte do DAST.

O AWS CodePipeline ou o GitHub suporta a integração de ferramentas DAST de terceiros no fluxo de trabalho CI/CD.

Implementação do AWS e contexto adicional:


Documentação de orientação do GCP: integre o DAST (como o Analisador de Segurança Web da Cloud) no pipeline para que a aplicação de runtime possa ser testada automaticamente no seu fluxo de trabalho CI/CD definido nos serviços como o Google Cloud Build, o Cloud Deploy ou o GitHub. O Analisador de Segurança Web da Cloud pode ser utilizado para identificar vulnerabilidades de segurança nas aplicações Web de carga de trabalho alojadas no Motor de Aplicação, no Google Kubernetes Engine (GKE) e no Motor de Computação. Os testes de penetração automatizados (com validação assistida manual) também devem fazer parte do DAST.

O Google Cloud Build, o Google Cloud Deploy, o Artifact Registry e o GitHub também suportam a integração de ferramentas DAST de terceiros no fluxo de trabalho CI/CD.

Implementação do GCP e contexto adicional:


Intervenientes na segurança do cliente (Saiba mais):

DS-6: Impor a segurança da carga de trabalho ao longo do ciclo de vida do DevOps

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
7.5, 7.6, 7.7, 16.1, 16.7 CM-2, CM-6, AC-2, AC-3, AC-6 6.1, 6.2, 6.3

Princípio de segurança: certifique-se de que a carga de trabalho está protegida durante todo o ciclo de vida na fase de desenvolvimento, teste e implementação. Utilize o Microsoft Cloud Security Benchmark para avaliar os controlos (como segurança de rede, gestão de identidades, acesso privilegiado, etc.) que podem ser definidos como proteções por predefinição ou shift à esquerda antes da fase de implementação. Em particular, certifique-se de que os seguintes controlos estão implementados no seu processo de DevOps:- Automatize a implementação com o Azure ou ferramentas de terceiros no fluxo de trabalho ci/CD, gestão de infraestrutura (infraestrutura como código) e teste para reduzir o erro humano e a superfície de ataque.

  • Confirme que as VMs, as imagens de contentor e outros artefactos estão protegidos contra manipulações maliciosas.
  • Analise os artefactos da carga de trabalho (por outras palavras, imagens de contentor, dependências, análises SAST e DAST) antes da implementação no fluxo de trabalho CI/CD
  • Implemente a capacidade de avaliação de vulnerabilidades e deteção de ameaças no ambiente de produção e utilize continuamente estas capacidades no tempo de execução.

Orientação do Azure: Orientações para VMs do Azure:

  • Utilize o Azure Shared Image Gallery para partilhar e controlar o acesso às suas imagens por diferentes utilizadores, principais de serviço ou grupos do AD na sua organização. Utilize o controlo de acesso baseado em funções do Azure (RBAC do Azure) para garantir que apenas os utilizadores autorizados podem aceder às suas imagens personalizadas.
  • Defina as linhas de base de configuração seguras para as VMs para eliminar credenciais, permissões e pacotes desnecessários. Implementar e impor linhas de base de configuração através de imagens personalizadas, modelos de Resource Manager do Azure e/ou Azure Policy configuração de convidado.

Documentação de orientação para os serviços de contentor do Azure:

  • Utilize Azure Container Registry (ACR) para criar o seu registo de contentor privado onde o acesso granular pode ser restringido através do RBAC do Azure, para que apenas os serviços e contas autorizados possam aceder aos contentores no registo privado.
  • Utilize o Defender para Contentores para a avaliação de vulnerabilidades das imagens no seu Azure Container Registry privado. Além disso, pode utilizar Microsoft Defender para a Cloud para integrar as análises de imagens de contentor como parte dos fluxos de trabalho ci/CD.

Para os serviços sem servidor do Azure, adote controlos semelhantes para garantir controlos de segurança "shift-left" para a fase anterior à implementação.

Implementação do Azure e contexto adicional:


Orientação do AWS: utilize o Amazon Elastic Container Registry para partilhar e controlar o acesso às suas imagens por diferentes utilizadores e funções na sua organização. Utilize o IAM do AWS para garantir que apenas os utilizadores autorizados podem aceder às suas imagens personalizadas.

Defina as linhas de base de configuração seguras para as imagens da AMI EC2 para eliminar credenciais, permissões e pacotes desnecessários. Implementar e impor linhas de base de configurações através de imagens personalizadas da AMI, modelos cloudFormation e/ou Regras de Configuração do AWS.

Utilize o Inspetor do AWS para análise de vulnerabilidades de ambientes de VMs e Contentorizados, protegendo-os de manipulação maliciosa.

Para serviços sem servidor do AWS, utilize o AWS CodePipeline em conjunto com o AWS AppConfig para adotar controlos semelhantes para garantir que os controlos de segurança "mudam para a esquerda" para a fase anterior à implementação.

Implementação do AWS e contexto adicional:


Orientação do GCP: o Google Cloud inclui controlos para proteger os seus recursos de computação e recursos de contentor do Google Kubernetes Engine (GKE). O Google inclui uma VM Blindada, que protege as instâncias de VM. Fornece segurança de arranque, monitoriza a integridade e utiliza o Virtual Trusted Platform Module (vTPM).

Utilize a Análise de Artefactos do Google Cloud para analisar vulnerabilidades em imagens de contentores ou SO e outros tipos de artefactos a pedido ou automaticamente nos pipelines. Utilize a Deteção de Ameaças de Contentor para monitorizar continuamente a indicação de Container-Optimized imagens de nós do SO. O serviço avalia todas as alterações e tentativas de acesso remoto para detetar ataques de runtime em tempo quase real.

Utilize o Registo de Artefactos para configurar o armazenamento seguro de artefactos de compilação privada para manter o controlo sobre quem pode aceder, ver ou transferir artefactos com funções e permissões de IAM nativas do registo e obter um tempo de atividade consistente na infraestrutura segura e fiável da Google.

Para serviços sem servidor GCP, adote controlos semelhantes para garantir controlos de segurança "shift-left" para a fase anterior à implementação.

Implementação do GCP e contexto adicional:


Intervenientes na segurança do cliente (Saiba mais):

DS-7: Ativar o registo e a monitorização no DevOps

CIS Controls v8 ID(s) NIST SP 800-53 r4 ID(s) PCI-DSS ID(s) v3.2.1
8.2, 8.5, 8.9, 8.11 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3, 10.6

Princípio de segurança: certifique-se de que o âmbito de registo e monitorização inclui ambientes de não produção e elementos de fluxo de trabalho CI/CD utilizados no DevOps (e em quaisquer outros processos de desenvolvimento). As vulnerabilidades e ameaças direcionadas para estes ambientes podem introduzir riscos significativos para o seu ambiente de produção se não forem monitorizados corretamente. Os eventos do fluxo de trabalho de compilação, teste e implementação de CI/CD também devem ser monitorizados para identificar quaisquer desvios nas tarefas de fluxo de trabalho ci/CD.


Orientação do Azure: ative e configure as capacidades de registo de auditoria em ambientes de ferramentas de CI/CD (como o Azure DevOps e o GitHub) utilizados ao longo do processo de DevOps.

Os eventos gerados a partir do Azure DevOps e do fluxo de trabalho CI/CD do GitHub, incluindo as tarefas de compilação, teste e implementação, também devem ser monitorizados para identificar quaisquer resultados anómalos.

Ingira os registos e eventos acima no Microsoft Sentinel ou noutras ferramentas SIEM através de um fluxo de registo ou API para garantir que os incidentes de segurança são devidamente monitorizados e triagados para processamento.

Implementação do Azure e contexto adicional:


Orientação do AWS: ative e configure o AWS CloudTrail para capacidades de registo de auditoria em ambientes de ferramentas de CI/CD não produção (como a CodePipeline do AWS, o AWS CodeBuild, o AWS CodeDeploy, o AWS CodeStar) utilizados ao longo do processo de DevOps.

Os eventos gerados a partir dos ambientes DE CI/CD do AWS (como AWS CodePipeline, AWS CodeBuild, AWS CodeDeploy, AWS CodeStar) e o fluxo de trabalho CI/CD do GitHub, incluindo as tarefas de compilação, teste e implementação, também devem ser monitorizados para identificar quaisquer resultados anómalos.

Ingira os registos e eventos acima no AWS CloudWatch, Microsoft Sentinel ou outras ferramentas SIEM através de um fluxo de registo ou API para garantir que os incidentes de segurança são devidamente monitorizados e triagados para processamento.

Implementação do AWS e contexto adicional:


Orientação do GCP: ative e configure as capacidades de registo de auditoria em ambientes de ferramentas de CI/CD não de produção para produtos como o Cloud Build, Google Cloud Deploy, Artifact Registry e GitHub, que podem ser utilizados ao longo do processo de DevOps.

Os eventos gerados a partir dos ambientes CI/CD do GCP (como Cloud Build, Google Cloud Deploy, Artifact Registry) e o fluxo de trabalho CI/CD do GitHub, incluindo as tarefas de compilação, teste e implementação, também devem ser monitorizados para identificar quaisquer resultados anómalos.

Ingira os registos e eventos acima no Microsoft Sentinel, no Centro de Comandos do Google Cloud Security, no Chronicle ou noutras ferramentas SIEM através de um fluxo de registo ou API para garantir que os incidentes de segurança são devidamente monitorizados e triagem para processamento.

Implementação do GCP e contexto adicional:


Intervenientes na segurança do cliente (Saiba mais):