Partilhar via

Controle de segurança: segurança DevOps

O DevOps Security abrange os controles relacionados à engenharia de segurança e às operações nos processos de DevOps, incluindo a implantação de verificações de segurança críticas (como testes de segurança de aplicativos estáticos, gerenciamento de vulnerabilidades) antes da fase de implantação para garantir a segurança durante todo o processo de DevOps; Também inclui tópicos comuns, como modelagem de ameaças e segurança de fornecimento de software.

DS-1: Conduzir modelagem de ameaças

Controles CIS v8 ID(s) NIST SP 800-53 r4 Identificador(es) PCI-DSS ID(s) v3.2.1
16.10, 16.14 SA-15 6.5, 12.2

Princípio de segurança: Execute a modelagem de ameaças para identificar as ameaças potenciais e enumerar os controles atenuantes. Certifique-se de que sua modelagem de ameaças atenda aos seguintes propósitos:

  • Proteja os seus aplicativos e serviços na fase de runtime de produção.
  • Proteja os artefatos, o pipeline de CI/CD subjacente e as outras ferramentas de suporte usadas para construção, teste e implantação. A modelagem de ameaças deve incluir, pelo menos, os seguintes aspetos:
  • Defina os requisitos de segurança do aplicativo. Certifique-se de que esses requisitos sejam adequadamente abordados na modelagem de ameaças.
  • Analise componentes de aplicativos, conexões de dados e seu relacionamento. Certifique-se de que essa análise também inclua as conexões upstream e downstream fora do escopo do seu aplicativo.
  • Liste as ameaças potenciais e os vetores de ataque aos quais os componentes do aplicativo, as conexões de dados e os serviços upstream e downstream podem estar expostos.
  • Identifique os controles de segurança aplicáveis que podem ser usados para mitigar as ameaças enumeradas e identifique quaisquer lacunas de controle (por exemplo, vulnerabilidades de segurança) que possam exigir planos de tratamento adicionais.
  • Enumere e projete os controles que podem mitigar as vulnerabilidades identificadas.

Orientação do Azure: use ferramentas de modelagem de ameaças, como a ferramenta de modelagem de ameaças da Microsoft, com o modelo de modelo de ameaça do Azure incorporado para conduzir seu processo de modelagem de ameaças. Use o modelo STRIDE para enumerar as ameaças internas e externas e identificar os controles aplicáveis. Certifique-se de que o processo de modelagem de ameaças inclua os cenários de ameaça no processo de DevOps, como injeção de código mal-intencionado por meio de um repositório de artefatos inseguro com política de controle de acesso mal configurada.

Se o uso de uma ferramenta de modelagem de ameaças não for aplicável, você deve, no mínimo, usar um processo de modelagem de ameaças baseado em questionário para identificar as ameaças.

Certifique-se de que os resultados da modelagem ou análise de ameaças sejam registrados e atualizados quando houver uma grande alteração de impacto na segurança em seu aplicativo ou no cenário de ameaças.

Implementação do Azure e contexto adicional:

Orientação da AWS: use ferramentas de modelagem de ameaças, como a ferramenta de modelagem de ameaças da Microsoft, com o modelo de modelo de ameaça do Azure incorporado para impulsionar seu processo de modelagem de ameaças. Use o modelo STRIDE para enumerar as ameaças internas e externas e identificar os controles aplicáveis. Certifique-se de que o processo de modelagem de ameaças inclua os cenários de ameaça no processo de DevOps, como injeção de código mal-intencionado por meio de um repositório de artefatos inseguro com política de controle de acesso mal configurada.

Se o uso de uma ferramenta de modelagem de ameaças não for aplicável, você deve, no mínimo, usar um processo de modelagem de ameaças baseado em questionário para identificar as ameaças.

Certifique-se de que os resultados da modelagem ou análise de ameaças sejam registrados e atualizados quando houver uma grande alteração de impacto na segurança em seu aplicativo ou no cenário de ameaças.

Implementação da AWS e contexto adicional:

Orientação do GCP: use ferramentas de modelagem de ameaças, como a ferramenta de modelagem de ameaças da Microsoft, com o modelo de modelo de ameaça do Azure incorporado para conduzir seu processo de modelagem de ameaças. Use o modelo STRIDE para enumerar as ameaças internas e externas e identificar os controles aplicáveis. Certifique-se de que o processo de modelagem de ameaças inclua os cenários de ameaça no processo de DevOps, como injeção de código mal-intencionado por meio de um repositório de artefatos inseguro com política de controle de acesso mal configurada.

Se o uso de uma ferramenta de modelagem de ameaças não for aplicável, você deve, no mínimo, usar um processo de modelagem de ameaças baseado em questionário para identificar as ameaças.

Certifique-se de que os resultados da modelagem ou análise de ameaças sejam registrados e atualizados quando houver uma grande alteração de impacto na segurança em seu aplicativo ou no cenário de ameaças.

Implementação do GCP e contexto adicional:

Intervenientes na segurança do cliente (Saiba mais):

DS-2: Garanta a segurança da cadeia de suprimentos de software

Controles CIS v8 ID(s) NIST SP 800-53 r4 Identificador(es) PCI-DSS ID(s) v3.2.1
16.4, 16.6, 16.11 SA-12, SA-15 6.3, 6.5

Princípio de segurança: Certifique-se de que o SDLC (Ciclo de Vida de Desenvolvimento de Software) ou processo da sua empresa inclua um conjunto de controles de segurança para controlar os componentes de software internos e de terceiros (incluindo software proprietário e de código aberto) onde seus aplicativos têm dependências. Defina critérios de regulação para impedir que componentes vulneráveis ou mal-intencionados sejam integrados e implantados no ambiente.

Os controlos de segurança da cadeia de abastecimento de software devem incluir, pelo menos, os seguintes aspetos:

  • Gerencie adequadamente uma lista de materiais de software (SBOM) identificando as dependências upstream necessárias para a fase de desenvolvimento, compilação, integração e implantação de serviços/recursos.
  • Inventarie e rastreie os componentes de software internos e de terceiros em busca de vulnerabilidades conhecidas quando houver uma correção disponível no upstream.
  • Avalie as vulnerabilidades e malware nos componentes de software usando testes estáticos e dinâmicos de aplicativos para vulnerabilidades desconhecidas.
  • Certifique-se de que as vulnerabilidades e o malware são mitigados usando a abordagem apropriada. Isso pode incluir correção local ou upstream do código-fonte, exclusão de recursos e/ou aplicação de controles de compensação se a mitigação direta não estiver disponível.

Se componentes de terceiros de código fechado forem usados em seu ambiente de produção, você pode ter visibilidade limitada de sua postura de segurança. Você deve considerar controles adicionais, como controle de acesso, isolamento de rede e segurança de ponto final, para minimizar o impacto se houver uma atividade maliciosa ou vulnerabilidade associada ao componente.

Orientação do Azure: Para a plataforma GitHub, garanta a segurança da cadeia de suprimentos de software por meio dos seguintes recursos ou ferramentas do GitHub Advanced Security ou do recurso nativo do GitHub:- Use o Gráfico de Dependência para verificar, inventariar e identificar todas as dependências do seu projeto e vulnerabilidades relacionadas por meio do Banco de Dados de Consultoria.

  • Use o Dependabot para garantir que a dependência vulnerável seja rastreada e corrigida e garantir que seu repositório acompanhe automaticamente as versões mais recentes dos pacotes e aplicativos dos quais depende.
  • Use o recurso de varredura de código nativo do GitHub para verificar o código-fonte ao fornecer o código externamente.
  • Use o Microsoft Defender for Cloud para integrar a avaliação de vulnerabilidade para sua imagem de contêiner no fluxo de trabalho de CI/CD. Para o Azure DevOps, você pode usar extensões de terceiros para implementar controles semelhantes para inventariar, analisar e corrigir os componentes de software de terceiros e suas vulnerabilidades.

Implementação do Azure e contexto adicional:

Orientação da AWS: se você usa plataformas AWS CI/CD, como CodeCommit ou CodePipeline, garanta a segurança da cadeia de suprimentos do software usando o CodeGuru Reviewer para verificar o código-fonte (para Java e Python) por meio dos fluxos de trabalho de CI/CD. Plataformas como CodeCommit e CodePipeline também suportam extensões de terceiros para implementar controles semelhantes para inventariar, analisar e corrigir os componentes de software de terceiros e suas vulnerabilidades.

Se você gerencia seu código-fonte por meio da plataforma GitHub, garanta a segurança da cadeia de suprimentos de software por meio dos seguintes recursos ou ferramentas do GitHub Advanced Security ou do recurso nativo do GitHub:

  • Use o Gráfico de Dependência para verificar, inventariar e identificar todas as dependências do seu projeto e vulnerabilidades relacionadas por meio do Banco de Dados de Aconselhamento.
  • Use o Dependabot para garantir que a dependência vulnerável seja rastreada e corrigida e garantir que seu repositório acompanhe automaticamente as versões mais recentes dos pacotes e aplicativos dos quais depende.
  • Use o recurso de varredura de código nativo do GitHub para verificar o código-fonte ao fornecer o código externamente.
  • Se aplicável, use o Microsoft Defender for Cloud para integrar a avaliação de vulnerabilidade para sua imagem de contêiner no fluxo de trabalho de CI/CD.

Implementação da AWS e contexto adicional:

Orientação GCP: use o Software Delivery Shield para realizar análises completas de segurança da cadeia de suprimentos de software. Isso inclui o serviço Assured OSS (Open Source Software) para acesso e incorporação dos pacotes OSS que foram verificados e testados pelo Google, bem como pacotes Java e Python validados que são construídos usando pipelines seguros do Google. Esses pacotes são regularmente verificados, analisados e testados quanto a vulnerabilidades. Esses recursos podem ser integrados ao Google Cloud Build, Cloud Deploy, Artifact Registry, Artifact Analysis como parte dos fluxos de trabalho de CI/CD.

Se você gerencia seu código-fonte por meio da plataforma GitHub, garanta a segurança da cadeia de suprimentos de software por meio dos seguintes recursos ou ferramentas do GitHub Advanced Security ou do recurso nativo do GitHub:

  • Use o Gráfico de Dependência para verificar, inventariar e identificar todas as dependências do seu projeto e vulnerabilidades relacionadas por meio do Banco de Dados de Aconselhamento.
  • Use o Dependabot para garantir que a dependência vulnerável seja rastreada e corrigida e garantir que seu repositório acompanhe automaticamente as versões mais recentes dos pacotes e aplicativos dos quais depende.
  • Use o recurso de varredura de código nativo do GitHub para verificar o código-fonte ao fornecer o código externamente.
  • Se aplicável, use o Microsoft Defender for Cloud para integrar a avaliação de vulnerabilidade para sua imagem de contêiner no fluxo de trabalho de CI/CD.

Implementação do GCP e contexto adicional:

Intervenientes na segurança do cliente (Saiba mais):

DS-3: Infraestrutura segura de DevOps

Controles CIS v8 ID(s) NIST SP 800-53 r4 Identificador(es) PCI-DSS ID(s) v3.2.1
16.7 CM-2, CM-6, AC-2, AC-3, AC-6 2.2, 6.3, 7.1

Princípio de segurança: garanta que a infraestrutura e o pipeline de DevOps sigam as práticas recomendadas de segurança em todos os ambientes, incluindo os estágios de compilação, teste e produção. Isso geralmente inclui os controles de segurança para o seguinte escopo:

  • Repositórios de artefatos que armazenam código-fonte, pacotes e imagens construídos, artefatos de projeto e dados de negócios.
  • Servidores, serviços e ferramentas que suportam os pipelines de CI/CD.
  • Configuração de CI/CD pipeline.

Orientação do Azure: Como parte da aplicação do Microsoft Cloud Security Benchmark aos seus controles de segurança de infraestrutura de DevOps, priorize os seguintes controles:

  • Proteja os artefatos e o ambiente subjacente para garantir que os pipelines de CI/CD não se tornem vias para inserir código mal-intencionado. Por exemplo, revise seu pipeline de CI/CD para identificar qualquer configuração incorreta nas principais áreas do Azure DevOps, como Organização, Projetos, Usuários, Pipelines (Build & Release), Conexões e Build Agent para identificar quaisquer configurações incorretas, como acesso aberto, autenticação fraca, configuração de conexão insegura e assim por diante. Para o GitHub, use controles semelhantes para proteger os níveis de permissão da Organização.
  • Garanta que sua infraestrutura de DevOps seja implantada de forma consistente em todos os projetos de desenvolvimento. Acompanhe a conformidade de sua infraestrutura de DevOps em escala usando o Microsoft Defender for Cloud (como Painel de Conformidade, Política do Azure, Gerenciamento de Postura na Nuvem) ou suas próprias ferramentas de monitoramento de conformidade.
  • Configure permissões de identidade/função e políticas de atribuição no Azure AD, serviços nativos e ferramentas de CI/CD no seu pipeline para garantir que as alterações nos pipelines sejam autorizadas.
  • Evite fornecer acesso privilegiado "permanente" às contas de utilizadores, como desenvolvedores ou testadores, utilizando recursos como identidades geridas pelo Azure e acesso just-in-time.
  • Remova chaves, credenciais e segredos de códigos e scripts usados em trabalhos de fluxo de trabalho de CI/CD e mantenha-os em um armazenamento de chaves ou no Cofre de Chaves do Azure.
  • Se você executar agentes de compilação/implantação auto-hospedados, siga os controles do Microsoft Cloud Security Benchmark, incluindo segurança de rede, gerenciamento de postura e vulnerabilidade e segurança de ponto final para proteger seu ambiente.

Observação: consulte as seções Registro em log e deteção de ameaças, DS-7 e Gerenciamento de postura e vulnerabilidade para usar serviços como o Azure Monitor e o Microsoft Sentinel para habilitar governança, conformidade, auditoria operacional e auditoria de risco para sua infraestrutura de DevOps.

Implementação do Azure e contexto adicional:

Orientação da AWS: como parte da aplicação do Microsoft Cloud Security Benchmark aos controles de segurança de sua infraestrutura de DevOps, como GitHub, CodeCommit, CodeArtifact, CodePipeline, CodeBuild e CodeDeploy, priorize os seguintes controles:

  • Consulte esta orientação e o pilar de segurança do AWS Well-architected Framework para proteger seus ambientes de DevOps na AWS.
  • Proteja os artefatos e a infraestrutura de suporte subjacente para garantir que os pipelines de CI/CD não se tornem vias para inserir código mal-intencionado.
  • Garanta que sua infraestrutura de DevOps seja implantada e sustentada de forma consistente em todos os projetos de desenvolvimento. Acompanhe a conformidade de sua infraestrutura de DevOps em escala usando o AWS Config ou sua própria solução de verificação de conformidade.
  • Use o CodeArtifact para armazenar e compartilhar com segurança pacotes de software usados para o desenvolvimento de aplicativos. Você pode usar o CodeArtifact com ferramentas de compilação populares e gerenciadores de pacotes, como Maven, Gradle, npm, yarn, pip e twine.
  • Configure permissões de identidade/função e políticas de permissão no AWS IAM, serviços nativos e ferramentas de CI/CD em seu pipeline para garantir que as alterações nos pipelines sejam autorizadas.
  • Remova chaves, credenciais e segredos de códigos e scripts usados em trabalhos de fluxo de trabalho de CI/CD e mantenha-os no armazenamento de chaves ou no AWS KMS
  • Se você executar agentes de compilação/implantação auto-hospedados, siga os controles do Microsoft Cloud Security Benchmark, incluindo segurança de rede, gerenciamento de postura e vulnerabilidade e segurança de ponto final para proteger seu ambiente. Use o AWS Inspetor para verificar vulnerabilidades no EC2 ou no ambiente em contêineres como ambiente de compilação.

Observação: consulte as seções Registro em log e deteção de ameaças, DS-7 e Gerenciamento de postura e vulnerabilidade para usar serviços como AWS CloudTrail, CloudWatch e Microsoft Sentinel para habilitar governança, conformidade, auditoria operacional e auditoria de risco para sua infraestrutura de DevOps.

Implementação da AWS e contexto adicional:

Orientação do GCP: Como parte da aplicação do Microsoft Cloud Security Benchmark aos controles de segurança da infraestrutura de DevOps, priorize os seguintes controles:

  • Proteja os artefatos e o ambiente subjacente para garantir que os pipelines de CI/CD não se tornem vias para inserir código mal-intencionado. Por exemplo, revise seu pipeline de CI/CD para identificar qualquer configuração incorreta em serviços como Google Cloud Build, Cloud Deploy, Artifact Registry, Connections e Build Agent para identificar quaisquer configurações incorretas, como acesso aberto, autenticação fraca, configuração de conexão insegura e assim por diante. Para o GitHub, use controles semelhantes para proteger os níveis de permissão da Organização.
  • Garanta que sua infraestrutura de DevOps seja implantada de forma consistente em todos os projetos de desenvolvimento. Acompanhe a conformidade da sua infraestrutura de DevOps em escala usando o Centro de Comando do Google Cloud Security (como Painel de Conformidade, Política Organizacional, Registro de ameaças individuais e Identificação de configurações incorretas) ou suas próprias ferramentas de monitoramento de conformidade.
  • Configure permissões de identidade/função e políticas de direitos nos serviços nativos do Cloud Identity/AD e ferramentas de CI/CD em seu pipeline para garantir que as alterações nos pipelines sejam autorizadas.
  • Evite fornecer acesso privilegiado permanente às contas de usuários, como desenvolvedores ou testadores, utilizando recursos como as identidades geridas pelo Google.
  • Remova chaves, credenciais e segredos de códigos e scripts usados em tarefas de fluxos de trabalho de CI/CD e mantenha-os em um armazém de chaves ou no Google Secret Manager.
  • Se você executar agentes de compilação/implantação auto-hospedados, siga os controles do Microsoft Cloud Security Benchmark, incluindo segurança de rede, gerenciamento de postura e vulnerabilidade e segurança de ponto final para proteger seu ambiente.

Observação: consulte as seções Registro em log e deteção de ameaças, DS-7 e Gerenciamento de postura e vulnerabilidade para usar serviços como o Azure Monitor e o Microsoft Sentinel ou o pacote de operações do Google Cloud e o Chronicle SIEM e SOAR para habilitar a governança, a conformidade, a auditoria operacional e a auditoria de risco para sua infraestrutura de DevOps.

Implementação do GCP e contexto adicional:

Intervenientes na segurança do cliente (Saiba mais):

DS-4: Integre testes de segurança de aplicativos estáticos no pipeline de DevOps

Controles CIS v8 ID(s) NIST SP 800-53 r4 Identificador(es) PCI-DSS ID(s) v3.2.1
16.12 SA-11 6.3, 6.5

Princípio de segurança: Garantir que o teste fuzz, os testes de segurança de aplicações estáticas (SAST), os testes interativos e os testes de aplicações móveis façam parte dos controles de aprovação no fluxo de trabalho de CI/CD. A regulação pode ser definida com base nos resultados dos testes para evitar que pacotes vulneráveis sejam cometidos no repositório, sejam incorporados nos pacotes ou sejam implementados na produção.

Orientação do Azure: integre o SAST em seu pipeline (por exemplo, em sua infraestrutura como modelo de código) para que o código-fonte possa ser verificado automaticamente em seu fluxo de trabalho de CI/CD. O Azure DevOps Pipeline ou o GitHub podem integrar as ferramentas abaixo e as ferramentas SAST de terceiros no fluxo de trabalho.

  • GitHub CodeQL para análise de código-fonte.
  • Microsoft BinSkim Binary Analyzer para Windows e análise binária *nix.
  • Azure DevOps Credential Scanner (extensão de Microsoft Security DevOps) e verificação de segredos nativos do GitHub para análise de credenciais no código-fonte.

Implementação do Azure e contexto adicional:

Orientação da AWS: integre o SAST em seu pipeline para que o código-fonte possa ser digitalizado automaticamente em seu fluxo de trabalho de CI/CD.

Se estiver usando o AWS CodeCommit, use o AWS CodeGuru Reviewer para análise de código-fonte Python e Java. O AWS Codepipeline também pode oferecer suporte à integração de ferramentas SAST de terceiros no pipeline de implantação de código.

Se estiver usando o GitHub, as ferramentas abaixo e as ferramentas SAST de terceiros podem ser integradas ao fluxo de trabalho.

  • GitHub CodeQL para análise de código-fonte.
  • Microsoft BinSkim Binary Analyzer para Windows e análise binária *nix.
  • Verificação nativa de segredos do GitHub para escanear credenciais no código-fonte.
  • Revisor do AWS CodeGuru para análise de código-fonte Python e Java.

Implementação da AWS e contexto adicional:

Orientação GCP: integre o SAST (como o Escudo de Entrega de Software, Análise de Artefatos) em seu pipeline (por exemplo, em sua infraestrutura como modelo de código) para que o código-fonte possa ser digitalizado automaticamente em seu fluxo de trabalho de CI/CD.

Serviços como Cloud Build, Cloud Deploy, Artifact Registry suportam a integração com o Software Delivery Shield e o Artifact Analysis, que podem digitalizar o código-fonte e outros artefatos no fluxo de trabalho de CI/CD.

Implementação do GCP e contexto adicional:

Intervenientes na segurança do cliente (Saiba mais):

DS-5: Integre testes dinâmicos de segurança de aplicativos no pipeline de DevOps

Controles CIS v8 ID(s) NIST SP 800-53 r4 Identificador(es) PCI-DSS ID(s) v3.2.1
16.12 SA-11 6.3, 6.5

Princípio de segurança: Garanta que os testes dinâmicos de segurança de aplicativos (DAST) façam parte dos controles de regulação no fluxo de trabalho de CI/CD. O limite pode ser definido com base nos resultados dos testes para evitar que a vulnerabilidade seja incorporada aos pacotes ou implantada na produção.

Orientação do Azure: integre o DAST em seu pipeline para que o aplicativo de tempo de execução possa ser testado automaticamente em seu conjunto de fluxo de trabalho de CI/CD no Azure DevOps ou no GitHub. O ensaio de penetração automatizado (com validação assistida manual) também deve fazer parte do DAST.

O Azure DevOps Pipeline ou GitHub dá suporte à integração de ferramentas DAST de terceiros no fluxo de trabalho de CI/CD.

Implementação do Azure e contexto adicional:

Orientação da AWS: integre o DAST ao seu pipeline para que o aplicativo de tempo de execução possa ser testado automaticamente em seu fluxo de trabalho de CI/CD definido no AWS CodePipeline ou no GitHub. O ensaio de penetração automatizado (com validação assistida manual) também deve fazer parte do DAST.

O AWS CodePipeline ou o GitHub oferece suporte à integração de ferramentas DAST de terceiros no fluxo de trabalho de CI/CD.

Implementação da AWS e contexto adicional:

Orientação GCP: Integre o DAST (como o Cloud Web Security Scanner) no seu pipeline para que a aplicação em tempo de execução possa ser testada automaticamente no seu workflow de CI/CD definido em serviços como Google Cloud Build, Cloud Deploy ou GitHub. O Cloud Web Security Scanner pode ser usado para identificar vulnerabilidades de segurança em seus aplicativos Web de carga de trabalho hospedados no App Engine, Google Kubernetes Engine (GKE) e Compute Engine. O ensaio de penetração automatizado (com validação assistida manual) também deve fazer parte do DAST.

O Google Cloud Build, o Google Cloud Deploy, o Artifact Registry e o GitHub também suportam a integração de ferramentas DAST de terceiros no fluxo de trabalho de CI/CD.

Implementação do GCP e contexto adicional:

Intervenientes na segurança do cliente (Saiba mais):

DS-6: Reforçar a segurança da carga de trabalho durante todo o ciclo de vida do DevOps

Controles CIS v8 ID(s) NIST SP 800-53 r4 Identificador(es) PCI-DSS ID(s) v3.2.1
7.5, 7.6, 7.7, 16.1, 16.7 CM-2, CM-6, AC-2, AC-3, AC-6 6.1, 6.2, 6.3

Princípio de segurança: garanta que a carga de trabalho esteja protegida durante todo o ciclo de vida no estágio de desenvolvimento, teste e implantação. Use o Microsoft Cloud Security Benchmark para avaliar os controles (como segurança de rede, gerenciamento de identidade, acesso privilegiado e assim por diante) que podem ser definidos como guardrails por padrão ou deslocar para a esquerda antes do estágio de implantação. Em particular, certifique-se de que os seguintes controles estejam em vigor em seu processo de DevOps:- Automatize a implantação usando ferramentas do Azure ou de terceiros no fluxo de trabalho de CI/CD, gerenciamento de infraestrutura (infraestrutura como código) e testes para reduzir erros humanos e superfície de ataque.

  • Certifique-se de que VMs, imagens de contêiner e outros artefatos estejam protegidos contra manipulação maliciosa.
  • Analise os artefatos de carga de trabalho (em outras palavras, imagens de contêiner, dependências, verificações SAST e DAST) antes da implantação no fluxo de trabalho de CI/CD
  • Implante a capacidade de avaliação de vulnerabilidades e deteção de ameaças no ambiente de produção e use continuamente esses recursos em tempo de execução.

Orientação do Azure: Orientação para VMs do Azure:

  • Use a Galeria de Imagens Compartilhadas do Azure para compartilhar e controlar o acesso às suas imagens por diferentes usuários, entidades de serviço ou grupos do AD em sua organização. Use o controle de acesso baseado em função do Azure (Azure RBAC) para garantir que apenas usuários autorizados possam acessar suas imagens personalizadas.
  • Defina as linhas de base de configuração segura para as VMs para eliminar credenciais, permissões e pacotes desnecessários. Implante e imponha linhas de base de configuração por meio de imagens personalizadas, modelos do Azure Resource Manager e/ou configuração de convidado da Política do Azure.

Orientação para serviços de contêiner do Azure:

  • Use o Registro de Contêiner do Azure (ACR) para criar seu registro de contêiner privado onde o acesso granular pode ser restrito por meio do RBAC do Azure, para que apenas serviços e contas autorizados possam acessar os contêineres no registro privado.
  • Use o Defender for Containers para avaliar a vulnerabilidade das imagens em seu Registro de Contêiner privado do Azure. Além disso, você pode usar o Microsoft Defender for Cloud para integrar as verificações de imagem de contêiner como parte de seus fluxos de trabalho de CI/CD.

Para serviços sem servidor do Azure, adote controles semelhantes para garantir que os controles de segurança "desloquem-se" para o estágio anterior à implantação.

Implementação do Azure e contexto adicional:

Orientação da AWS: use o Amazon Elastic Container Registry para compartilhar e controlar o acesso às suas imagens por diferentes usuários e funções dentro da sua organização. E use o AWS IAM para garantir que apenas usuários autorizados possam acessar suas imagens personalizadas.

Defina as linhas de base de configuração segura para as imagens AMI do EC2 para eliminar credenciais, permissões e pacotes desnecessários. Implante e aplique linhas de base de configurações por meio de imagens AMI personalizadas, modelos do CloudFormation e/ou regras do AWS Config.

Use o AWS Inspetor para varredura de vulnerabilidades de VMs e ambientes em contêineres, protegendo-os contra manipulação maliciosa.

Para serviços sem servidor da AWS, use o AWS CodePipeline em conjunto com o AWS AppConfig para adotar controles semelhantes para garantir que os controles de segurança "mudem para a esquerda" para o estágio anterior à implantação.

Implementação da AWS e contexto adicional:

Orientação do GCP: o Google Cloud inclui controles para proteger seus recursos de computação e recursos de contêiner do Google Kubernetes Engine (GKE). O Google inclui a VM blindada, que protege as instâncias da VM. Ele fornece segurança de inicialização, monitora a integridade e usa o Virtual Trusted Platform Module (vTPM).

Use o Google Cloud Artifact Analysis para verificar vulnerabilidades em imagens de contêiner ou sistema operacional e outros tipos de artefatos sob demanda ou automaticamente em seus pipelines. Use Deteção de Ameaças de Contentores para monitorizar continuamente o estado das imagens do nó Container-Optimized do sistema operativo. O serviço avalia todas as alterações e tentativas de acesso remoto para detetar ataques durante a execução em tempo quase real.

Utilize o Registro de Artefatos para configurar o armazenamento seguro de artefatos de compilações privadas a fim de manter o controle sobre quem pode acessar, visualizar ou baixar artefatos com funções e permissões nativas do IAM do Registro e para garantir disponibilidade consistente na infraestrutura segura e fiável do Google.

Para serviços sem servidor GCP, adote controles semelhantes para garantir que os controles de segurança sejam "deslocados para a esquerda" para o estágio anterior à implantação.

Implementação do GCP e contexto adicional:

Intervenientes na segurança do cliente (Saiba mais):

DS-7: Habilitar registro e monitoramento em DevOps

Controles CIS v8 ID(s) NIST SP 800-53 r4 Identificador(es) PCI-DSS ID(s) v3.2.1
8.2, 8.5, 8.9, 8.11 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3, 10.6

Princípio de segurança: Certifique-se de que seu escopo de registro e monitoramento inclua ambientes que não sejam de produção e elementos de fluxo de trabalho de CI/CD usados em DevOps (e quaisquer outros processos de desenvolvimento). As vulnerabilidades e ameaças direcionadas a esses ambientes podem introduzir riscos significativos ao seu ambiente de produção se não forem monitoradas corretamente. Os eventos do fluxo de trabalho de compilação, teste e implantação de CI/CD também devem ser monitorados para identificar quaisquer desvios nos trabalhos de fluxo de trabalho de CI/CD.

Orientação do Azure: habilite e configure os recursos de log de auditoria em ambientes de ferramentas de CI/CD e não de produção (como Azure DevOps e GitHub) usados durante todo o processo de DevOps.

Os eventos gerados a partir do Azure DevOps e do fluxo de trabalho de CI/CD do GitHub, incluindo os trabalhos de compilação, teste e implantação, também devem ser monitorados para identificar quaisquer resultados anômalos.

Ingerir os logs e eventos acima no Microsoft Sentinel ou em outras ferramentas SIEM por meio de um fluxo de log ou API para garantir que os incidentes de segurança sejam adequadamente monitorados e triados para manipulação.

Implementação do Azure e contexto adicional:

Orientação da AWS: habilite e configure o AWS CloudTrail para recursos de log de auditoria em ambientes de ferramentas de CI/CD e não produção (como AWS CodePipeline, AWS CodeBuild, AWS CodeDeploy, AWS CodeStar) usados durante todo o processo de DevOps.

Os eventos gerados a partir dos ambientes AWS CI/CD (como AWS CodePipeline, AWS CodeBuild, AWS CodeDeploy, AWS CodeStar) e do fluxo de trabalho de CI/CD do GitHub, incluindo os trabalhos de compilação, teste e implantação, também devem ser monitorados para identificar quaisquer resultados anômalos.

Ingerir os logs e eventos acima no AWS CloudWatch, Microsoft Sentinel ou outras ferramentas SIEM por meio de um fluxo de registro ou API para garantir que os incidentes de segurança sejam adequadamente monitorados e triados para tratamento.

Implementação da AWS e contexto adicional:

Orientação do GCP: habilite e configure os recursos de log de auditoria em ambientes de ferramentas de CI/CD e não produção para produtos como Cloud Build, Google Cloud Deploy, Artifact Registry e GitHub, que podem ser usados durante todo o processo de DevOps.

Os eventos gerados a partir dos ambientes CI/CD GCP (como Cloud Build, Google Cloud Deploy, Artifact Registry) e do fluxo de trabalho de CI/CD do GitHub, incluindo os trabalhos de compilação, teste e implantação, também devem ser monitorados para identificar quaisquer resultados anômalos.

Ingerir os logs e eventos acima no Microsoft Sentinel, Google Cloud Security Command Center, Chronicle ou outras ferramentas SIEM por meio de um fluxo de registro ou API para garantir que os incidentes de segurança sejam adequadamente monitorados e triados para tratamento.

Implementação do GCP e contexto adicional:

Intervenientes na segurança do cliente (Saiba mais):