Partilhar via

Ambientes de DevOps seguros para Zero Trust

  • Artigo

Proteger ambientes de DevOps não é mais uma opção para os desenvolvedores. Os hackers estão mudando para a esquerda, então você deve implementar princípios de Zero Trust que incluem verificar explicitamente, usar acesso de privilégios mínimos e assumir violação em ambientes de DevOps.

Este artigo descreve as práticas recomendadas para proteger seus ambientes de DevOps com uma abordagem Zero Trust para evitar que hackers comprometam caixas de desenvolvedores, infetem pipelines de liberação com scripts mal-intencionados e obtenham acesso a dados de produção por meio de ambientes de teste.

Nosso eBook Protegendo ambientes de DevOps Corporativos apresenta a seguinte visualização do desenvolvedor, da plataforma de DevOps e dos ambientes de aplicativos, juntamente com as ameaças potenciais à segurança de cada um.

O diagrama ilustra ambientes de DevOps e ameaças à segurança, conforme descrito no eBook vinculado acima e resumido em artigos relacionados vinculados aqui.

Observe no diagrama acima como as conexões entre ambientes e integrações externas expandem o cenário de ameaças. Essas conexões podem aumentar as oportunidades para hackers comprometerem o sistema.

Agentes mal-intencionados estão se estendendo por toda a empresa para comprometer ambientes de DevOps, obter acesso e desbloquear novos perigos. Os ataques vão além da amplitude típica das violações de segurança cibernética para injetar código malicioso, assumir identidades de desenvolvedor poderosas e roubar código de produção.

À medida que as empresas fazem a transição para cenários ubíquos de trabalho a partir de qualquer lugar, devem reforçar a segurança dos dispositivos. Os escritórios de segurança cibernética podem não ter uma compreensão consistente de onde e como os desenvolvedores protegem e criam código. Os atacantes aproveitam essas fraquezas com hacks de conexão remota e roubos de identidade de desenvolvedores.

As ferramentas de DevOps são pontos de entrada fundamentais para os hackers, desde a automação de pipeline até a validação de código e repositórios de código. Se agentes mal-intencionados infetarem o código antes que ele chegue aos sistemas de produção, na maioria dos casos, ele pode passar por pontos de verificação de segurança cibernética. Para evitar comprometimentos, certifique-se de que suas equipes de desenvolvimento estejam envolvidas com revisões por pares, verificações de segurança com plug-ins de segurança do IDE, padrões de codificação seguros e revisão de filiais.

As equipas de cibersegurança têm como objetivo impedir que os atacantes peneirem os ambientes de produção. No entanto, os ambientes agora incluem ferramentas e produtos da cadeia de suprimentos. A violação de ferramentas de código aberto pode aumentar os riscos globais de cibersegurança.

Saiba mais sobre artigos específicos do desenvolvedor com os seguintes artigos do DevSecOps na seção Orientação para desenvolvedores do Centro de Orientação Zero Trust:

  • Proteger o ambiente da plataforma DevOps ajuda você a implementar os princípios Zero Trust em seu ambiente de plataforma DevOps e destaca as práticas recomendadas para gerenciamento de segredos e certificados.
  • Proteger o ambiente do desenvolvedor ajuda você a implementar os princípios do Zero Trust em seus ambientes de desenvolvimento com práticas recomendadas para privilégios mínimos, segurança de filial e ferramentas, extensões e integrações confiáveis.
  • Incorporar a segurança Zero Trust no seu fluxo de trabalho de desenvolvedor ajuda você a inovar de forma rápida e segura.

Próximos passos

  • Acelere e proteja seu código com o Azure DevOps com ferramentas que oferecem aos desenvolvedores a experiência de código para nuvem mais rápida e segura.
  • Inscreva-se na CLI do Desenvolvedor do Azure, uma ferramenta de código aberto que acelera o tempo necessário para começar a usar o Azure.
  • Configure o Azure para confiar no OIDC do GitHub como uma identidade federada. O OpenID Connect (OIDC) permite que seus fluxos de trabalho de Ações do GitHub acessem recursos no Azuresem a necessidade de armazenar as credenciais do Azure como segredos de longa duração do GitHub.
  • O centro de recursos de DevOps ajuda você com práticas de DevOps, métodos Agile, controle de versão do Git, DevOps na Microsoft e como avaliar o progresso do DevOps da sua organização.
  • Saiba como a solução Microsoft DevSecOps integra a segurança em todos os aspetos do ciclo de vida de entrega de software para habilitar o DevSecOps, ou DevOps seguro, para aplicativos na nuvem (e em qualquer lugar) com o Azure e o GitHub.
  • Implementar os princípios do Zero Trust, conforme descrito no memorando 22-09 (em apoio à ordem executiva dos EUA 14028, Improving the Nation's Cyber Security) usando o Microsoft Entra ID como um sistema centralizado de gerenciamento de identidade.