Поделиться через


Улучшение состояния безопасности среды DevOps

С увеличением кибератак на системы управления исходным кодом и конвейеров непрерывной интеграции и непрерывной доставки, защита платформ DevOps от различных угроз, определенных в Матрице угроз DevOps, имеет решающее значение. Такие кибератаки могут включать внедрение кода, эскалацию привилегий и кражу данных, что может привести к широкому влиянию.

Управление состоянием DevOps — это функция в Microsoft Defender для облака, что:

  • Предоставляет аналитические сведения о безопасности всего жизненного цикла цепочки поставок программного обеспечения.
  • Использует расширенные сканеры для подробных оценок.
  • Охватывает различные ресурсы, от организаций, конвейеров и репозиториев.
  • Позволяет клиентам снизить уровень атаки, обнаруживая и действуя по предоставленным рекомендациям.

Сканеры DevOps

Для предоставления результатов управление состоянием DevOps использует сканеры DevOps для выявления слабых мест в управлении исходным кодом и непрерывной интеграции и непрерывной доставки конвейеров, выполняя проверки на соответствие конфигурациям безопасности и элементам управления доступом.

Сканеры Azure DevOps и GitHub используются внутри Корпорации Майкрософт для выявления рисков, связанных с ресурсами DevOps, уменьшения поверхности атаки и укрепления корпоративных систем DevOps.

После подключения среды DevOps Defender для облака автоматически настраивает эти сканеры для выполнения повторяющихся проверок каждые 24 часа в нескольких ресурсах DevOps, в том числе:

  • Сборки
  • Безопасные файлы
  • Группы переменных
  • Подключения службы
  • Организации
  • Репозитории

Уменьшение рисков в матрице угроз DevOps

Управление состоянием DevOps помогает организациям обнаруживать и устранять вредоносные неправильные конфигурации на платформе DevOps. Это приводит к устойчивой среде DevOps нулевого доверия, которая усиливается в отношении ряда угроз, определенных в матрице угроз DevOps. Основными элементами управления постами являются следующие элементы управления:

  • Ограниченный секретный доступ: свести к минимуму воздействие конфиденциальной информации и снизить риск несанкционированного доступа, утечки данных и бокового перемещения, гарантируя, что каждый конвейер имеет доступ только к секретам, необходимым для ее функции.

  • Ограничение локальных модулей выполнения и высоких разрешений: предотвращение несанкционированных выполнения и потенциальных эскалаций путем предотвращения локальных запусков и обеспечения разрешений конвейера только для чтения.

  • Расширенная защита ветви: обеспечение целостности кода путем применения правил защиты ветви и предотвращения внедрения вредоносного кода.

  • Оптимизированные разрешения и безопасные репозитории: снижение риска несанкционированного доступа, изменений путем отслеживания минимальных базовых разрешений и включения защиты от принудительной отправки секретов для репозиториев.

  • Дополнительные сведения о матрице угроз DevOps.

Рекомендации по управлению состоянием DevOps

Когда сканеры DevOps выявляют отклонения от рекомендаций по обеспечению безопасности в системах управления исходным кодом и конвейерах непрерывной интеграции и непрерывной доставки, Defender для облака выводит точные и практические рекомендации. Эти рекомендации имеют следующие преимущества:

  • Улучшенная видимость. Получите исчерпывающую информацию о безопасности сред DevOps, обеспечивая четкое понимание существующих уязвимостей. Определите отсутствующие правила защиты ветви, риски эскалации привилегий и небезопасные подключения, чтобы предотвратить атаки.
  • Действие на основе приоритета: фильтруйте результаты по серьезности, чтобы тратить ресурсы и усилия более эффективно, устраняя наиболее критически важные уязвимости в первую очередь.
  • Уменьшение поверхности атак: устранение проблем с безопасностью, чтобы значительно сократить уязвимые области атак, тем самым ужесточив защиту от потенциальных угроз.
  • Уведомления в режиме реального времени: возможность интеграции с автоматизацией рабочих процессов для получения немедленных оповещений при изменении безопасных конфигураций, что позволяет выполнять запросы и обеспечивать устойчивое соответствие протоколам безопасности.

Следующие шаги