Защита сред DevOps для нулевого доверия

  • Статья

Защита сред DevOps больше не является выбором для разработчиков. Хакеры перемещаются влево, поэтому необходимо реализовать принципы нулевого доверия, которые включают явную проверку, использовать минимальный доступ к привилегиям и предполагать нарушение в средах DevOps.

В этой статье описаны рекомендации по защите сред DevOps с помощью подхода "Нулевое доверие" для предотвращения взлома хакеров в полях разработчиков, заражения конвейеров выпуска вредоносными сценариями и получения доступа к рабочим данным через тестовые среды.

Наша электронная книга "Защита корпоративных сред DevOps" включает следующую визуализацию платформы разработчика, платформы DevOps и сред приложений, а также потенциальных угроз безопасности для каждого из них.

Схема иллюстрирует среды DevOps и угрозы безопасности, как описано выше в связанной электронной книге и кратко описано в связанных статьях, связанных с этим документом.

Обратите внимание, что на приведенной выше схеме подключения между средами и внешней интеграцией расширяют ландшафт угроз. Эти подключения могут увеличить возможности злоумышленников для компрометации системы.

Плохие субъекты растягиваются по всей организации, чтобы компрометировать среды DevOps, получить доступ и разблокировать новые опасности. Атаки выходят за рамки типичных нарушений кибербезопасности, чтобы внедрить вредоносный код, предположить мощные удостоверения разработчиков и украсть рабочий код.

Поскольку компании переходят на вездесущие, рабочие и рабочие сценарии в любом месте, они должны укрепить безопасность устройств. Офисы кибербезопасности могут не иметь согласованного понимания того, где и как разработчики защищают и создают код. Злоумышленники используют эти слабые места с взломами удаленного подключения и кражами удостоверений разработчика.

Средства DevOps — это ключевые точки входа для хакеров, от автоматизации конвейера до проверки кода и репозиториев кода. Если плохие субъекты заразят код до достижения производственных систем, в большинстве случаев он может пройти через проверка точки кибербезопасности. Чтобы предотвратить компрометацию, убедитесь, что группы разработчиков участвуют в одноранговых проверках, проверка безопасности с подключаемыми модулями безопасности IDE, безопасными стандартами программирования и проверкой ветви.

Группы кибербезопасности стремятся предотвратить атаки злоумышленников в рабочих средах. Однако среды расширились, чтобы включить средства цепочки поставок и продукты. Нарушение сторонних средств с открытым исходным кодом может повысить глобальные риски кибербезопасности.

Дополнительные сведения о статьях, относящихся к разработчику, см. в следующих статьях DevSecOps в разделе "Руководство разработчика" центра рекомендаций по нулю доверия:

  • Защита среды платформы DevOps помогает реализовать принципы нулевого доверия в среде платформы DevOps и выделяет рекомендации по управлению секретами и сертификатами.
  • Защита среды разработчика помогает реализовать принципы нулевого доверия в средах разработки с рекомендациями по наименьшей привилегии, безопасности ветви и доверия средствам, расширениям и интеграции.
  • Внедрение безопасности нулевого доверия в рабочий процесс разработчика помогает быстро и безопасно внедрять инновации.

Следующие шаги

  • Ускорьте и защитите код с помощью Azure DevOps с помощью средств, которые предоставляют разработчикам самый быстрый и безопасный код для облачного интерфейса.
  • Зарегистрируйтесь в Azure Developer CLI, средство с открытым исходным кодом, которое ускоряет время, необходимое для начала работы в Azure.
  • Настройте Azure для доверия OIDC OIDC GitHub в качестве федеративного удостоверения. OpenID Подключение (OIDC) позволяет рабочим процессам GitHub Actions получать доступ к ресурсам в Azure без необходимости хранить учетные данные Azureв виде секретов GitHub.
  • Центр ресурсов DevOps помогает вам использовать методики DevOps, методы Agile, управление версиями Git, DevOps в Корпорации Майкрософт и оценку хода выполнения DevOps вашей организации.
  • Узнайте, как решение Microsoft DevSecOps интегрирует безопасность в каждый аспект жизненного цикла доставки программного обеспечения, чтобы включить DevSecOps или защитить DevOps для приложений в облаке (и в любом месте) с Azure и GitHub.
  • Реализуйте принципы нулевого доверия, как описано в меморандуме 22-09 (в поддержку исполнительного указа США 14028 года, улучшения кибербезопасности страны) с помощью Идентификатора Microsoft Entra в качестве централизованной системы управления удостоверениями.