Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приведены инструкции по применению принципов нулевого доверия к приложениям IaaS в Amazon Web Services (AWS):
| Принцип нулевого доверия | Определение | Встретились с |
|---|---|---|
| Явная проверка | Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных. | DevSecOps, используя возможности расширенной безопасности GitHub и инструментов DevOps, сканирует и защищает вашу инфраструктуру как код. |
| Использование доступа с минимальными привилегиями | Ограничьте доступ пользователей с помощью технологий JIT/JEA, а также адаптивных политик на основе рисков и средств защиты данных. |
|
| Предполагайте наличие бреши в системе безопасности | Минимизируйте радиус поражения и сегментируйте доступ. Используйте сквозное шифрование и аналитику для обеспечения видимости, обнаружения угроз и усиления защиты. |
|
Дополнительные сведения о применении принципов нулевого доверия в среде IaaS Azure см. в разделе Обзор применения принципов нулевого доверия к Azure IaaS.
AWS и компоненты AWS
AWS является одним из общедоступных поставщиков облачных решений, доступных на рынке, а также Microsoft Azure, Google Cloud Platform и других. Обычно у компаний есть многооблачная архитектура, состоящая из нескольких поставщиков облачных служб. В этой статье мы рассмотрим архитектуру с несколькими облаками, где:
- Azure и AWS интегрированы для выполнения рабочих нагрузок и ИТ-бизнес-решений.
- Вы защищаете рабочую нагрузку AWS IaaS с помощью продуктов Майкрософт.
Виртуальные машины AWS, называемые Amazon Elastic Compute Cloud (Amazon EC2), выполняются поверх виртуальной сети AWS под названием Amazon Virtual Private Cloud (Amazon VPC). Пользователи и администраторы облака настраивают Amazon VPC в своей среде AWS и добавляют виртуальные машины Amazon EC2.
AWS CloudTrail регистрирует действия учетной записи AWS в среде AWS. Amazon EC2, Amazon VPC и AWS CloudTrail распространены в средах AWS. Сбор журналов из этих служб является важным для понимания того, что происходит в вашей среде AWS, и действий, которые необходимо предпринять для предотвращения или устранения атак.
Amazon GuardDuty — это служба обнаружения угроз, которая помогает защитить рабочие нагрузки AWS, отслеживая среду AWS для вредоносных действий и несанкционированного поведения.
В этой статье вы узнаете, как интегрировать мониторинг и ведение журнала этих ресурсов и служб AWS с решениями для мониторинга Azure и стеком безопасности Майкрософт.
Эталонная архитектура
На следующей схеме архитектуры показаны общие службы и ресурсы, необходимые для выполнения рабочей нагрузки IaaS в среде AWS. На схеме также показаны службы Azure, необходимые для приема журналов и данных из среды AWS в Azure, а также для обеспечения мониторинга угроз и защиты.
На диаграмме показано поступление логов в Azure для следующих ресурсов и служб в среде AWS:
- Amazon Elastic Compute Cloud (Amazon EC2)
- Amazon Virtual Private Cloud
- Amazon Web Services CloudTrail (AWS CloudTrail)
- Amazon GuardDuty
Для приема журналов в Azure для ресурсов и служб в среде AWS необходимо настроить Amazon Simple Storage Service (Amazon S3) и Amazon Simple Queue Service (SQS).
Журналы и данные загружаются в Log Analytics в Azure Monitor.
Следующие продукты Microsoft используют воспринимаемые данные для мониторинга:
- Microsoft Defender для облака
- Microsoft Sentinel
- Microsoft Defender для конечной точки;
Примечание.
Вам не обязательно интегрировать логи во все перечисленные продукты Майкрософт, чтобы осуществлять мониторинг ресурсов и служб AWS. Использование всех продуктов Майкрософт вместе, однако, обеспечивает большую выгоду от приема журналов AWS и данных в Azure.
В этой статье описана схема архитектуры и описано, как:
- Установите и настройте продукты Майкрософт для приема журналов из ресурсов AWS.
- Настройте метрики для данных безопасности, которые необходимо отслеживать.
- Улучшайте общую безопасность и защитите рабочую нагрузку AWS.
- Безопасная инфраструктура в виде кода.
Шаг 1. Установка и подключение продуктов Майкрософт к приему журналов и данных
В этом разделе описано, как установить и подключить продукты Майкрософт в указанной архитектуре для приема журналов из служб и ресурсов AWS и Amazon. Чтобы придерживаться принципа явной проверки в модели нулевого доверия, необходимо установить продукты Microsoft и подключиться к вашей среде AWS, чтобы предпринять упреждающие меры до возникновения атаки.
| Шаги | Задача |
|---|---|
| а | Установите агент Azure Connected Machine на ваши виртуальные машины Amazon Elastic Compute Cloud (Amazon EC2) для передачи данных операционной системы и журналов в Azure. |
| Б | Установите агент Azure Monitor на виртуальные машины Amazon EC2 для отправки журналов в рабочую область Log Analytics. |
| С | Подключите учетную запись AWS к Microsoft Defender для облака. |
| Д | Подключите Microsoft Sentinel к AWS для приема данных журнала AWS. |
| Е | Используйте соединители AWS для извлечения журналов служб AWS в Microsoft Sentinel. |
А. Установите агент Azure Connected Machine на ваши виртуальные машины Amazon EC2 для передачи данных операционной системы и журналов в Azure
Серверы с поддержкой Azure Arc позволяют управлять физическими серверами Windows и Linux и виртуальными машинами, размещенными за пределами Azure, в корпоративной сети или другом поставщике облачных служб. В целях Azure Arc компьютеры, размещенные за пределами Azure, считаются гибридными компьютерами. Чтобы подключить виртуальные машины Amazon EC2 (также называемые гибридными машинами) к Azure, установите агент подключенного компьютера Azure на каждом компьютере.
Дополнительные сведения см. в статье "Подключение гибридных компьютеров к Azure".
В. Установка агента Azure Monitor на виртуальных машинах Amazon EC2 для отправки журналов в рабочую область Log Analytics
Azure Monitor обеспечивает полный мониторинг ресурсов и приложений, работающих в Azure и других облаках, включая AWS. Azure Monitor собирает, анализирует и применяет данные телеметрии из облачных и локальных сред. Аналитика виртуальных машин в Azure Monitor использует серверы с поддержкой Azure Arc для обеспечения согласованного взаимодействия между виртуальными машинами Azure и виртуальными машинами Amazon EC2. Вы можете просматривать виртуальные машины Amazon EC2 прямо рядом с виртуальными машинами Azure. Вы можете подключить виртуальные машины Amazon EC2 с помощью идентичных методов. Это включает использование стандартных конструкций Azure, таких как Политика Azure и применение тегов.
При включении VM insights для машины устанавливается агент Azure Monitor (AMA). AMA собирает данные мониторинга с виртуальных машин Amazon EC2 и поставляет их в Azure Monitor для использования функциями, аналитическими сведениями и другими службами, такими как Microsoft Sentinel и Microsoft Defender для облака.
Внимание
Log Analytics — это средство в портал Azure, которое вы используете для редактирования и выполнения запросов журналов к данным в хранилище журналов Azure Monitor. Log Analytics устанавливается автоматически.
На виртуальных машинах Amazon EC2 может быть установлен устаревший агент Log Analytics. Этот агент будет устарел в сентябре 2024 года. Корпорация Майкрософт рекомендует установить новый агент Azure Monitor.
Для работы требуется агент Log Analytics или агент Azure Monitor для Windows и Linux.
- Упреждающее отслеживание операционной системы и рабочих нагрузок, выполняемых на компьютере.
- Управляйте машиной с помощью автоматизационных Runbook или решений, таких как управление обновлением.
- Используйте другие службы Azure, например Microsoft Defender для облака.
При сборе журналов и данных сведения хранятся в рабочей области Log Analytics. Если вы собираете данные из ресурсов Azure в подписке, вам потребуется рабочая область Log Analytics.
Книги Azure Monitor — это средство визуализации, доступное в портале Azure. Рабочие книги объединяют текст, запросы журналов, метрики и параметры в подробные интерактивные отчеты. Настройка рабочих тетрадей помогает использовать аналитику для соблюдения принципа нулевого доверия, предполагающего нарушение
Рабочие тетради рассматриваются в следующей статье в разделе "Мониторинг" журналов Microsoft Sentinel, получаемых из Amazon Virtual Private Cloud (Amazon VPC), AWS CloudTrail и Amazon GuardDuty.
Дополнительные сведения см. в разделе:
- Установка AMA с помощью правил сбора данных в Azure Monitor
- Создание рабочей области Log Analytics
- Начало работы с таблицами Azure
С. Подключение учетной записи AWS к Microsoft Defender для облака
Microsoft Defender для облака — это система управления положением в области облачной безопасности (CSPM) и платформа защиты облачных рабочих нагрузок (CWPP) для всех ваших ресурсов Azure, локальных и мультиоблачных ресурсов, включая AWS. Defender для облака удовлетворяет три важные потребности в управлении безопасностью ресурсов и рабочих нагрузок в облачной и локальной среде:
- Непрерывная оценка. Знайте состояние безопасности. Выявление и отслеживание уязвимостей.
- Безопасность — укрепление ресурсов и служб с помощью стандарта Microsoft cloud security benchmark (MCSB) и стандарта AWS Foundational Security Best Practices.
- Защита — обнаружение и устранение угроз для ресурсов и служб.
Microsoft Defender для серверов — это один из платных планов, предоставляемых Microsoft Defender для облака. Defender для серверов расширяет защиту на компьютерах Windows и Linux, работающих в Azure, AWS, Google Cloud Platform и локальной среде. Defender для серверов интегрируется с Microsoft Defender for Endpoint, чтобы обеспечить обнаружение и реагирование на угрозы на конечных точках (EDR), а также другие функции защиты от угроз.
Дополнительные сведения см. в разделе:
- Подключите учетную запись AWS к Microsoft Defender для облака для защиты ресурсов AWS.
- Выберите план Defender для серверов в Microsoft Defender для облака для сравнения различных планов, предлагаемых Defender для серверов. Defender для серверов автоматически подготавливает датчик Defender для конечной точки на каждом поддерживаемом компьютере, подключенном к Defender для облака.
Примечание.
Если вы еще не развернули AMA на серверах, вы можете развернуть агент Azure Monitor на серверах при включении Defender для серверов.
Д. Подключение Microsoft Sentinel к AWS для приема данных журналов AWS
Microsoft Sentinel — это масштабируемое облачное решение, которое предоставляет следующие службы:
- Управление информацией и событиями безопасности (SIEM)
- Оркестрация, автоматизация и реагирование системы безопасности (SOAR)
Microsoft Sentinel предоставляет аналитику безопасности и аналитику угроз на предприятии. Используя Microsoft Sentinel, вы получаете единое решение для обнаружения атак, отображения угроз, их упреждающего поиска и реагирования на них.
Инструкции по настройке см. в разделе "Подключение Microsoft Sentinel".
Е. Используйте коннекторы AWS для извлечения журналов служб AWS в Microsoft Sentinel
Чтобы извлечь журналы службы AWS в Microsoft Sentinel, необходимо использовать соединитель AWS Microsoft Sentinel. Соединитель работает путем предоставления Microsoft Sentinel доступа к журналам ресурсов AWS. Настройка соединителя устанавливает отношение доверия между AWS и Microsoft Sentinel. В AWS создается роль, которая предоставляет разрешение Microsoft Sentinel для доступа к журналам AWS.
Соединитель AWS доступен в двух версиях: новый соединитель Amazon Simple Storage Service (Amazon S3), который отправляет журналы, извлекая их из контейнера Amazon S3 и устаревшего соединителя для управления CloudTrail и журналов данных. Соединитель Amazon S3 может получать журналы из Amazon Virtual Private Cloud Cloud (Amazon VPC), AWS CloudTrail и Amazon GuardDuty. Соединитель Amazon S3 находится в предварительной версии. Рекомендуется использовать соединитель Amazon S3.
Сведения о приеме журналов из Amazon VPC, AWS CloudTrail и Amazon GuardDuty с помощью соединителя Amazon S3 см. в статье "Подключение Microsoft Sentinel к AWS".
Примечание.
Корпорация Майкрософт рекомендует использовать скрипт автоматической установки для развертывания соединителя Amazon S3. Если вы предпочитаете выполнять каждый шаг вручную, следуйте инструкциям по настройке вручную, чтобы подключить Microsoft Sentinel к AWS.
Шаг 2. Настройка метрик для данных безопасности
Теперь, когда Azure использует журналы из ресурсов AWS, вы можете создавать правила обнаружения угроз в среде и отслеживать оповещения. В этой статье описывается, как собирать журналы и данные и отслеживать подозрительные действия. Принцип предположения о взломе нулевого доверия достигается путем мониторинга вашей среды на предмет угроз и уязвимостей.
| Шаги | Задача |
|---|---|
| а | Сбор журналов Amazon Elastic Compute Cloud (Amazon EC2) в Azure Monitor. |
| Б | Просмотр и управление оповещениями и рекомендациями службы безопасности Microsoft Defender для облака для Amazon EC2. |
| С | Интеграция Microsoft Defender для конечной точки с Defender для облака. |
| Д | Мониторинг данных Amazon EC2 в Microsoft Sentinel. |
| Е | Отслеживайте журналы Microsoft Sentinel из Amazon Virtual Private Cloud Cloud (Amazon VPC), AWS CloudTrail и Amazon GuardDuty. |
| Ф | Используйте встроенные в Microsoft Sentinel правила обнаружения, чтобы создавать и исследовать правила обнаружения угроз в вашей среде. |
А. Сбор логов Amazon Elastic Compute Cloud (Amazon EC2) в Azure Monitor
Агент подключенного компьютера Azure, установленный на виртуальных машинах Amazon EC2, позволяет отслеживать ресурсы AWS, как если бы они были ресурсами Azure. Например, политики Azure можно использовать для управления обновлениями виртуальных машин Amazon EC2 и управления ими.
Агент Azure Monitor (AMA), установленный на виртуальных машинах Amazon EC2, собирает данные мониторинга и передает его в Azure Monitor. Эти журналы становятся входными данными для Microsoft Sentinel и Defender для облака.
Сведения о сборе журналов с виртуальных машин Amazon EC2 см. в статье о создании правил сбора данных.
В. Просматривайте и управляйте оповещениями системы безопасности и рекомендациями Microsoft Defender для облачного сервиса в Amazon EC2.
Microsoft Defender для облака использует журналы ресурсов для создания оповещений и рекомендаций системы безопасности. Defender для облака могут предоставлять оповещения, чтобы предупредить вас о возможных угрозах на виртуальных машинах Amazon EC2. Оповещения определяются по серьезности. Каждое оповещение содержит подробные сведения о затрагиваемых ресурсах, проблемах и рекомендациях по исправлению.
В портале Azure есть два способа просмотра рекомендаций. На странице обзора Defender для облака вы просматриваете рекомендации по улучшению среды. На странице инвентаризации активов Defender для облака рекомендации отображаются в соответствии с затронутым ресурсом.
Просмотр оповещений и рекомендаций Amazon EC2 и управление ими:
- Узнайте о различных типах оповещений, доступных в Defender для облака, и о том, как реагировать на оповещения.
- Улучшение состояния безопасности путем реализации рекомендаций из Defender для облака.
- Узнайте, как получить доступ к странице инвентаризации активов Defender для облака.
Примечание.
Microsoft Cloud Security Benchmark (MCSB) включает в себя коллекцию рекомендаций по безопасности с высоким уровнем влияния, которые можно использовать для защиты облачных служб в одной или многооблачной среде. Корпорация Майкрософт рекомендует использовать тесты безопасности, чтобы быстро защитить облачные развертывания. Дополнительные сведения о MCSB.
С. Интеграция Microsoft Defender для конечной точки с Defender для облака
Защитите свои конечные точки с помощью интегрированного решения для обнаружения и реагирования на угрозы Microsoft Defender для облака и Microsoft Defender для конечной точки. Microsoft Defender для конечной точки защищает компьютеры Windows и Linux от размещения в Azure, локальной среде или среде с несколькими облаками. Microsoft Defender для конечной точки — это комплексное облачное решение для обеспечения безопасности конечных точек. Основные функции:
- Управление уязвимостями и оценка уязвимостей на основе рисков
- Сокращение поверхности атаки
- Защита на основе поведения и безопасность в облаке
- Обнаружение и нейтрализация атак на конечные точки (EDR)
- Автоматическое исследование и исправление
- Управляемые службы охоты
Дополнительные сведения см. в разделе «Включение интеграции Microsoft Defender for Endpoint».
Д. Мониторинг данных Amazon EC2 в Microsoft Sentinel
После установки агента подключенной машины Azure и AMA операционные системы Amazon EC2 начинают отправлять журналы в таблицы Azure Log Analytics, которые автоматически доступны Microsoft Sentinel.
На следующем рисунке показано, как журналы операционной системы Amazon EC2 обрабатываются Microsoft Sentinel. Агент подключенного компьютера Azure делает виртуальные машины Amazon EC2 частью Azure. Соединитель данных AMA для событий безопасности Windows собирает данные из виртуальных машин Amazon EC2.
Примечание.
Вам не нужен Microsoft Sentinel для приема журналов из Amazon EC2, но вам потребуется ранее настроенная рабочая область Log Analytics.
Пошаговые инструкции см. в разделе Amazon EC2 Sentinel Ingestion с помощью Arc и AMA, который является документом в GitHub. Документ GitHub содержит информацию об установке AMA, которое можно пропустить, так как вы установили AMA ранее в этом руководстве по решению.
Е. Мониторинг журналов Microsoft Sentinel из Amazon Virtual Private Cloud Cloud (Amazon VPC), AWS CloudTrail и Amazon GuardDuty
Ранее вы подключили Microsoft Sentinel к AWS с помощью соединителя Amazon Simple Storage Service (Amazon S3). Контейнер Amazon S3 отправляет журналы в рабочую область Log Analytics, базовое средство, используемое для их запроса. В рабочей области создаются следующие таблицы:
- Журналы AWSCloudTrail содержат все события данных и управления вашей учетной записи AWS.
- AWSGuardDuty — Amazon GuardDuty Результаты представляют потенциальную проблему безопасности, обнаруженную в вашей сети. Amazon GuardDuty генерирует уведомление каждый раз, когда обнаруживает неожиданную и потенциально вредоносную активность в вашей AWS-среде.
- AWSVPCFlow — журналы потоков Amazon Virtual Private Cloud (Amazon VPC) позволяют вам записывать IP-трафик, поступающий на сетевые интерфейсы Amazon VPC и исходящий из них.
Журналы потоков Amazon VPC, AWS CloudTrail и Amazon GuardDuty можно запросить в Microsoft Sentinel. Ниже приведены примеры запросов для каждой службы и соответствующей таблицы в Log Analytics:
Для журналов Amazon GuardDuty:
AWSGuardDuty | где Серьезность > 7 | сводка count() by ActivityType
Для журналов потоков Amazon VPC:
AWSVPCFlow | where Action == "REJECT" | where Type == "Ipv4" | взять 10
Для журналов AWS CloudTrail:
AWSCloudTrail | where EventName == "CreateUser" | суммирование count() по AWSRegion
В Microsoft Sentinel вы используете инструмент Amazon S3 для анализа более детальной информации.
Для AWS CloudTrail можно проанализировать:
- Поток данных с течением времени
- Идентификаторы учетных записей
- Список источников событий
Для Amazon GuardDuty можно проанализировать:
- Amazon GuardDuty по карте
- Amazon GuardDuty по регионам
- Amazon GuardDuty по IP-адресу
F. Используйте встроенные правила обнаружения Microsoft Sentinel для создания и изучения правил обнаружения угроз в вашей среде.
Теперь, когда вы подключили источники данных к Microsoft Sentinel, используйте встроенные шаблоны правил обнаружения Microsoft Sentinels для создания и изучения правил обнаружения угроз в вашей среде. Microsoft Sentinel предоставляет встроенные шаблоны для создания правил обнаружения угроз.
Команда экспертов по безопасности и аналитиков майкрософт разрабатывает шаблоны правил на основе известных угроз, распространенных векторов атак и подозрительных цепочек эскалации действий. Правила, созданные из этих шаблонов, автоматически выполняют поиск в вашей среде для любых действий, которые выглядят подозрительными. Множество шаблонов для поиска действий можно настроить или отфильтровать их в соответствии с вашими потребностями. Оповещения, созданные этими правилами, создают инциденты, которые можно назначать и исследовать в вашей среде.
Дополнительные сведения см. в статье об обнаружении угроз со встроенными правилами аналитики в Microsoft Sentinel.
Шаг 3. Улучшение общего состояния безопасности
В этом разделе описано, как Управление разрешениями Microsoft Entra помогает отслеживать неиспользуемые и избыточные разрешения. Пошаговые инструкции по настройке, подключению и просмотру ключевых данных. Принцип «ноль доверия» с использованием минимально привилегированного доступа достигается путем управления, контроля и мониторинга доступа к ресурсам.
| Шаги | Задача |
|---|---|
| а | Настройка управления разрешениями и управление привилегированными пользователями. |
| Б | Подключение учетной записи AWS. |
| С | Просмотр ключевых статистических данных. |
Настройка управления разрешениями
Управление разрешениями — это решение для управления правами облачной инфраструктуры (CIEM), которое обнаруживает автоматически правильные размеры и постоянно отслеживает неиспользуемые и избыточные разрешения в многооблачной инфраструктуре.
Управление разрешениями углубляет стратегии безопасности нулевого доверия, расширяя принцип доступа с минимальными привилегиями, позволяя клиентам:
- Получите полную видимость: узнайте, какая личность делает что, где и когда.
- Автоматизируйте доступ на основе принципа наименьших привилегий. Используйте аналитику доступа, чтобы удостоверения получали правильные разрешения в нужное время.
- Объединение политик доступа на платформах IaaS: реализация согласованных политик безопасности в облачной инфраструктуре.
Управление разрешениями содержит сводку ключевых статистических данных и данных для AWS и Azure. Данные включают метрики, связанные с избегаемым риском. Эти метрики позволяют администратору управления разрешениями определять области, в которых риски, связанные с принципом доступа "Нулевое доверие", могут быть сокращены.
Данные можно передавать в Microsoft Sentinel для дальнейшего анализа и автоматизации.
Для реализации задач см.:
- А. Включение управления разрешениями в организации
- В. Подключение учетной записи AWS к управлению разрешениями
- С. Просмотр ключевых статистики и данных
Шаг 4. Защита инфраструктуры в виде кода
В этом разделе рассматриваются основные аспекты DevSecOps, сканирование и защита инфраструктуры в виде кода. Для инфраструктуры как кода, команды безопасности и DevOps должны отслеживать неправильно настроенные конфигурации, которые могут привести к уязвимостям в развертываниях инфраструктуры.
Реализуя непрерывные проверки в Azure Resource Manager (ARM), Bicep или шаблоны Terraform, вы предотвращаете нарушения и эксплойты в начале разработки, когда они менее дорогостоящи для исправления. Вы также хотите обеспечить жесткий контроль над администраторами и группами учетных записей служб в идентификаторе Microsoft Entra и средстве DevOps.
Вы реализуете принцип нулевого доверия, используя доступ с наименьшими привилегиями :
- Проведение надежных проверок конфигураций вашей инфраструктуры с минимально необходимыми привилегиями доступа и настройкой сети.
- Назначение пользователям управления доступом к ресурсам на основе ролей (RBAC) на уровне репозитория, уровне команды или организации.
Необходимые условия:
- Репозитории кода находятся в Azure DevOps или GitHub
- Конвейеры размещаются в Azure DevOps или GitHub
| Шаги | Задача |
|---|---|
| а | Активируйте DevSecOps для инфраструктуры как кода (IaC). |
| Б | Реализуйте инструменты RBAC для DevOps. |
| С | Включите расширенную безопасность GitHub. |
| Д | Просмотр результатов сканирования кода и секретов. |
А. Включение DevSecOps для IaC
Defender для DevOps обеспечивает видимость безопасности среды с несколькими конвейерами независимо от того, находятся ли код и конвейеры в Azure DevOps или GitHub. Он имеет дополнительное преимущество представления общей панели управления, где команды безопасности и DevOps могут видеть результаты сканирования всех своих репозиториев в одном дашборде и настроить и управлять процессом создания pull request для устранения любых проблем.
Дополнительные сведения см. в разделе:
В. Реализация RBAC для инструментов DevOps
Вам необходимо управлять и реализовывать методики управления звуком для вашей команды, такие как разрешения управления доступом на основе ролей. Если данная модель не будет интегрирована в автоматизацию DevOps, ваша организация может оставить лазейку для угроз безопасности. Рассмотрим пример, когда у разработчика нет доступа через шаблоны ARM. Разработчик может по-прежнему иметь достаточные разрешения для изменения кода приложения или инфраструктуры в качестве кода и запуска рабочего процесса автоматизации. Разработчик может опосредованно (через DevOps) получить доступ и внести необратимые изменения в шаблоны ARM.
При развертывании облачных решений для развертываний инфраструктуры безопасность всегда должна быть самой важной задачей. Корпорация Майкрософт защищает базовую облачную инфраструктуру. Вы настраиваете безопасность в Azure DevOps или GitHub.
Чтобы настроить безопасность:
- В Azure DevOps можно использовать группы безопасности, политики и параметры на уровне организации или коллекции, проекта или объекта.
- В GitHub можно назначить пользователям доступ к ресурсам, предоставив им роли на уровне репозитория, уровне группы или организации.
С. Включение GitHub Advanced Security
Для упреждающего обеспечения безопасности сред важно постоянно отслеживать и укреплять безопасность DevOps. GitHub Advanced Security автоматизирует проверки в конвейере, чтобы искать открытые секреты, уязвимости зависимостей и многое другое. GitHub предоставляет дополнительные функции безопасности клиентам по лицензии Advanced Security.
По умолчанию GitHub Advanced Security включен для общедоступных репозиториев. Для частных репозиториев необходимо использовать лицензирование GitHub Advanced Security. После включения можно приступить к использованию множества функций, которые входят в набор расширенной безопасности GitHub:
- Проверка кода
- Проверка зависимостей
- Сканирование секретов
- Управление доступом
- Оповещения об уязвимостях
- Журнал аудита
- Правила защиты ветвей
- Проверки запросов на включение изменений
С помощью этих функций вы можете обеспечить безопасность и соответствие кода отраслевым стандартам. Вы также можете создавать автоматизированные рабочие процессы, чтобы быстро обнаруживать и устранять любые проблемы безопасности в коде. Кроме того, можно использовать правила защиты ветви для предотвращения несанкционированных изменений в базе кода.
Дополнительные сведения см. в разделе "Включение расширенной безопасности GitHub".
Д. Просмотр результатов сканирования кода и поиска секретов
Defender для DevOps, сервис доступный в Defender для Cloud, позволяет командам безопасности управлять безопасностью DevOps в многопоточных средах. Defender для DevOps использует центральную консоль, чтобы команды по безопасности могли обеспечить защиту приложений и ресурсов из кода в облако в средах с несколькими конвейерами, таких как GitHub и Azure DevOps.
Defender для DevOps показывает результаты безопасности в виде аннотаций в запросах на извлечение (PR). Операторы безопасности могут активировать аннотации PR в Microsoft Defender для облака. Выявленные проблемы могут быть устранены разработчиками. Этот процесс может предотвратить и устранить потенциальные уязвимости безопасности и неправильные конфигурации до того, как они попадут в рабочий этап. Аннотации PR можно настроить в Azure DevOps. Аннотации PR можно получить в GitHub, если вы клиент GitHub Advanced Security.
Дополнительные сведения см. в разделе:
- Настройка действия Microsoft Security DevOps GitHub
- Настройка расширения Microsoft Security DevOps Azure DevOps
- Включите pull-запросы с аннотациями в GitHub и Azure DevOps
Следующие шаги
Дополнительные сведения о службах Azure, рассмотренных в этой статье:
- Microsoft Defender для облака
- Microsoft Sentinel
- Azure Monitor
- Серверы с поддержкой Azure ARC
- Log Analytics
Дополнительные сведения о службах и ресурсах AWS и Amazon, рассмотренных в этой статье: