Förbättra säkerhetsstatusen för DevOps-miljön

  • Artikel

Med en ökning av cyberattacker på källkodshanteringssystem och kontinuerlig integrering/kontinuerliga leveranspipelines är det viktigt att skydda DevOps-plattformar mot de olika hot som identifieras i DevOps Threat Matrix . Sådana cyberattacker kan möjliggöra kodinmatning, behörighetseskalering och dataexfiltrering, vilket kan leda till omfattande påverkan.

DevOps-hållningshantering är en funktion i Microsoft Defender för molnet som:

  • Ger insikter om säkerhetsstatusen för hela livscykeln för programvaruförsörjningskedjan.
  • Använder avancerade skannrar för djupgående utvärderingar.
  • Omfattar olika resurser, från organisationer, pipelines och lagringsplatser.
  • Gör det möjligt för kunder att minska sin attackyta genom att upptäcka och agera enligt de rekommendationer som tillhandahålls.

DevOps-skannrar

För att ge resultat använder DevOps hållningshantering DevOps-skannrar för att identifiera svagheter i källkodshantering och kontinuerlig integrering/kontinuerlig leveranspipelines genom att köra kontroller mot säkerhetskonfigurationer och åtkomstkontroller.

Azure DevOps- och GitHub-skannrar används internt i Microsoft för att identifiera risker som är kopplade till DevOps-resurser, minska attackytan och stärka företagets DevOps-system.

När en DevOps-miljö är ansluten konfigurerar Defender för molnet automatiskt dessa skannrar så att de utför återkommande genomsökningar var 24:e timme över flera DevOps-resurser, inklusive:

  • Byggen
  • Säkra filer
  • Variabelgrupper
  • Tjänstanslutningar
  • Organisationer
  • Centrallager

Riskreduktion av DevOps-hotmatris

DevOps-hållningshantering hjälper organisationer att identifiera och åtgärda skadliga felkonfigurationer på DevOps-plattformen. Detta leder till en elastisk DevOps-miljö med noll förtroende som stärks mot en rad olika hot som definieras i DevOps-hotmatrisen. De primära kontrollerna för hållningshantering är:

  • Begränsad hemlig åtkomst: Minimera exponeringen av känslig information och minska risken för obehörig åtkomst, dataläckor och laterala rörelser genom att se till att varje pipeline endast har åtkomst till de hemligheter som är viktiga för dess funktion.

  • Begränsning av lokalt installerade löpare och höga behörigheter: förhindra obehöriga körningar och potentiella eskaleringar genom att undvika lokalt installerade löpare och se till att pipelinebehörigheter som standard är skrivskyddade.

  • Förbättrat grenskydd: Upprätthålla kodens integritet genom att framtvinga regler för grenskydd och förhindra skadliga kodinmatningar.

  • Optimerade behörigheter och säkra lagringsplatser: Minska risken för obehörig åtkomst, ändringar genom att spåra lägsta basbehörigheter och aktivera hemligt push-skydd för lagringsplatser.

  • Läs mer om DevOps-hotmatrisen.

Rekommendationer för hantering av DevOps-hållning

När DevOps-skannrarna upptäcker avvikelser från rekommenderade säkerhetsmetoder i källkodshanteringssystem och pipelines för kontinuerlig integrering/kontinuerlig leverans Defender för molnet utdata med exakta och användbara rekommendationer. Dessa rekommendationer har följande fördelar:

  • Förbättrad synlighet: Få omfattande insikter om säkerhetsstatusen för DevOps-miljöer, vilket säkerställer en väl avrundad förståelse för eventuella befintliga säkerhetsrisker. Identifiera saknade regler för grenskydd, behörighetseskaleringsrisker och osäkra anslutningar för att förhindra attacker.
  • Prioritetsbaserad åtgärd: Filtrera resultat efter allvarlighetsgrad för att spendera resurser och insatser mer effektivt genom att först åtgärda de mest kritiska säkerhetsriskerna.
  • Minskning av attackytan: Åtgärda markerade säkerhetsluckor för att avsevärt minimera sårbara attackytor och därmed härda skydd mot potentiella hot.
  • Realtidsaviseringar: Möjlighet att integrera med arbetsflödesautomationer för att få omedelbara aviseringar när säkra konfigurationer ändras, vilket möjliggör snabba åtgärder och säkerställer kontinuerlig efterlevnad av säkerhetsprotokoll.

Nästa steg