Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
DevOps Security omfattar de kontroller som rör säkerhetsteknik och åtgärder i DevOps-processerna, inklusive distribution av kritiska säkerhetskontroller (till exempel statisk programsäkerhetstestning, hantering av säkerhetsrisker) före distributionsfasen för att säkerställa säkerheten under hela DevOps-processen. Den innehåller även vanliga ämnen som hotmodellering och säkerhet för programvaruförsörjning.
DS-1: Genomföra hotmodellering
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 16.10, 16.14 | SA-15 | 6.5, 12.2 |
Säkerhetsprincip: Utför hotmodellering för att identifiera potentiella hot och räkna upp de mildrande kontrollerna. Se till att hotmodellering har följande syften:
- Skydda dina program och tjänster i produktionskörningsfasen.
- Skydda artefakterna, den underliggande CI/CD-pipelinen och andra verktygsmiljöer som används för att skapa, testa och distribuera. Hotmodellering bör åtminstone innehålla följande aspekter:
- Definiera säkerhetskrav för programmet. Se till att dessa krav hanteras korrekt i hotmodellering.
- Analysera programkomponenter, dataanslutningar och deras relation. Se till att den här analysen även innehåller uppströms- och nedströmsanslutningar utanför programomfånget.
- Visa en lista över potentiella hot och attackvektorer som dina programkomponenter, dataanslutningar och överordnade och underordnade tjänster kan exponeras för.
- Identifiera de tillämpliga säkerhetskontroller som kan användas för att minimera de uppräknade hoten och identifiera eventuella kontrollluckor (t.ex. säkerhetsrisker) som kan kräva ytterligare behandlingsplaner.
- Räkna upp och utforma de kontroller som kan minimera de identifierade säkerhetsriskerna.
Azure-vägledning: Använd verktyg för hotmodellering, till exempel Microsofts verktyg för hotmodellering med mallen azure-hotmodell inbäddad för att driva hotmodelleringsprocessen. Använd STRIDE-modellen för att räkna upp hoten från både interna och externa och identifiera de kontroller som är tillämpliga. Se till att hotmodelleringsprocessen innehåller hotscenarier i DevOps-processen, till exempel inmatning av skadlig kod via en osäker artefaktlagringsplats med felkonfigurerad åtkomstkontrollprincip.
Om det inte är tillämpligt att använda ett hotmodelleringsverktyg bör du åtminstone använda en enkätbaserad hotmodelleringsprocess för att identifiera hoten.
Se till att hotmodellerings- eller analysresultaten registreras och uppdateras när det sker en större säkerhetspåverkan i ditt program eller i hotlandskapet.
Azure-implementering och ytterligare kontext:
- Översikt över hotmodellering
- Analys av programhot (inklusive STRIDE + enkätbaserad metod)
- Azure-mall – Stencil för Microsoft Security Threat Model
AWS-vägledning: Använd verktyg för hotmodellering, till exempel Microsofts verktyg för hotmodellering med mallen azure-hotmodell inbäddad för att driva hotmodelleringsprocessen. Använd STRIDE-modellen för att räkna upp hoten från både interna och externa och identifiera de kontroller som är tillämpliga. Se till att hotmodelleringsprocessen innehåller hotscenarier i DevOps-processen, till exempel inmatning av skadlig kod via en osäker artefaktlagringsplats med felkonfigurerad åtkomstkontrollprincip.
Om det inte är tillämpligt att använda ett hotmodelleringsverktyg bör du åtminstone använda en enkätbaserad hotmodelleringsprocess för att identifiera hoten.
Se till att hotmodellerings- eller analysresultaten registreras och uppdateras när det sker en större säkerhetspåverkan i ditt program eller i hotlandskapet.
AWS-implementering och ytterligare kontext:
- Microsofts verktyg för hotmodellering
- Så här närmar du dig hotmodellering för AWS
- Analys av programhot (inklusive STRIDE + enkätbaserad metod)
GCP-vägledning: Använd verktyg för hotmodellering, till exempel Microsofts verktyg för hotmodellering med mallen azure-hotmodell inbäddad för att driva hotmodelleringsprocessen. Använd STRIDE-modellen för att räkna upp hoten från både interna och externa och identifiera de kontroller som är tillämpliga. Se till att hotmodelleringsprocessen innehåller hotscenarier i DevOps-processen, till exempel inmatning av skadlig kod via en osäker artefaktlagringsplats med felkonfigurerad åtkomstkontrollprincip.
Om det inte är tillämpligt att använda ett hotmodelleringsverktyg bör du åtminstone använda en enkätbaserad hotmodelleringsprocess för att identifiera hoten.
Se till att hotmodellerings- eller analysresultaten registreras och uppdateras när det sker en större säkerhetspåverkan i ditt program eller i hotlandskapet.
GCP-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):
DS-2: Se till att programvaruförsörjningskedjan är säker
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 16.4, 16.6, 16.11 | SA-12, SA-15 | 6.3, 6.5 |
Säkerhetsprincip: Se till att företagets SDLC (Software Development Lifecycle) eller processen innehåller en uppsättning säkerhetskontroller för att styra de interna och tredjeparts programvarukomponenterna (inklusive både egenutvecklad programvara och programvara med öppen källkod) där dina program har beroenden. Definiera kriterier för att förhindra att sårbara eller skadliga komponenter integreras och distribueras i miljön.
Säkerhetskontrollerna för programvaruförsörjningskedjan bör åtminstone innehålla följande aspekter:
- Hantera en programvarufaktura (SBOM) korrekt genom att identifiera de överordnade beroenden som krävs för tjänst-/resursutvecklings-, bygg-, integrerings- och distributionsfasen.
- Inventera och spåra de interna och tredje parts programvarukomponenterna för kända sårbarheter när det finns en korrigering tillgänglig i uppströms.
- Utvärdera sårbarheter och skadlig kod i programvarukomponenterna med hjälp av statisk och dynamisk programtestning för okända sårbarheter.
- Se till att säkerhetsrisker och skadlig kod minimeras med lämplig metod. Detta kan omfatta lokal källkod eller uppströmskorrigering, funktionsundantag och/eller tillämpning av kompenserande kontroller om den direkta begränsningen inte är tillgänglig.
Om komponenter från tredje part från sluten källa används i produktionsmiljön kan du ha begränsad insyn i dess säkerhetsstatus. Du bör överväga ytterligare kontroller som åtkomstkontroll, nätverksisolering och slutpunktssäkerhet för att minimera påverkan om det finns en skadlig aktivitet eller sårbarhet som är associerad med komponenten.
Azure-vägledning: För GitHub-plattformen säkerställer du säkerheten för programvaruförsörjningskedjan via följande funktioner eller verktyg från GitHub Advanced Security eller GitHubs inbyggda funktion:- Använd Dependency Graph för att skanna, inventera och identifiera alla projektets beroenden och relaterade sårbarheter via Advisory Database.
- Använd Dependabot för att säkerställa att det sårbara beroendet spåras och åtgärdas och se till att lagringsplatsen automatiskt håller jämna steg med de senaste versionerna av de paket och program som den är beroende av.
- Använd GitHubs inbyggda kodgenomsökningsfunktion för att skanna källkoden när du hämtar koden externt.
- Använd Microsoft Defender för molnet för att integrera sårbarhetsbedömning för din containeravbildning i CI/CD-arbetsflödet. För Azure DevOps kan du använda tillägg från tredje part för att implementera liknande kontroller som inventering, analysera och åtgärda programvarukomponenter från tredje part och deras sårbarheter.
Azure-implementering och ytterligare kontext:
- Diagram över GitHub-beroenden
- GitHub Dependabot
- Identifiera sårbara containeravbildningar i dina CI/CD-arbetsflöden
- Azure DevOps Marketplace – säkerhet i leveranskedjan
AWS-vägledning: Om du använder AWS CI/CD-plattformar som CodeCommit eller CodePipeline kontrollerar du säkerheten för programvaruförsörjningskedjan med CodeGuru Reviewer för att genomsöka källkoden (för Java och Python) via CI/CD-arbetsflödena. Plattformar som CodeCommit och CodePipeline stöder också tillägg från tredje part för att implementera liknande kontroller som inventering, analysera och åtgärda programvarukomponenter från tredje part och deras sårbarheter.
Om du hanterar källkoden via GitHub-plattformen kontrollerar du säkerheten för programvaruförsörjningskedjan via följande funktioner eller verktyg från GitHub Advanced Security eller GitHubs interna funktion:
- Använd Dependency Graph för att skanna, inventera och identifiera alla projektets beroenden och relaterade sårbarheter via rådgivande databas.
- Använd Dependabot för att säkerställa att det sårbara beroendet spåras och åtgärdas och se till att lagringsplatsen automatiskt håller jämna steg med de senaste versionerna av de paket och program som den är beroende av.
- Använd GitHubs inbyggda kodgenomsökningsfunktion för att skanna källkoden när du hämtar koden externt.
- Om tillämpligt använder du Microsoft Defender för molnet för att integrera sårbarhetsbedömning för din containeravbildning i CI/CD-arbetsflödet.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Använd Software Delivery Shield för att utföra säkerhetsanalyser för programvaruförsörjningskedjan från slutpunkt till slutpunkt. Detta inkluderar Assured OSS-tjänsten (programvara med öppen källkod) för åtkomst och införliva de OSS-paket som har verifierats och testats av Google, samt verifierade Java- och Python-paket som skapas med hjälp av Googles säkra pipelines. Dessa paket genomsöks, analyseras och testas regelbundet för säkerhetsrisker. Sådana funktioner kan integreras i Google Cloud Build, Cloud Deploy, Artifact Registry, Artifact Analysis som en del av CI/CD-arbetsflödena.
Om du hanterar källkoden via GitHub-plattformen kontrollerar du säkerheten för programvaruförsörjningskedjan via följande funktioner eller verktyg från GitHub Advanced Security eller GitHubs interna funktion:
- Använd Dependency Graph för att skanna, inventera och identifiera alla projektets beroenden och relaterade sårbarheter via rådgivande databas.
- Använd Dependabot för att säkerställa att det sårbara beroendet spåras och åtgärdas och se till att lagringsplatsen automatiskt håller jämna steg med de senaste versionerna av de paket och program som den är beroende av.
- Använd GitHubs inbyggda kodgenomsökningsfunktion för att skanna källkoden när du hämtar koden externt.
- Om tillämpligt använder du Microsoft Defender för molnet för att integrera sårbarhetsbedömning för din containeravbildning i CI/CD-arbetsflödet.
GCP-implementering och ytterligare kontext:
- Säkerhet i leveranskedjan för Google Cloud Software
- Sköld för programvaruleverans
- Säkerhet i leverantörskedjan för programvara
Intressenter för kundsäkerhet (Läs mer):
DS-3: Säker DevOps-infrastruktur
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 16.7 | CM-2, CM-6, AC-2, AC-3, AC-6 | 2.2, 6.3, 7.1 |
Säkerhetsprincip: Se till att DevOps-infrastrukturen och pipelinen följer rekommenderade säkerhetsmetoder i olika miljöer, inklusive bygg-, test- och produktionsfaser. Detta inkluderar vanligtvis säkerhetskontrollerna för följande omfång:
- Artefaktlagringsplatser som lagrar källkod, byggda paket och bilder, projektartefakter och affärsdata.
- Servrar, tjänster och verktyg som är värdar för CI/CD-pipelines.
- CI/CD-pipelinekonfiguration.
Azure-vägledning: Som en del av att tillämpa Microsoft Cloud Security Benchmark på säkerhetskontrollerna för DevOps-infrastrukturen prioriterar du följande kontroller:
- Skydda artefakter och den underliggande miljön för att säkerställa att CI/CD-pipelines inte blir vägar för att infoga skadlig kod. Granska till exempel din CI/CD-pipeline för att identifiera eventuella felkonfigurationer i kärnområden i Azure DevOps, till exempel Organisation, Projekt, Användare, Pipelines (Build & Release), Anslutningar och Build Agent för att identifiera eventuella felkonfigurationer som öppen åtkomst, svag autentisering, osäker anslutningskonfiguration och så vidare. För GitHub använder du liknande kontroller för att skydda organisationens behörighetsnivåer.
- Se till att din DevOps-infrastruktur distribueras konsekvent i utvecklingsprojekt. Övervaka efterlevnaden av din DevOps-infrastruktur i stor skala med hjälp av Microsoft Defender for Cloud (till exempel Efterlevnadspanel, Azure Policy, Molnsäkerhetshantering) eller dina egna verktyg för efterlevnadsövervakning.
- Konfigurera identitets-/rollbehörigheter och berättigandeprinciper i Azure AD, interna tjänster och CI/CD-verktyg i pipelinen för att säkerställa att ändringar i pipelines är auktoriserade.
- Undvik att ge permanent stående privilegierad åtkomst till personliga användarkonton såsom utvecklare eller testare genom att använda funktioner som Azure-hanterade identiteter och just-in-time-åtkomst.
- Ta bort nycklar, autentiseringsuppgifter och hemligheter från kod och skript som används i CI/CD-arbetsflödesjobb och behåll dem i ett nyckelarkiv eller Azure Key Vault.
- Om du kör lokala bygg-/distributionsagenter följer du Microsoft Cloud Security Benchmark-kontroller, inklusive nätverkssäkerhet, hantering av hållning och sårbarhet samt slutpunktssäkerhet för att skydda din miljö.
Obs! Se avsnitten Loggning och hotidentifiering, DS-7 och Posture and Vulnerability Management för att använda tjänster som Azure Monitor och Microsoft Sentinel för att aktivera styrning, efterlevnad, driftgranskning och riskgranskning för din DevOps-infrastruktur.
Azure-implementering och ytterligare kontext:
- Översikt över DevSecOps-kontroller – säkra pipelines
- Skydda din GitHub-organisation
- Azure DevOps-pipeline – Säkerhetsöverväganden för Microsofts värdbaserade agent
AWS-vägledning: Som en del av att tillämpa Microsoft Cloud Security Benchmark på säkerhetskontrollerna i din DevOps-infrastruktur, till exempel GitHub, CodeCommit, CodeArtifact, CodePipeline, CodeBuild och CodeDeploy, prioriterar du följande kontroller:
- Använd denna vägledning och säkerhetspelaren för AWS Well-Architected Framework för att skydda dina DevOps-miljöer i AWS.
- Skydda artefakter och den underliggande stödinfrastrukturen för att säkerställa att CI/CD-pipelines inte blir vägar för att infoga skadlig kod.
- Se till att din DevOps-infrastruktur distribueras och upprätthålls konsekvent i olika utvecklingsprojekt. Spåra efterlevnaden av Din DevOps-infrastruktur i stor skala med hjälp av AWS Config eller din egen lösning för efterlevnadskontroll.
- Använd CodeArtifact för att lagra och dela programvarupaket som används för programutveckling på ett säkert sätt. Du kan använda CodeArtifact med populära byggverktyg och pakethanterare som Maven, Gradle, npm, yarn, pip och twine.
- Konfigurera identitets-/rollbehörigheter och behörighetsprinciper i AWS IAM, interna tjänster och CI/CD-verktyg i din pipeline för att säkerställa att ändringar i pipelines är auktoriserade.
- Ta bort nycklar, autentiseringsuppgifter och hemligheter från kod och skript som används i CI/CD-arbetsflödesjobb och behåll dem i nyckelarkivet eller AWS KMS
- Om du kör lokala bygg-/distributionsagenter följer du Microsoft Cloud Security Benchmark-kontroller, inklusive nätverkssäkerhet, hantering av hållning och sårbarhet samt slutpunktssäkerhet för att skydda din miljö. Använd AWS Inspector för sårbarhetsgenomsökning efter sårbarheter i EC2 eller containerbaserad miljö som byggmiljö.
Obs! Se avsnitten Loggning och hotidentifiering, DS-7 och avsnitten Posture and Vulnerability Management för att använda tjänster som AWS CloudTrail, CloudWatch och Microsoft Sentinel för att aktivera styrning, efterlevnad, driftgranskning och riskgranskning för din DevOps-infrastruktur.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Som en del av tillämpningen av Microsoft Cloud Security Benchmark på säkerhetskontrollerna för DevOps-infrastrukturen prioriterar du följande kontroller:
- Skydda artefakter och den underliggande miljön för att säkerställa att CI/CD-pipelines inte blir vägar för att infoga skadlig kod. Granska till exempel CI/CD-pipelinen för att identifiera eventuella felkonfigurationer i tjänster som Google Cloud Build, Cloud Deploy, Artifact Registry, Connections och Build Agent för att identifiera eventuella felkonfigurationer som öppen åtkomst, svag autentisering, osäker anslutningskonfiguration och så vidare. För GitHub använder du liknande kontroller för att skydda organisationens behörighetsnivåer.
- Se till att din DevOps-infrastruktur distribueras konsekvent i utvecklingsprojekt. Spåra efterlevnaden av din DevOps-infrastruktur i stor skala med hjälp av Google Cloud Security Command Center (till exempel Instrumentpanel för efterlevnad, Organisationsprincip, Registrera enskilda hot och Identifiera felkonfigurationer) eller dina egna verktyg för efterlevnadsövervakning.
- Konfigurera identitets-/rollbehörigheter och berättigandeprinciper i molnidentitets-/AD-interna tjänster och CI/CD-verktyg i din pipeline för att säkerställa att ändringar i pipelines är auktoriserade.
- Undvik att ge permanent "stående" privilegierad åtkomst till de mänskliga kontona, till exempel utvecklare eller testare med hjälp av funktioner som Google-hanterade identifierare.
- Ta bort nycklar, autentiseringsuppgifter och hemligheter från kod och skript som används i CI/CD-arbetsflödesjobb och förvara dem i ett nyckelarkiv eller Google Secret Manager.
- Om du kör lokala bygg-/distributionsagenter följer du Microsoft Cloud Security Benchmark-kontroller, inklusive nätverkssäkerhet, hantering av hållning och sårbarhet samt slutpunktssäkerhet för att skydda din miljö.
Obs! Se avsnitten Loggning och hotidentifiering, DS-7 och Posture and Vulnerability Management för att använda tjänster som Azure Monitor och Microsoft Sentinel eller Google Cloud's operations suite och Chronicle SIEM och SOAR för att aktivera styrning, efterlevnad, driftgranskning och riskgranskning för din DevOps-infrastruktur.
GCP-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):
- Programsäkerhet och DevSecOps
- Posturhantering
- Infrastruktur och slutpunktssäkerhet
- Säkerhetsarkitektur
DS-4: Integrera statisk programsäkerhetstestning i DevOps-pipelinen
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 16.12 | SA-11 | 6.3, 6.5 |
Säkerhetsprincip: Se till att statisk applikationssäkerhetstestning (SAST), fuzztestning, interaktiv testning och testning av mobilapplikationer ingår i gating-kontrollerna i CI/CD-arbetsflödet. Gating kan ställas in baserat på testresultaten för att förhindra att sårbara paket checkar in på lagringsplatsen, bygger in i paketen eller distribuerar till produktionen.
Azure-vägledning: Integrera SAST i din pipeline (t.ex. i infrastrukturen som kodmall) så att källkoden kan genomsökas automatiskt i ditt CI/CD-arbetsflöde. Azure DevOps Pipeline eller GitHub kan integrera nedanstående verktyg och SAST-verktyg från tredje part i arbetsflödet.
- GitHub CodeQL för källkodsanalys.
- Microsoft BinSkim Binary Analyzer för Windows och *nix binär analys.
- Azure DevOps Credential Scanner (Microsoft Security DevOps-tillägget) och GitHub inbyggd hemlighetsgenomsökning för genomsökning av autentiseringsuppgifter i källkoden.
Azure-implementering och ytterligare kontext:
- GitHub CodeQL
- BinSkim binär analysator
- Genomsökning av Azure DevOps-autentiseringsuppgifter
- GitHub-hemlighetsgenomsökning
AWS-vägledning: Integrera SAST i din pipeline så att källkoden kan genomsökas automatiskt i DITT CI/CD-arbetsflöde.
Om du använder AWS CodeCommit använder du AWS CodeGuru Reviewer för Python- och Java-källkodsanalys. AWS Codepipeline kan också stödja integrering av SAST-verktyg i tredje delen i koddistributionspipelinen.
Om du använder GitHub kan nedanstående verktyg och SAST-verktyg från tredje part integreras i arbetsflödet.
- GitHub CodeQL för källkodsanalys.
- Microsoft BinSkim Binary Analyzer för Windows och *nix binär analys.
- GitHub inbyggd hemlig skanning för identifiering i källkoden.
- AWS CodeGuru Reviewer för Python- och Java-källkodsanalys.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Integrera SAST (till exempel sköld för programvaruleverans, artefaktanalys) i pipelinen (t.ex. i infrastrukturen som kodmall) så att källkoden kan genomsökas automatiskt i ditt CI/CD-arbetsflöde.
Tjänster som Cloud Build, Cloud Deploy och Artifact Registry stöder integrering med Software Delivery Shield och Artifact Analysis som kan skanna källkod och andra artefakter i CI/CD-arbetsflödet.
GCP-implementering och ytterligare kontext:
- Användning av genomsökning på begäran i din Cloud Build-pipeline
- Översikt över Software Delivery Shield
Intressenter för kundsäkerhet (Läs mer):
DS-5: Integrera dynamisk programsäkerhetstestning i DevOps-pipeline
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 16.12 | SA-11 | 6.3, 6.5 |
Säkerhetsprincip: Se till att DAST (Dynamic Application Security Testing) ingår i gating-kontrollerna i CI/CD-arbetsflödet. Gating kan ställas in baserat på testresultaten för att förhindra sårbarhet från att bygga in i paketen eller distribuera till produktionen.
Azure-vägledning: Integrera DAST i din pipeline så att körningsprogrammet kan testas automatiskt i din CI/CD-arbetsflödesuppsättning i Azure DevOps eller GitHub. Automatiserad penetrationstestning (med manuell assisterad validering) bör också ingå i DAST.
Azure DevOps Pipeline eller GitHub stöder integrering av DAST-verktyg från tredje part i CI/CD-arbetsflödet.
Azure-implementering och ytterligare kontext:
AWS-vägledning: Integrera DAST i din pipeline så att körningsprogrammet kan testas automatiskt i din CI/CD-arbetsflödesuppsättning i AWS CodePipeline eller GitHub. Automatiserad penetrationstestning (med manuell assisterad validering) bör också ingå i DAST.
AWS CodePipeline eller GitHub stöder integrering av DAST-verktyg från tredje part i CI/CD-arbetsflödet.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Integrera DAST (till exempel Cloud Web Security Scanner) i din pipeline så att runtime-applikationen kan testas automatiskt i CI/CD-arbetsflöde som är inställt på tjänster som Google Cloud Build, Cloud Deploy eller GitHub. Cloud Web Security Scanner kan användas för att identifiera säkerhetsrisker i dina webbprogram för arbetsbelastningar som finns i App Engine, Google Kubernetes Engine (GKE) och Compute Engine. Automatiserad penetrationstestning (med manuell assisterad validering) bör också ingå i DAST.
Google Cloud Build, Google Cloud Deploy, Artifact Registry och GitHub stöder också integrering av DAST-verktyg från tredje part i CI/CD-arbetsflödet.
GCP-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):
DS-6: Framtvinga arbetsbelastningssäkerhet under Hela DevOps-livscykeln
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 7.5, 7.6, 7.7, 16.1, 16.7 | CM-2, CM-6, AC-2, AC-3, AC-6 | 6.1, 6.2, 6.3 |
Säkerhetsprincip: Se till att arbetsbelastningen skyddas under hela livscykeln under utvecklings-, testnings- och distributionsfasen. Använd Microsoft Cloud Security Benchmark för att utvärdera kontrollerna (till exempel nätverkssäkerhet, identitetshantering, privilegierad åtkomst och så vidare) som kan ställas in som skyddsräcken som standard eller flyttas åt vänster före distributionsfasen. Se särskilt till att följande kontroller finns på plats i DevOps-processen:– Automatisera distributionen med hjälp av Azure eller verktyg från tredje part i CI/CD-arbetsflödet, infrastrukturhantering (infrastruktur som kod) och testning för att minska den mänskliga fel- och attackytan.
- Se till att virtuella datorer, containeravbildningar och andra artefakter är säkra mot skadlig manipulering.
- Genomsöka arbetsbelastningsartefakter (med andra ord containeravbildningar, beroenden, SAST- och DAST-genomsökningar) före distributionen i CI/CD-arbetsflödet
- Distribuera kapacitet för sårbarhetsbedömning och hotidentifiering i produktionsmiljön och använd dessa funktioner kontinuerligt under körningen.
Azure-vägledning: Vägledning för virtuella Azure-datorer:
- Använd Azure Shared Image Gallery för att dela och kontrollera åtkomsten till dina bilder av olika användare, tjänstens huvudnamn eller AD-grupper i din organisation. Använd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att säkerställa att endast behöriga användare kan komma åt dina anpassade avbildningar.
- Definiera de säkra konfigurationsbaslinjerna för de virtuella datorerna för att eliminera onödiga autentiseringsuppgifter, behörigheter och paket. Distribuera och framtvinga konfigurationsbaslinjer via anpassade avbildningar, Azure Resource Manager-mallar och/eller Azure Policy-gästkonfiguration.
Vägledning för Azure-containertjänster:
- Använd Azure Container Registry (ACR) för att skapa ditt privata containerregister där detaljerad åtkomst kan begränsas via Azure RBAC, så att endast auktoriserade tjänster och konton kan komma åt containrarna i det privata registret.
- Använd Defender för containrar för sårbarhetsbedömning av avbildningarna i ditt privata Azure Container Registry. Dessutom kan du använda Microsoft Defender för molnet för att integrera genomsökningar av containeravbildningar som en del av dina CI/CD-arbetsflöden.
För serverlösa Azure-tjänster använder du liknande kontroller för att säkerställa att säkerhetskontrollerna flyttas åt vänster till fasen före distributionen.
Azure-implementering och ytterligare kontext:
- Översikt över delat bildgalleri
- Implementera rekommendationer för sårbarhetsbedömning i Microsoft Defender för molnet
- Säkerhetsöverväganden för Azure Container
- Azure Defender för containerregister
AWS-vägledning: Använd Amazon Elastic Container Registry för att dela och kontrollera åtkomsten till dina avbildningar av olika användare och roller i din organisation. Och använd AWS IAM för att säkerställa att endast behöriga användare kan komma åt dina anpassade avbildningar.
Definiera de säkra konfigurationsbaslinjerna för EC2 AMI-avbildningarna för att eliminera onödiga autentiseringsuppgifter, behörigheter och paket. Distribuera och framtvinga konfigurationsbaslinjer via anpassade AMI-avbildningar, CloudFormation-mallar och/eller AWS-konfigurationsregler.
Använd AWS Inspector för sårbarhetsgenomsökning av virtuella datorers och containerbaserade miljöer, vilket skyddar dem från skadlig manipulering.
För serverlösa AWS-tjänster använder du AWS CodePipeline tillsammans med AWS AppConfig för att använda liknande kontroller för att säkerställa att säkerhetskontrollerna "flyttas åt vänster" till fasen före distributionen.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Google Cloud innehåller kontroller för att skydda dina beräkningsresurser och GKE-containerresurser (Google Kubernetes Engine). Google innehåller avskärmad virtuell dator, vilket härdar de virtuella datorinstanserna. Det ger startsäkerhet, övervakar integritet och använder virtual trusted platform module (vTPM).
Använd Google Cloud Artifact Analysis för att genomsöka sårbarheter i container- eller OS-avbildningar och andra typer av artefakter på begäran eller automatiskt i dina pipelines. Använd Identifiering av containerhot för att kontinuerligt övervaka angiven av Container-Optimized os-nodavbildningar. Tjänsten utvärderar alla ändringar och fjärråtkomstförsök för att identifiera körningsattacker nästan i realtid.
Använd Artifact Registry för att konfigurera säker lagring av privata artefakter för att behålla kontrollen över vem som kan komma åt, visa eller ladda ned artefakter med registerbaserade IAM-roller och behörigheter, samt för att få konsekvent drifttid på Googles säkra och tillförlitliga infrastruktur.
För serverlösa GCP-tjänster använder du liknande kontroller för att säkerställa att säkerhetskontrollerna flyttas åt vänster till fasen före distributionen.
GCP-implementering och ytterligare kontext:
Intressenter för kundsäkerhet (Läs mer):
DS-7: Aktivera loggning och övervakning i DevOps
| CIS Controls v8 ID(er) | NIST SP 800-53 r4 ID(er) | PCI-DSS ID:er v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.9, 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.1, 10.2, 10.3, 10.6 |
Säkerhetsprincip: Se till att loggnings- och övervakningsomfånget omfattar icke-produktionsmiljöer och CI/CD-arbetsflödeselement som används i DevOps (och andra utvecklingsprocesser). Säkerhetsrisker och hot som riktas mot dessa miljöer kan medföra betydande risker för din produktionsmiljö om de inte övervakas korrekt. Händelserna från CI/CD-bygget, test- och distributionsarbetsflödet bör också övervakas för att identifiera eventuella avvikelser i CI/CD-arbetsflödesjobben.
Azure-vägledning: Aktivera och konfigurera funktionerna för granskningsloggning i icke-produktions- och CI/CD-verktygsmiljöer (till exempel Azure DevOps och GitHub) som används under hela DevOps-processen.
De händelser som genereras från Azure DevOps och GitHub CI/CD-arbetsflödet, inklusive bygg-, test- och distributionsjobben, bör också övervakas för att identifiera eventuella avvikande resultat.
Mata in ovanstående loggar och händelser i Microsoft Sentinel eller andra SIEM-verktyg via en loggningsström eller ETT API för att säkerställa att säkerhetsincidenterna övervakas korrekt och sorteras för hantering.
Azure-implementering och ytterligare kontext:
AWS-vägledning: Aktivera och konfigurera AWS CloudTrail för granskningsloggningsfunktioner i icke-produktions- och CI/CD-verktygsmiljöer (till exempel AWS CodePipeline, AWS CodeBuild, AWS CodeDeploy, AWS CodeStar) som används under hela DevOps-processen.
De händelser som genereras från AWS CI/CD-miljöer (till exempel AWS CodePipeline, AWS CodeBuild, AWS CodeDeploy, AWS CodeStar) och GitHub CI/CD-arbetsflödet, inklusive bygg-, test- och distributionsjobb, bör också övervakas för att identifiera eventuella avvikande resultat.
Mata in ovanstående loggar och händelser i AWS CloudWatch, Microsoft Sentinel eller andra SIEM-verktyg via en loggningsström eller API för att säkerställa att säkerhetsincidenterna övervakas och sorteras korrekt för hantering.
AWS-implementering och ytterligare kontext:
GCP-vägledning: Aktivera och konfigurera granskningsloggningsfunktionerna i icke-produktions- och CI/CD-verktygsmiljöer för produkter som Cloud Build, Google Cloud Deploy, Artifact Registry och GitHub, som kan användas under hela DevOps-processen.
De händelser som genereras från GCP CI/CD-miljöer (till exempel Cloud Build, Google Cloud Deploy, Artifact Registry) och GitHub CI/CD-arbetsflödet, inklusive bygg-, test- och distributionsjobben, bör också övervakas för att identifiera avvikande resultat.
Mata in ovanstående loggar och händelser i Microsoft Sentinel, Google Cloud Security Command Center, Chronicle eller andra SIEM-verktyg via en loggningsström eller API för att säkerställa att säkerhetsincidenterna övervakas och sorteras korrekt för hantering.
GCP-implementering och ytterligare kontext:
- Utvalda produkter för CI/CD
- Introduktion till Google Cloud-driftspaketet
- Metodtips för molnloggning
- Importera Google Cloud-data i Chronicle
Intressenter för kundsäkerhet (Läs mer):