Introduktion till programsäkerhet

  • 7 minuter

I den här modulen lär du dig att:

  • Utvärdera säkerhetsstatusen för befintliga programportföljer
  • Utvärdera hot mot affärskritiska program med hjälp av hotmodellering
  • Utforma och implementera en fullständig livscykelstrategi för programsäkerhet
  • Utforma och implementera standarder och metoder för att skydda programutvecklingsprocessen
  • Utforma en lösning för arbetsbelastningsidentitet för att autentisera och komma åt Azure-molnresurser
  • Utforma en lösning för API-hantering och säkerhet
  • Utforma en lösning för säker åtkomst till program

Innehållet i modulen hjälper dig att förbereda dig för certifieringsprovet SC-100: Microsoft Cybersecurity Architect.

Förutsättningar

  • Avancerad erfarenhet och kunskap om identitet och åtkomst, plattformsskydd, säkerhetsåtgärder, skydd av data och skydd av program.
  • Erfarenhet av hybridimplementeringar och molnimplementeringar.

Program- och DevOps-säkerhet

DevOps Security omfattar de kontroller som rör säkerhetsteknik och åtgärder i DevOps-processerna, inklusive distribution av kritiska säkerhetskontroller (till exempel statisk programsäkerhetstestning, hantering av säkerhetsrisker) före distributionsfasen för att säkerställa säkerheten under hela DevOps-processen. Den innehåller även vanliga ämnen som hotmodellering och säkerhet för programvaruförsörjning.

Den här lektionen ger en sammanfattning av Microsofts benchmark-kontroller för molnsäkerhet i DevOps Security-familjen.

Mer bakgrund om Microsoft Cloud Security Benchmark finns i Introduktion till Microsofts referensarkitektur för cybersäkerhet och molnsäkerhet.

I sammanfattningen nedan har vi inkluderat kontroller från den fullständiga baslinjen där:

  • Säkerhetskontroller stöds men är inte aktiverade som standard
  • Det fanns uttrycklig vägledning som innehöll åtgärder som skulle vidtas från kundens sida

Microsoft Cloud Security Benchmark beskriver sju viktiga kontroller för DevOps-säkerhet.

  1. DS-1: Genomför hotmodellering
  2. DS-2: Se till att programvaruförsörjningskedjan är säker
  3. DS-3: Säker DevOps-infrastruktur
  4. DS-4: Integrera statisk programsäkerhetstestning i DevOps-pipelinen
  5. DS-5: Integrera dynamisk programsäkerhetstestning i DevOps-pipeline
  6. DS-6: Framtvinga arbetsbelastningssäkerhet under Hela DevOps-livscykeln
  7. DS-7: Aktivera loggning och övervakning i DevOps

Dessa kontroller sammanfattas i följande tabell:

Kontrollnummer Titel Sammanfattning
DS-1 Genomföra hotmodellering Utföra hotmodellering för att identifiera potentiella hot och räkna upp de mildrande kontrollerna
DS-2 Se till att programvaruförsörjningskedjan är säker Se till att företagets SDLC (Software Development Lifecycle) eller processen innehåller en uppsättning säkerhetskontroller för att styra de interna och tredje parts programvarukomponenter (inklusive både egenutvecklad programvara och programvara med öppen källkod) där dina program har beroenden. Definiera kriterier för att förhindra att sårbara eller skadliga komponenter integreras och distribueras i miljön.
DS-3 Säker DevOps-infrastruktur Se till att DevOps-infrastrukturen och pipelinen följer rekommenderade säkerhetsmetoder i olika miljöer, inklusive bygg-, test- och produktionsfaser.
DS-4 Integrera säkerhetstest för statiska program i DevOps-pipelinen Se till att statisk applikationssäkerhetstestning (SAST) och fuzzy-testning, interaktiv testning, och mobilapplikationstestning ingår i gating-kontrollerna i CI/CD-arbetsflödet. Gating kan ställas in baserat på testresultaten för att förhindra att sårbara paket checkar in på lagringsplatsen, bygger in i paketen eller distribuerar till produktionen.
DS-5 Integrera dynamisk programsäkerhetstestning i DevOps-pipeline Säkerställ att dynamisk applikationssäkerhetstestning (DAST) är en del av gating-kontrollerna i CI/CD-arbetsflödet. Gating kan ställas in baserat på testresultaten för att förhindra sårbarhet från att bygga in i paketen eller distribuera till produktionen.
DS-6 Framtvinga arbetsbelastningssäkerhet i hela DevOps-livscykeln Se till att arbetsbelastningen skyddas under hela livscykeln under utvecklings-, testnings- och distributionsfasen. Använd Microsoft Cloud Security Benchmark för att utvärdera kontrollerna (till exempel nätverkssäkerhet, identitetshantering, privilegierad åtkomst och så vidare) som kan ställas in som skyddsräcken som standard eller flyttas åt vänster före distributionsfasen. Se särskilt till att följande kontroller finns på plats i DevOps-processen:– Automatisera distributionen med hjälp av Azure eller verktyg från tredje part i CI/CD-arbetsflödet, infrastrukturhantering (infrastruktur som kod) och testning för att minska den mänskliga fel- och attackytan.
DS-7 Aktivera loggning och övervakning i DevOps Se till att ditt loggnings- och övervakningsomfång omfattar icke-produktionsmiljöer och CI/CD-arbetsflödeselement som används i DevOps (och andra utvecklingsprocesser). Säkerhetsrisker och hot som riktas mot dessa miljöer kan medföra betydande risker för din produktionsmiljö om de inte övervakas korrekt. Händelserna från CI/CD-bygget, test- och distributionsarbetsflödet bör också övervakas för att identifiera eventuella avvikelser i CI/CD-arbetsflödesjobben.