Aracılığıyla paylaş

Güvenlik Denetimi: DevOps güvenliği

DevOps Güvenliği, DevOps işlemi boyunca güvenliği sağlamak için dağıtım aşamasından önce kritik güvenlik denetimlerinin (statik uygulama güvenlik testi, güvenlik açığı yönetimi gibi) dağıtımı da dahil olmak üzere DevOps süreçlerindeki güvenlik mühendisliği ve işlemleriyle ilgili denetimleri kapsar; ayrıca tehdit modelleme ve yazılım tedarik güvenliği gibi yaygın konuları içerir.

DS-1: Tehdit modellemesi gerçekleştirme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlik(ler) PCI-DSS kimlikleri v3.2.1
16.10, 16.14 SA-15 Serisi 6.5, 12.2

Güvenlik ilkesi: Olası tehditleri belirlemek ve azaltma denetimlerini listelemek için tehdit modellemesi gerçekleştirin. Tehdit modellemenizin aşağıdaki amaçlara hizmetdiğinden emin olun:

  • Uygulama ve hizmetlerinizin güvenliğini üretim çalışma zamanı aşamasında sağlayın.
  • Derleme, test ve dağıtım için kullanılan yapıtların, temel alınan CI/CD işlem hattının ve diğer araç ortamının güvenliğini sağlayın. Tehdit modellemesi en azından aşağıdaki özellikleri içermelidir:
  • Uygulamanın güvenlik gereksinimlerini tanımlayın. Tehdit modellemesinde bu gereksinimlerin yeterli şekilde ele alındığından emin olun.
  • Uygulama bileşenlerini, veri bağlantılarını ve bunların ilişkilerini analiz edin. Bu analizin uygulama kapsamınızın dışındaki yukarı ve aşağı akış bağlantılarını da içerdiğinden emin olun.
  • Uygulama bileşenlerinizin, veri bağlantılarınızın, yukarı ve aşağı akış hizmetlerinizin maruz kalabileceği olası tehditleri ve saldırı vektörlerini listeleyin.
  • Numaralandırılan tehditleri azaltmak ve ek işlem planları gerektirebilecek denetim boşluklarını (örneğin güvenlik açıkları) belirlemek için kullanılabilecek geçerli güvenlik denetimlerini belirleyin.
  • Tanımlanan güvenlik açıklarını azaltabilecek denetimleri numaralandırın ve tasarlayın.

Azure kılavuzu: Tehdit modelleme işleminizi yönlendirmek için Azure tehdit modeli şablonu eklenmiş olarak Microsoft tehdit modelleme aracı gibi tehdit modelleme araçlarını kullanın. Hem iç hem de dış tehditleri listelemek ve uygulanabilir denetimleri belirlemek için STRIDE modelini kullanın. Tehdit modelleme işleminin, yanlış yapılandırılmış erişim denetimi ilkesine sahip güvenli olmayan bir yapıt deposu aracılığıyla kötü amaçlı kod ekleme gibi DevOps işlemindeki tehdit senaryolarını içerdiğinden emin olun.

Tehdit modelleme aracı kullanmak uygun değilse, tehditleri tanımlamak için en azından anket tabanlı bir tehdit modelleme işlemi kullanmanız gerekir.

Uygulamanızda veya tehdit alanında önemli bir güvenlik etkisi değişikliği olduğunda tehdit modelleme veya analiz sonuçlarının kaydedildiğinden ve güncelleştirildiğinden emin olun.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: Tehdit modelleme işleminizi yönlendirmek için Azure tehdit modeli şablonu eklenmiş olarak Microsoft tehdit modelleme aracı gibi tehdit modelleme araçlarını kullanın. Hem iç hem de dış tehditleri listelemek ve uygulanabilir denetimleri belirlemek için STRIDE modelini kullanın. Tehdit modelleme işleminin, yanlış yapılandırılmış erişim denetimi ilkesine sahip güvenli olmayan bir yapıt deposu aracılığıyla kötü amaçlı kod ekleme gibi DevOps işlemindeki tehdit senaryolarını içerdiğinden emin olun.

Tehdit modelleme aracı kullanmak uygun değilse, tehditleri tanımlamak için en azından anket tabanlı bir tehdit modelleme işlemi kullanmanız gerekir.

Uygulamanızda veya tehdit alanında önemli bir güvenlik etkisi değişikliği olduğunda tehdit modelleme veya analiz sonuçlarının kaydedildiğinden ve güncelleştirildiğinden emin olun.

"AWS uygulaması ve ek bağlam için :"

GCP kılavuzu: Tehdit modelleme işleminizi yönlendirmek için Azure tehdit modeli şablonu eklenmiş olarak Microsoft tehdit modelleme aracı gibi tehdit modelleme araçlarını kullanın. Hem iç hem de dış tehditleri listelemek ve uygulanabilir denetimleri belirlemek için STRIDE modelini kullanın. Tehdit modelleme işleminin, yanlış yapılandırılmış erişim denetimi ilkesine sahip güvenli olmayan bir yapıt deposu aracılığıyla kötü amaçlı kod ekleme gibi DevOps işlemindeki tehdit senaryolarını içerdiğinden emin olun.

Tehdit modelleme aracı kullanmak uygun değilse, tehditleri tanımlamak için en azından anket tabanlı bir tehdit modelleme işlemi kullanmanız gerekir.

Uygulamanızda veya tehdit alanında önemli bir güvenlik etkisi değişikliği olduğunda tehdit modelleme veya analiz sonuçlarının kaydedildiğinden ve güncelleştirildiğinden emin olun.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

DS-2: Yazılım tedarik zinciri güvenliğini sağlama

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlik(ler) PCI-DSS kimlikleri v3.2.1
16.4, 16.6, 16.11 SA-12, SA-15 6.3, 6.5

Güvenlik ilkesi: Kuruluşunuzun SDLC'sinin (Yazılım Geliştirme Yaşam Döngüsü) veya işleminin, uygulamalarınızın bağımlılıkları olan şirket içi ve üçüncü taraf yazılım bileşenlerini (hem özel hem de açık kaynak yazılım dahil) idare etmek için bir dizi güvenlik denetimi içerdiğinden emin olun. Güvenlik açığı olan veya kötü amaçlı bileşenlerin ortama entegrasyonunu ve dağıtımını önlemek için gating ölçütleri tanımlayın.

Yazılım tedarik zinciri güvenlik denetimleri en azından aşağıdaki özellikleri içermelidir:

  • Hizmet/kaynak geliştirme, derleme, tümleştirme ve dağıtım aşaması için gereken yukarı akış bağımlılıklarını belirleyerek yazılım ürün reçetesini (SBOM) düzgün bir şekilde yönetin.
  • Yukarı akışta bir düzeltme olduğunda bilinen güvenlik açığı için şirket içi ve üçüncü taraf yazılım bileşenlerini envantere alın ve izleyin.
  • Bilinmeyen güvenlik açıkları için statik ve dinamik uygulama testi kullanarak yazılım bileşenlerindeki güvenlik açıklarını ve kötü amaçlı yazılımları değerlendirin.
  • Uygun yaklaşımı kullanarak güvenlik açıklarının ve kötü amaçlı yazılımların azaltıldığından emin olun. Bu, kaynak kodu yerel veya üst akış düzeltmeleri, özellik dışlamaları ve/veya doğrudan bir azaltma çözümü mevcut değilse telafi edici kontroller uygulamayı içerebilir.

Kapalı kaynak üçüncü taraf bileşenleri üretim ortamınızda kullanılıyorsa güvenlik duruşuyla ilgili görünürlüğünüz sınırlı olabilir. Bileşenle ilişkili kötü amaçlı bir etkinlik veya güvenlik açığı varsa etkiyi en aza indirmek için erişim denetimi, ağ yalıtımı ve uç nokta güvenliği gibi ek denetimleri göz önünde bulundurmalısınız.

Azure kılavuzu: GitHub platformu için, GitHub Advanced Security veya GitHub'ın yerel özelliğinden alınan aşağıdaki özellik veya araçlar aracılığıyla yazılım tedarik zinciri güvenliğini sağlayın:- Danışmanlık Veritabanı aracılığıyla projenizin tüm bağımlılıklarını ve ilgili güvenlik açıklarını taramak, envanterini oluşturmak ve tanımlamak için Bağımlılık Grafı'nı kullanın.

  • Güvenlik açığı olan bağımlılığın izlendiğinden ve düzeltildiğinden emin olmak ve deponuzun bağlı olduğu paketlerin ve uygulamaların en son sürümlerine otomatik olarak yetişdiğinden emin olmak için Dependabot'ı kullanın.
  • Kodu dışarıdan kaynak oluştururken kaynak kodu taramak için GitHub'ın yerel kod tarama özelliğini kullanın.
  • Ci/CD iş akışında kapsayıcı görüntünüz için güvenlik açığı değerlendirmesini tümleştirmek için Bulut için Microsoft Defender'ı kullanın. Azure DevOps için üçüncü taraf uzantılarını kullanarak envantere benzer denetimler uygulayabilir, üçüncü taraf yazılım bileşenlerini ve bunların güvenlik açıklarını analiz edebilir ve düzeltebilirsiniz.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: CodeCommit veya CodePipeline gibi AWS CI/CD platformlarını kullanıyorsanız, CI/CD iş akışları aracılığıyla kaynak kodu (Java ve Python için) taramak için CodeGuru Reviewer'ı kullanarak yazılım tedarik zinciri güvenliğini sağlayın. CodeCommit ve CodePipeline gibi platformlar, üçüncü taraf yazılım bileşenlerini ve güvenlik açıklarını envantere almak, analiz etmek ve düzeltmek için benzer denetimleri uygulamak için üçüncü taraf uzantıları da destekler.

Kaynak kodunuzu GitHub platformu üzerinden yönetiyorsanız, GitHub Advanced Security veya GitHub'ın yerel özelliğinden aşağıdaki özellik veya araçlar aracılığıyla yazılım tedarik zinciri güvenliğini sağlayın:

  • Danışmanlık Veritabanı aracılığıyla projenizin tüm bağımlılıklarını ve ilgili güvenlik açıklarını taramak, envanterini oluşturmak ve tanımlamak için Bağımlılık Grafiği'ni kullanın.
  • Güvenlik açığı olan bağımlılığın izlendiğinden ve düzeltildiğinden emin olmak ve deponuzun bağlı olduğu paketlerin ve uygulamaların en son sürümlerine otomatik olarak yetişdiğinden emin olmak için Dependabot'ı kullanın.
  • Kodu dışarıdan kaynak oluştururken kaynak kodu taramak için GitHub'ın yerel kod tarama özelliğini kullanın.
  • Varsa, CI/CD iş akışında kapsayıcı görüntünüze yönelik güvenlik açığı değerlendirmesini tümleştirmek için Bulut için Microsoft Defender'ı kullanın.

"AWS uygulaması ve ek bağlam için :"

GCP kılavuzu: Uçtan uca yazılım tedarik zinciri güvenlik analizi gerçekleştirmek için Yazılım Teslim Kalkanı kullanın. Buna erişim için Garantili OSS (Açık Kaynak Yazılım) hizmeti ve Google tarafından doğrulanmış ve test edilmiş OSS paketlerinin yanı sıra Google'ın güvenli işlem hatları kullanılarak oluşturulan doğrulanmış Java ve Python paketleri dahildir. Bu paketler düzenli olarak taranır, analiz edilir ve güvenlik açıkları için test edilir. Bu özellikler CI/CD iş akışlarının bir parçası olarak Google Cloud Build, Cloud Deploy, Artifact Registry, Artifact Analysis ile tümleştirilebilir.

Kaynak kodunuzu GitHub platformu üzerinden yönetiyorsanız, GitHub Advanced Security veya GitHub'ın yerel özelliğinden aşağıdaki özellik veya araçlar aracılığıyla yazılım tedarik zinciri güvenliğini sağlayın:

  • Danışmanlık Veritabanı aracılığıyla projenizin tüm bağımlılıklarını ve ilgili güvenlik açıklarını taramak, envanterini oluşturmak ve tanımlamak için Bağımlılık Grafiği'ni kullanın.
  • Güvenlik açığı olan bağımlılığın izlendiğinden ve düzeltildiğinden emin olmak ve deponuzun bağlı olduğu paketlerin ve uygulamaların en son sürümlerine otomatik olarak yetişdiğinden emin olmak için Dependabot'ı kullanın.
  • Kodu dışarıdan kaynak oluştururken kaynak kodu taramak için GitHub'ın yerel kod tarama özelliğini kullanın.
  • Varsa, CI/CD iş akışında kapsayıcı görüntünüze yönelik güvenlik açığı değerlendirmesini tümleştirmek için Bulut için Microsoft Defender'ı kullanın.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

DS-3: DevOps altyapısının güvenliğini sağlama

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlik(ler) PCI-DSS kimlikleri v3.2.1
16.7 CM-2, CM-6, AC-2, AC-3, AC-6 2.2, 6.3, 7.1

Güvenlik ilkesi: DevOps altyapısının ve işlem hattının derleme, test ve üretim aşamalarınız gibi ortamlardaki en iyi güvenlik uygulamalarını izlediğinden emin olun. Bu genellikle aşağıdaki kapsam için güvenlik denetimlerini içerir:

  • Kaynak kodu, oluşturulan paketler ve görüntüler, proje yapıtları ve iş verilerini depolayan yapıt depoları.
  • CI/CD işlem hatlarını barındıran sunucular, hizmetler ve araçlar.
  • CI/CD işlem hattı yapılandırması.

Azure kılavuzu: Microsoft Bulut Güvenliği Karşılaştırması'nı DevOps altyapısı güvenlik denetimlerinize uygulamanın bir parçası olarak aşağıdaki denetimlerin önceliğini belirleyin:

  • CI/CD işlem hatlarının kötü amaçlı kod ekleme yolları haline gelmemesi için artefaktları ve altyapıyı koruyun. Örneğin, Azure DevOps'un Kuruluş, Projeler, Kullanıcılar, İşlem Hatları (Derleme ve Yayın), Bağlantılar ve Derleme Aracısı gibi temel alanlarında açık erişim, zayıf kimlik doğrulaması, güvenli olmayan bağlantı kurulumu gibi yanlış yapılandırmaları belirlemek için CI/CD işlem hattınızı gözden geçirin. GitHub'da Kuruluş izin düzeylerinin güvenliğini sağlamak için benzer denetimleri kullanın.
  • DevOps altyapınızın geliştirme projeleri arasında tutarlı bir şekilde dağıtıldığından emin olun. Bulut için Microsoft Defender'ı (Uyumluluk Panosu, Azure İlkesi, Bulut Duruş Yönetimi gibi) veya kendi uyumluluk izleme araçlarınızı kullanarak DevOps altyapınızın uygun ölçekte uyumluluğunu izleyin.
  • İşlem hatlarındaki değişikliklerin yetkilendirildiğinden emin olmak için Azure AD'de kimlik/rol izinlerini ve yetkilendirme ilkelerini, yerel hizmetleri ve işlem hattınızdaki CI/CD araçlarını yapılandırın.
  • Azure yönetilen kimlikler ve tam zamanında erişim gibi özellikleri kullanarak geliştiriciler veya test uzmanları gibi insan hesaplarına kalıcı sürekli ayrıcalıklı erişim sağlamaktan kaçının.
  • CI/CD iş akışı işlerinde kullanılan kod ve betiklerden anahtarları, kimlik bilgilerini ve gizli dizileri kaldırın ve bunları bir anahtar deposunda veya Azure Key Vault'ta tutun.
  • Kendi kendine barındırılan derleme/dağıtım aracıları çalıştırıyorsanız, ortamınızın güvenliğini sağlamak için Microsoft Cloud Security Benchmark denetimleri gibi ağ güvenliği, tehdit durumu ve güvenlik açığı yönetimi ve uç nokta güvenliğini takip edin.

Not: DevOps altyapınız için idare, uyumluluk, operasyonel denetim ve risk denetimini etkinleştirmek üzere Azure İzleyici ve Microsoft Sentinel gibi hizmetleri kullanmak için Günlüğe Kaydetme ve Tehdit Algılama, DS-7 ve Duruş ve Güvenlik Açığı Yönetimi bölümlerine bakın.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: GitHub, CodeCommit, CodeArtifact, CodePipeline, CodeBuild ve CodeDeploy gibi DevOps altyapınızın güvenlik denetimlerine Microsoft Cloud Security Benchmark uygulamasının bir parçası olarak aşağıdaki denetimlerin önceliğini belirleyin:

  • AWS'deki DevOps ortamlarınızın güvenliğini sağlamak için bu kılavuza ve AWS İyi tasarlanmış Çerçeve güvenlik sütununa bakın.
  • CI/CD işlem hatlarının kötü amaçlı kod ekleme yolları haline gelmemesini sağlamak için yapıları ve altında yatan destekleyici altyapıyı koruyun.
  • DevOps altyapınızın geliştirme projeleri arasında tutarlı bir şekilde dağıtıldığından ve sürdürülebilir olduğundan emin olun. AWS Config veya kendi uyumluluk denetimi çözümünüzü kullanarak DevOps altyapınızın uygun ölçekte uyumluluğunu izleyin.
  • Uygulama geliştirme için kullanılan yazılım paketlerini güvenli bir şekilde depolamak ve paylaşmak için CodeArtifact kullanın. CodeArtifact'i Maven, Gradle, npm, yarn, pip ve twine gibi popüler derleme araçları ve paket yöneticileriyle kullanabilirsiniz.
  • İşlem hatlarında yapılan değişikliklerin yetkilendirildiğinden emin olmak için işlem hattınızdaki AWS IAM, yerel hizmetler ve CI/CD araçlarında kimlik/rol izinlerini ve izin ilkelerini yapılandırın.
  • CI/CD iş akışı işlerinde kullanılan kod ve betiklerden anahtarları, kimlik bilgilerini ve gizli dizileri kaldırın ve bunları anahtar deposunda veya AWS KMS'de tutun
  • Kendi kendine barındırılan derleme/dağıtım aracıları çalıştırıyorsanız, ortamınızın güvenliğini sağlamak için Microsoft Cloud Security Benchmark denetimleri gibi ağ güvenliği, tehdit durumu ve güvenlik açığı yönetimi ve uç nokta güvenliğini takip edin. DERLEME ortamı olarak EC2 veya kapsayıcılı ortamdaki güvenlik açıklarını taramak için AWS Denetçisi'ni kullanın.

Not: DevOps altyapınız için yönetim, uyumluluk, operasyonel denetim ve risk denetimini etkinleştirmek üzere AWS CloudTrail, CloudWatch ve Microsoft Sentinel gibi hizmetleri kullanmak için Günlük Kaydı ve Tehdit Algılama, DS-7 ve Duruş ve Güvenlik Açığı Yönetimi bölümlerine bakın.

"AWS uygulaması ve ek bağlam için :"

GCP kılavuzu: Microsoft Bulut Güvenliği Karşılaştırması'nı DevOps altyapısı güvenlik denetimlerinize uygulamanın bir parçası olarak aşağıdaki denetimlerin önceliğini belirleyin:

  • CI/CD işlem hatlarının kötü amaçlı kod ekleme yolları haline gelmemesi için artefaktları ve altyapıyı koruyun. Örneğin, açık erişim, zayıf kimlik doğrulaması, güvenli olmayan bağlantı kurulumu gibi yanlış yapılandırmaları belirlemek üzere Google Cloud Build, Cloud Deploy, Artifact Registry, Connections ve Build Agent gibi hizmetlerde yanlış yapılandırmaları belirlemek için CI/CD işlem hattınızı gözden geçirin. GitHub'da Kuruluş izin düzeylerinin güvenliğini sağlamak için benzer denetimleri kullanın.
  • DevOps altyapınızın geliştirme projeleri arasında tutarlı bir şekilde dağıtıldığından emin olun. Google Cloud Security Komut Merkezi'ni (Uyumluluk Panosu, Kuruluş İlkesi, Bireysel tehdit kaydı ve Yanlış yapılandırmaları belirleme gibi) veya kendi uyumluluk izleme araçlarınızı kullanarak DevOps altyapınızın uyumluluğunu büyük ölçekte izleyin.
  • İşlem hatlarındaki değişikliklerin yetkilendirildiğinden emin olmak için Bulut Kimliği/AD yerel hizmetlerinde kimlik/rol izinlerini ve yetkilendirme ilkelerini ve işlem hattınızdaki CI/CD araçlarını yapılandırın.
  • Google tarafından yönetilen kimlikler gibi özellikleri kullanarak geliştiriciler veya testçilerin insan hesaplarına kalıcı ayrıcalıklı erişim vermekten kaçının.
  • CI/CD iş akışı işlerinde kullanılan kod ve komut dosyalarından anahtarları, kimlik bilgilerini ve hassas bilgileri kaldırın ve bunları bir anahtar kasasında veya Google Secret Manager'da saklayın.
  • Kendi kendine barındırılan derleme/dağıtım aracıları çalıştırıyorsanız, ortamınızın güvenliğini sağlamak için Microsoft Cloud Security Benchmark denetimleri gibi ağ güvenliği, tehdit durumu ve güvenlik açığı yönetimi ve uç nokta güvenliğini takip edin.

Not: DevOps altyapınız için yönetim, uyumluluk, operasyonel denetim ve risk denetimini etkinleştirmek üzere Azure Monitor ve Microsoft Sentinel veya Google Cloud’un operasyon paketi ile Chronicle SIEM ve SOAR gibi hizmetleri kullanmak için Kayıt Tutma ve Tehdit Tespiti, DS-7 ve Duruş ve Güvenlik Açığı Yönetimi bölümlerine bakın.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

DS-4: Statik uygulama güvenlik testlerini DevOps işlem hattıyla tümleştirme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlik(ler) PCI-DSS kimlikleri v3.2.1
16.12 SA-11 Serisi 6.3, 6.5

Güvenlik ilkesi: Statik uygulama güvenlik testi (SAST), bulanık test, etkileşimli test ve mobil uygulama testinin CI/CD iş akışındaki aşamalı denetimlerin bir parçası olduğundan emin olun. Güvenlik açığı bulunan paketlerin depoya yüklenmesini, paketlere dahil edilmesini veya üretime dağıtılmasını önlemek için test sonuçlarına göre ağ geçidi ayarlanabilir.

Azure kılavuzu: Kaynak kodun CI/CD iş akışınızda otomatik olarak taranabilmesi için SAST'i işlem hattınızla tümleştirin (örneğin, kod şablonu olarak altyapınızda). Azure DevOps İşlem Hattı veya GitHub, aşağıdaki araçları ve üçüncü taraf SAST araçlarını iş akışıyla tümleştirebilir.

  • Kaynak kodu analizi için GitHub CodeQL.
  • Windows ve *nix ikili analizi için Microsoft BinSkim İkili Analiz Aracı.
  • Kaynak kodda kimlik bilgilerini taramak için Azure DevOps Kimlik Bilgisi Tarayıcısı (Microsoft Güvenlik DevOps uzantısı) ve GitHub yerel gizli anahtar taraması.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: Kaynak kodun CI/CD iş akışınızda otomatik olarak taranabilmesi için SAST'i işlem hattınızla tümleştirin.

AWS CodeCommit kullanıyorsanız Python ve Java kaynak kodu analizi için AWS CodeGuru Reviewer'ı kullanın. AWS Codepipeline, üçüncü bölüm SAST araçlarının kod dağıtım işlem hattıyla tümleştirilmesini de destekleyebilir.

GitHub kullanılıyorsa, aşağıdaki araçlar ve üçüncü taraf SAST araçları iş akışıyla tümleştirilebilir.

  • Kaynak kodu analizi için GitHub CodeQL.
  • Windows ve *nix ikili analizi için Microsoft BinSkim İkili Analiz Aracı.
  • Kimlik bilgisi taraması için kaynak kodda GitHub yerel gizli bilgi taraması.
  • Python ve Java kaynak kodu analizi için AWS CodeGuru Gözden Geçireni.

"AWS uygulaması ve ek bağlam için :"

GCP kılavuzu: Kaynak kodun CI/CD iş akışınızda otomatik olarak taranabilmesi için SAST'i (Yazılım Teslim Kalkanı, Yapı Analizi gibi) işlem hattınızla (örneğin, kod şablonu olarak altyapınızda) tümleştirin.

Cloud Build, Cloud Deploy, Artifact Registry gibi hizmetler, CI/CD iş akışındaki kaynak kodu ve diğer yapıtları tarayabilen Yazılım Teslim Kalkanı ve Yapıt Analizi ile tümleştirmeyi destekler.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

DS-5: Dinamik uygulama güvenliği testlerini DevOps işlem hattıyla tümleştirme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlik(ler) PCI-DSS kimlikleri v3.2.1
16.12 SA-11 Serisi 6.3, 6.5

Güvenlik ilkesi: Dinamik uygulama güvenlik testinin (DAST), CI/CD iş akışındaki gating denetimlerinin bir parçası olduğundan emin olun. Gating, güvenlik açığının paketlerde oluşturulmasını veya üretime dağıtılmasını önlemek için test sonuçlarına göre ayarlanabilir.

Azure kılavuzu: Çalışma zamanı uygulamasının Azure DevOps veya GitHub'daki CI/CD iş akışı kümenizde otomatik olarak test edilebilmesi için DAST'yi işlem hattınızla tümleştirin. Otomatik sızma testi (el ile yardımlı doğrulama ile) da DAST'ın bir parçası olmalıdır.

Azure DevOps Pipeline veya GitHub, üçüncü taraf DAST araçlarının CI/CD iş akışıyla tümleştirilmesini destekler.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: ÇALıŞMA zamanı uygulamasının AWS CodePipeline veya GitHub'daki CI/CD iş akışı kümenizde otomatik olarak test edilebilmesi için DAST'yi işlem hattınızla tümleştirin. Otomatik sızma testi (el ile yardımlı doğrulama ile) da DAST'ın bir parçası olmalıdır.

AWS CodePipeline veya GitHub, üçüncü taraf DAST araçlarının CI/CD iş akışıyla tümleştirilmesini destekler.

"AWS uygulaması ve ek bağlam için :"

GCP kılavuzu: Çalışma zamanı uygulamasının Google Cloud Build, Cloud Deploy veya GitHub gibi hizmetlerdeki CI/CD iş akışı kümenizde otomatik olarak test edilebilmesi için DAST'yi (Bulut Web Güvenliği Tarayıcısı gibi) işlem hattınızla tümleştirin. Cloud Web Security Scanner; App Engine, Google Kubernetes Engine (GKE) ve İşlem Altyapısı'nda barındırılan iş yükü web uygulamalarınızdaki güvenlik açıklarını belirlemek için kullanılabilir. Otomatik sızma testi (el ile yardımlı doğrulama ile) da DAST'ın bir parçası olmalıdır.

Google Cloud Build, Google Cloud Deploy, Artifact Registry ve GitHub, üçüncü taraf DAST araçlarının CI/CD iş akışıyla tümleştirilmesini de destekler.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

DS-6: DevOps yaşam döngüsü boyunca iş yükünün güvenliğini zorunlu kılma

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlik(ler) PCI-DSS kimlikleri v3.2.1
7.5, 7.6, 7.7, 16.1, 16.7 CM-2, CM-6, AC-2, AC-3, AC-6 6.1, 6.2, 6.3

Güvenlik ilkesi: geliştirme, test ve dağıtım aşamasında iş yükünün yaşam döngüsünün tamamında güvenli olduğundan emin olun. Varsayılan olarak koruma olarak ayarlanabilen veya dağıtım aşamasından önce sola kaydırılan denetimleri (ağ güvenliği, kimlik yönetimi, ayrıcalıklı erişim vb.) değerlendirmek için Microsoft Bulut Güvenliği Karşılaştırması'nı kullanın. Özellikle DevOps işleminizde aşağıdaki denetimlerin bulunduğundan emin olun:- CI/CD iş akışında Azure veya üçüncü taraf araçları kullanarak dağıtımı otomatikleştirin, altyapı yönetimi (kod olarak altyapı) ve insan hatasını ve saldırı yüzeyini azaltmak için test edin.

  • VM'lerin, kapsayıcı görüntülerinin ve diğer yapıtların kötü amaçlı işlemeye karşı güvenli olduğundan emin olun.
  • CI/CD iş akışındaki dağıtımdan önce iş yükü yapıtlarını (başka bir deyişle kapsayıcı görüntüleri, bağımlılıklar, SAST ve DAST taramaları) tarayın
  • Güvenlik açığı değerlendirmesi ve tehdit algılama özelliğini üretim ortamına dağıtın ve bu özellikleri çalışma zamanında sürekli kullanın.

Azure kılavuzu: Azure VM'leri için kılavuz:

  • Kuruluşunuzdaki farklı kullanıcılar, hizmet sorumluları veya AD grupları tarafından görüntülerinize erişimi paylaşmak ve denetlemek için Azure Paylaşılan Görüntü Galerisi'ni kullanın. Özel görüntülerinize yalnızca yetkili kullanıcıların erişebildiğinden emin olmak için Azure rol tabanlı erişim denetimini (Azure RBAC) kullanın.
  • Gereksiz kimlik bilgilerini, izinleri ve paketleri ortadan kaldırmak için VM'ler için güvenli yapılandırma temellerini tanımlayın. Özel görüntüler, Azure Resource Manager şablonları ve/veya Azure İlkesi konuk yapılandırması aracılığıyla yapılandırma temellerini dağıtın ve uygulayın.

Azure kapsayıcı hizmetleri için yönergeler:

  • Azure RBAC aracılığıyla ayrıntılı erişimin kısıtlanabileceği özel kapsayıcı kayıt defterinizi oluşturmak için Azure Container Registry'yi (ACR) kullanın; böylece özel kayıt defterindeki kapsayıcılara yalnızca yetkili hizmetler ve hesaplar erişebilir.
  • Özel Azure Container Registry'nizdeki görüntülerin güvenlik açığı değerlendirmesi için Kapsayıcılar için Defender kullanın. Ayrıca, kapsayıcı görüntüsü taramalarını CI/CD iş akışlarınızın bir parçası olarak tümleştirmek için Bulut için Microsoft Defender'ı kullanabilirsiniz.

Azure sunucusuz hizmetler için, güvenlik denetimlerini dağıtım öncesi aşamada erken uyguladığınızdan emin olmak amacıyla benzer denetimleri benimseyin.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: Kuruluşunuzdaki farklı kullanıcılar ve roller tarafından resimlerinize erişimi paylaşmak ve denetlemek için Amazon Elastic Container Registry'yi kullanın. Özel görüntülerinize yalnızca yetkili kullanıcıların erişebildiğinden emin olmak için AWS IAM'yi kullanın.

Gereksiz kimlik bilgilerini, izinleri ve paketleri ortadan kaldırmak için EC2 görüntüleri için güvenli yapılandırma temellerini tanımlayın. Özel AMI görüntüleri, CloudFormation şablonları ve/veya AWS Config Kuralları aracılığıyla yapılandırma standartlarını dağıtın ve uygulayın.

VM'leri ve Kapsayıcılı ortamları güvenlik açığı taraması için AWS Denetçisi'ni kullanarak bunları kötü amaçlı işlemeye karşı güvenli hale getirme.

AWS sunucusuz hizmetleri için AWS CodePipeline'i AWS AppConfig ile birlikte kullanarak dağıtım öncesinde güvenlik denetimlerinin aşamaya "sola kaymasını" sağlamak üzere benzer denetimleri benimseyin.

"AWS uygulaması ve ek bağlam için :"

GCP kılavuzu: Google Cloud, işlem kaynaklarınızı ve Google Kubernetes Engine (GKE) kapsayıcı kaynaklarınızı korumaya yönelik denetimler içerir. Google, VM örneklerini sağlamlaştıran Korumalı VM'yi içerir. Önyükleme güvenliği sağlar, bütünlüğü izler ve Sanal Güvenilen Platform Modülü'nü (vTPM) kullanır.

Kapsayıcı veya işletim sistemi görüntülerindeki güvenlik açıklarını ve diğer tür yapıtları isteğe bağlı olarak veya işlem hatlarınızda otomatik olarak taramak için Google Cloud Artifact Analysis'i kullanın. Container-Optimized işletim sistemi düğüm görüntülerinin durumunu sürekli izlemek için Kapsayıcı Tehdit Algılama kullanın. Hizmet, çalışma zamanı saldırılarını neredeyse gerçek zamanlı olarak algılamaya yönelik tüm değişiklikleri ve uzaktan erişim girişimlerini değerlendirir.

Yapıt kayıt defterine özel IAM rolleri ve izinleri ile yapıtlara kimlerin erişebileceğini, bunları görüntüleyebileceğini veya indirebileceğini denetleyebilmek ve Google'ın güvenli ve güvenilir altyapısında tutarlı çalışma süresi elde etmek için Artifact Registry'yi kullanarak güvenli özel derleme yapıt depolaması ayarlayın.

GCP sunucusuz hizmetler için, güvenlik denetimlerini dağıtım öncesi aşamaya erkenden dahil etmek amacıyla benzer kontrolleri benimseyin.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

DS-7: DevOps'ta günlüğe kaydetmeyi ve izlemeyi etkinleştirme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlik(ler) PCI-DSS kimlikleri v3.2.1
8.2, 8.5, 8.9, 8.11 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3, 10.6

Güvenlik ilkesi: Günlük ve izleme kapsamınızda üretim dışı ortamların ve DevOps'ta (ve diğer geliştirme işlemlerinde) kullanılan CI/CD iş akışı öğelerinin bulunduğundan emin olun. Bu ortamları hedefleyen güvenlik açıkları ve tehditler, düzgün izlenmediği takdirde üretim ortamınızda önemli risklere neden olabilir. CI/CD derleme, test ve dağıtım iş akışındaki olaylar da CI/CD iş akışı işlerindeki sapmaları belirlemek için izlenmelidir.

Azure kılavuzu: DevOps işlemi boyunca kullanılan üretim dışı ve CI/CD araç ortamlarında (Azure DevOps ve GitHub gibi) denetim günlüğü özelliklerini etkinleştirin ve yapılandırın.

Derleme, test ve dağıtım işleri dahil olmak üzere Azure DevOps ve GitHub CI/CD iş akışından oluşturulan olaylar da anormal sonuçları belirlemek için izlenmelidir.

Güvenlik olaylarının düzgün şekilde izlendiğinden ve işlenmek üzere önceliklendirildiğinden emin olmak için yukarıdaki günlükleri ve olayları bir günlük akışı veya API aracılığıyla Microsoft Sentinel'e veya diğer SIEM araçlarına alın.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: DevOps süreci boyunca kullanılan üretim dışı ve CI/CD araç ortamlarında (AWS CodePipeline, AWS CodeBuild, AWS CodeDeploy, AWS CodeStar gibi) denetim günlüğü özellikleri için AWS CloudTrail'i etkinleştirin ve yapılandırın.

Derleme, test ve dağıtım işleri dahil olmak üzere AWS CI/CD ortamlarından (AWS CodePipeline, AWS CodeBuild, AWS CodeDeploy, AWS CodeStar gibi) ve GitHub CI/CD iş akışından oluşturulan olaylar da anormal sonuçları belirlemek için izlenmelidir.

Güvenlik olaylarının düzgün bir şekilde izlendiğinden ve işlenmek üzere önceliklendirildiğinden emin olmak için yukarıdaki günlükleri ve olayları bir günlük akışı veya API aracılığıyla AWS CloudWatch, Microsoft Sentinel veya diğer SIEM araçlarına alın.

"AWS uygulaması ve ek bağlam için :"

GCP kılavuzu: DevOps işlemi boyunca kullanılabilen Cloud Build, Google Cloud Deploy, Artifact Registry ve GitHub gibi ürünler için üretim dışı ve CI/CD araç ortamlarında denetim günlüğü özelliklerini etkinleştirin ve yapılandırın.

GcP CI/CD ortamlarından (Cloud Build, Google Cloud Deploy, Artifact Registry gibi) ve derleme, test ve dağıtım işleri dahil gitHub CI/CD iş akışından oluşturulan olaylar da anormal sonuçları tanımlamak için izlenmelidir.

Güvenlik olaylarının düzgün şekilde izlendiğinden ve işlenmek üzere önceliklendirildiğinden emin olmak için yukarıdaki günlükleri ve olayları bir günlük akışı veya API aracılığıyla Microsoft Sentinel, Google Cloud Security Komut Merkezi, Chronicle veya diğer SIEM araçlarına alın.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

  • Last updated on