Share via

Güvenlik Denetimi: DevOps güvenliği

  • Makale

DevOps Güvenliği, DevOps işlemi boyunca güvenliği sağlamak için dağıtım aşamasından önce kritik güvenlik denetimlerinin (statik uygulama güvenlik testi, güvenlik açığı yönetimi gibi) dağıtımı da dahil olmak üzere DevOps işlemlerindeki güvenlik mühendisliği ve işlemleriyle ilgili denetimleri kapsar; ayrıca tehdit modelleme ve yazılım tedarik güvenliği gibi yaygın konuları içerir.

DS-1: Tehdit modellemesi gerçekleştirme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
16.10, 16.14 SA-15 6.5, 12.2

Güvenlik ilkesi: Olası tehditleri belirlemek ve azaltma denetimlerini listelemek için tehdit modellemesi gerçekleştirin. Tehdit modellemenizin aşağıdaki amaçlara hizmetdiğinden emin olun:

  • Üretim çalışma zamanı aşamasında uygulama ve hizmetlerinizin güvenliğini sağlayın.
  • Yapıtların, temel alınan CI/CD işlem hattının ve derleme, test ve dağıtım için kullanılan diğer araç ortamının güvenliğini sağlayın. Tehdit modellemesi en azından aşağıdaki özellikleri içermelidir:
  • Uygulamanın güvenlik gereksinimlerini tanımlayın. Tehdit modellemesinde bu gereksinimlerin yeterli şekilde ele alındığından emin olun.
  • Uygulama bileşenlerini, veri bağlantılarını ve bunların ilişkilerini analiz edin. Bu analizin uygulama kapsamınızın dışındaki yukarı ve aşağı akış bağlantılarını da içerdiğinden emin olun.
  • Uygulama bileşenlerinizin, veri bağlantılarınızın ve yukarı ve aşağı akış hizmetlerinizin maruz kalabileceği olası tehditleri ve saldırı vektörlerini listeleyin.
  • Numaralandırılan tehditleri azaltmak için kullanılabilecek geçerli güvenlik denetimlerini belirleyin ve ek işlem planları gerektirebilecek denetim boşluklarını (örneğin güvenlik açıkları) belirleyin.
  • Tanımlanan güvenlik açıklarını azaltabilecek denetimleri listeleyip tasarlayın.

Azure kılavuzu: Tehdit modelleme işleminizi yönlendirmek için Azure tehdit modeli şablonu eklenmiş olarak Microsoft tehdit modelleme aracı gibi tehdit modelleme araçlarını kullanın. Hem iç hem de dış tehditleri listelemek ve uygulanabilir denetimleri belirlemek için STRIDE modelini kullanın. Tehdit modelleme işleminin, yanlış yapılandırılmış erişim denetimi ilkesine sahip güvenli olmayan bir yapıt deposu aracılığıyla kötü amaçlı kod ekleme gibi DevOps işlemindeki tehdit senaryolarını içerdiğinden emin olun.

Tehdit modelleme aracı kullanılamıyorsa tehditleri belirlemek için en azından anket tabanlı bir tehdit modelleme işlemi kullanmanız gerekir.

Uygulamanızda veya tehdit alanında önemli bir güvenlik etkisi değişikliği olduğunda tehdit modelleme veya analiz sonuçlarının kaydedildiğinden ve güncelleştirildiğinden emin olun.

Azure uygulaması ve ek bağlamı:

AWS kılavuzu: Tehdit modelleme işleminizi yönlendirmek için Azure tehdit modeli şablonu eklenmiş olarak Microsoft tehdit modelleme aracı gibi tehdit modelleme araçlarını kullanın. Hem iç hem de dış tehditleri listelemek ve uygulanabilir denetimleri belirlemek için STRIDE modelini kullanın. Tehdit modelleme işleminin, yanlış yapılandırılmış erişim denetimi ilkesine sahip güvenli olmayan bir yapıt deposu aracılığıyla kötü amaçlı kod ekleme gibi DevOps işlemindeki tehdit senaryolarını içerdiğinden emin olun.

Tehdit modelleme aracı kullanılamıyorsa tehditleri belirlemek için en azından anket tabanlı bir tehdit modelleme işlemi kullanmanız gerekir.

Uygulamanızda veya tehdit alanında önemli bir güvenlik etkisi değişikliği olduğunda tehdit modelleme veya analiz sonuçlarının kaydedildiğinden ve güncelleştirildiğinden emin olun.

AWS uygulaması ve ek bağlam:

GCP kılavuzu: Tehdit modelleme işleminizi yönlendirmek için Azure tehdit modeli şablonu eklenmiş olarak Microsoft tehdit modelleme aracı gibi tehdit modelleme araçlarını kullanın. Hem iç hem de dış tehditleri listelemek ve uygulanabilir denetimleri belirlemek için STRIDE modelini kullanın. Tehdit modelleme işleminin, yanlış yapılandırılmış erişim denetimi ilkesine sahip güvenli olmayan bir yapıt deposu aracılığıyla kötü amaçlı kod ekleme gibi DevOps işlemindeki tehdit senaryolarını içerdiğinden emin olun.

Tehdit modelleme aracı kullanılamıyorsa tehditleri belirlemek için en azından anket tabanlı bir tehdit modelleme işlemi kullanmanız gerekir.

Uygulamanızda veya tehdit alanında önemli bir güvenlik etkisi değişikliği olduğunda tehdit modelleme veya analiz sonuçlarının kaydedildiğinden ve güncelleştirildiğinden emin olun.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

DS-2: Yazılım tedarik zinciri güvenliğini sağlama

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
16.4, 16.6, 16.11 SA-12, SA-15 6.3, 6.5

Güvenlik ilkesi: Kuruluşunuzun SDLC'sinin (Yazılım Geliştirme Yaşam Döngüsü) veya işleminin, uygulamalarınızın bağımlılıkları olan şirket içi ve üçüncü taraf yazılım bileşenlerini (hem özel hem de açık kaynak yazılım dahil) idare etmek için bir dizi güvenlik denetimi içerdiğinden emin olun. Güvenlik açığı bulunan veya kötü amaçlı bileşenlerin ortama tümleştirilmesini ve dağıtılmasını önlemek için gating ölçütleri tanımlayın.

Yazılım tedarik zinciri güvenlik denetimleri en azından aşağıdaki özellikleri içermelidir:

  • Hizmet/kaynak geliştirme, derleme, tümleştirme ve dağıtım aşaması için gereken yukarı akış bağımlılıklarını belirleyerek yazılım ürün reçetesini (SBOM) düzgün bir şekilde yönetin.
  • Yukarı akışta bir düzeltme olduğunda bilinen güvenlik açığı için şirket içi ve üçüncü taraf yazılım bileşenlerini envantere alın ve izleyin.
  • Bilinmeyen güvenlik açıkları için statik ve dinamik uygulama testi kullanarak yazılım bileşenlerindeki güvenlik açıklarını ve kötü amaçlı yazılımları değerlendirin.
  • Güvenlik açıklarının ve kötü amaçlı yazılımların uygun yaklaşım kullanılarak giderildiğinden emin olun. Bu, kaynak kodu yerel veya yukarı akış düzeltmesi, özellik dışlaması ve/veya doğrudan azaltma mevcut değilse telafi denetimleri uygulamayı içerebilir.

Üretim ortamınızda kapalı kaynak üçüncü taraf bileşenleri kullanılıyorsa, güvenlik duruşuyla ilgili sınırlı görünürlüğe sahip olabilirsiniz. Bileşenle ilişkili kötü amaçlı bir etkinlik veya güvenlik açığı varsa etkiyi en aza indirmek için erişim denetimi, ağ yalıtımı ve uç nokta güvenliği gibi ek denetimleri göz önünde bulundurmalısınız.

Azure kılavuzu: GitHub platformu için, GitHub Advanced Security veya GitHub'ın yerel özelliğinden aşağıdaki özellik veya araçlar aracılığıyla yazılım tedarik zinciri güvenliğini sağlayın:- Danışmanlık Veritabanı aracılığıyla projenizin tüm bağımlılıklarını ve ilgili güvenlik açıklarını taramak, envanterini oluşturmak ve tanımlamak için Bağımlılık Grafiği'ni kullanın.

  • Güvenlik açığı olan bağımlılığın izlendiğinden ve düzeltildiğinden emin olmak ve deponuzun bağlı olduğu paketlerin ve uygulamaların en son sürümlerine otomatik olarak yetişdiğinden emin olmak için Dependabot'u kullanın.
  • Kodu dışarıdan kaynak yaparken kaynak kodu taramak için GitHub'ın yerel kod tarama özelliğini kullanın.
  • Kapsayıcı görüntünüz için güvenlik açığı değerlendirmesini CI/CD iş akışıyla tümleştirmek için Bulut için Microsoft Defender kullanın. Azure DevOps için üçüncü taraf uzantılarını kullanarak envantere benzer denetimler uygulayabilir, üçüncü taraf yazılım bileşenlerini ve bunların güvenlik açıklarını analiz edebilir ve düzeltebilirsiniz.

Azure uygulaması ve ek bağlamı:

AWS kılavuzu: CodeCommit veya CodePipeline gibi AWS CI/CD platformlarını kullanıyorsanız, CI/CD iş akışları aracılığıyla kaynak kodu (Java ve Python için) taramak için CodeGuru Gözden Geçiren'i kullanarak yazılım tedarik zinciri güvenliğini sağlayın. CodeCommit ve CodePipeline gibi platformlar envantere benzer denetimler uygulamak, üçüncü taraf yazılım bileşenlerini ve bunların güvenlik açıklarını analiz etmek ve düzeltmek için üçüncü taraf uzantıları da destekler.

Kaynak kodunuzu GitHub platformu aracılığıyla yönetiyorsanız, GitHub Advanced Security veya GitHub'ın yerel özelliğinden gelen aşağıdaki özellik veya araçlar aracılığıyla yazılım tedarik zinciri güvenliğini sağlayın:

  • Danışmanlık Veritabanı aracılığıyla projenizin tüm bağımlılıklarını ve ilgili güvenlik açıklarını taramak, envanterini oluşturmak ve tanımlamak için Bağımlılık Grafiği'ni kullanın.
  • Güvenlik açığı olan bağımlılığın izlendiğinden ve düzeltildiğinden emin olmak ve deponuzun bağlı olduğu paketlerin ve uygulamaların en son sürümlerine otomatik olarak yetişdiğinden emin olmak için Dependabot'u kullanın.
  • Kodu dışarıdan kaynak yaparken kaynak kodu taramak için GitHub'ın yerel kod tarama özelliğini kullanın.
  • Varsa, kapsayıcı görüntünüz için güvenlik açığı değerlendirmesini CI/CD iş akışıyla tümleştirmek üzere Bulut için Microsoft Defender kullanın.

AWS uygulaması ve ek bağlam:

GCP kılavuzu: Uçtan uca yazılım tedarik zinciri güvenlik analizi gerçekleştirmek için Yazılım Teslim Kalkanı'nın kullanılması. Buna erişim için Garantili OSS (Açık Kaynak Yazılım) hizmeti ve Google tarafından doğrulanmış ve test edilmiş OSS paketlerinin yanı sıra Google'ın güvenli işlem hatları kullanılarak oluşturulan doğrulanmış Java ve Python paketleri dahildir. Bu paketler düzenli olarak taranır, analiz edilir ve güvenlik açıkları için test edilir. Bu özellikler CI/CD iş akışlarının bir parçası olarak Google Cloud Build, Cloud Deploy, Artifact Registry, Artifact Analysis ile tümleştirilebilir.

Kaynak kodunuzu GitHub platformu aracılığıyla yönetiyorsanız, GitHub Advanced Security veya GitHub'ın yerel özelliğinden gelen aşağıdaki özellik veya araçlar aracılığıyla yazılım tedarik zinciri güvenliğini sağlayın:

  • Danışmanlık Veritabanı aracılığıyla projenizin tüm bağımlılıklarını ve ilgili güvenlik açıklarını taramak, envanterini oluşturmak ve tanımlamak için Bağımlılık Grafiği'ni kullanın.
  • Güvenlik açığı olan bağımlılığın izlendiğinden ve düzeltildiğinden emin olmak ve deponuzun bağlı olduğu paketlerin ve uygulamaların en son sürümlerine otomatik olarak yetişdiğinden emin olmak için Dependabot'u kullanın.
  • Kodu dışarıdan kaynak yaparken kaynak kodu taramak için GitHub'ın yerel kod tarama özelliğini kullanın.
  • Varsa, CI/CD iş akışında kapsayıcı görüntünüze yönelik güvenlik açığı değerlendirmesini tümleştirmek için Bulut için Microsoft Defender kullanın.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

DS-3: DevOps altyapısının güvenliğini sağlama

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
16.7 CM-2, CM-6, AC-2, AC-3, AC-6 2.2, 6.3, 7.1

Güvenlik ilkesi: DevOps altyapısının ve işlem hattının derleme, test ve üretim aşamalarınız dahil olmak üzere ortamlardaki en iyi güvenlik uygulamalarını izlediğinden emin olun. Bu genellikle aşağıdaki kapsam için güvenlik denetimlerini içerir:

  • Kaynak kodunu, derlenmiş paketleri ve görüntüleri, proje yapıtlarını ve iş verilerini depolayan yapıt depoları.
  • CI/CD işlem hatlarını barındıran sunucular, hizmetler ve araçlar.
  • CI/CD işlem hattı yapılandırması.

Azure kılavuzu: DevOps altyapı güvenlik denetimlerinize Microsoft Bulut Güvenliği Karşılaştırması'nı uygulamanın bir parçası olarak aşağıdaki denetimlerin önceliklerini belirleyin:

  • CI/CD işlem hatlarının kötü amaçlı kod ekleme yolları haline gelmediğinden emin olmak için yapıtları ve temel alınan ortamı koruyun. Örneğin, Azure DevOps'un Kuruluş, Projeler, Kullanıcılar, İşlem Hatları (Derleme & Sürümü), Connections ve Derleme Aracısı gibi temel alanlarında açık erişim, zayıf kimlik doğrulaması, güvenli olmayan bağlantı kurulumu gibi yanlış yapılandırmaları belirlemek için CI/CD işlem hattınızı gözden geçirin. GitHub'da, Kuruluş izin düzeylerinin güvenliğini sağlamak için benzer denetimleri kullanın.
  • DevOps altyapınızın geliştirme projeleri arasında tutarlı bir şekilde dağıtıldığından emin olun. Bulut için Microsoft Defender (Uyumluluk Panosu, Azure İlkesi, Bulut Duruş Yönetimi gibi) veya kendi uyumluluk izleme araçlarınızı kullanarak DevOps altyapınızın uyumluluğunu büyük ölçekte izleyin.
  • İşlem hatlarındaki değişikliklerin yetkilendirildiğinden emin olmak için işlem hattınızdaki Azure AD, yerel hizmetler ve CI/CD araçlarında kimlik/rol izinlerini ve yetkilendirme ilkelerini yapılandırın.
  • Azure tarafından yönetilen tanımlar ve tam zamanında erişim gibi özellikleri kullanarak geliştiriciler veya test ediciler gibi insan hesaplarına kalıcı "ayakta" ayrıcalıklı erişim sağlamaktan kaçının.
  • CI/CD iş akışı işlerinde kullanılan kod ve betiklerden anahtarları, kimlik bilgilerini ve gizli dizileri kaldırın ve bunları bir anahtar deposunda veya Azure Key Vault tutun.
  • Şirket içinde barındırılan derleme/dağıtım aracıları çalıştırıyorsanız ortamınızın güvenliğini sağlamak için ağ güvenliği, duruş ve güvenlik açığı yönetimi ve uç nokta güvenliği gibi Microsoft Bulut Güvenliği Karşılaştırması denetimlerini izleyin.

Not: DevOps altyapınız için idare, uyumluluk, operasyonel denetim ve risk denetimini etkinleştirmek üzere Azure İzleyici ve Microsoft Sentinel gibi hizmetleri kullanmak için Günlüğe Kaydetme ve Tehdit Algılama, DS-7 ve Duruş ve Güvenlik Açığı Yönetimi bölümlerine bakın.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: GitHub, CodeCommit, CodeArtifact, CodePipeline, CodeBuild ve CodeDeploy gibi DevOps altyapınızın güvenlik denetimlerine Microsoft Bulut Güvenliği Karşılaştırması'nı uygulamanın bir parçası olarak aşağıdaki denetimlere öncelik ver:

  • AWS'de DevOps ortamlarınızın güvenliğini sağlamak için bu kılavuza ve AWS İyi tasarlanmış Çerçeve güvenlik sütununa bakın.
  • CI/CD işlem hatlarının kötü amaçlı kod ekleme yolları haline gelmediğinden emin olmak için yapıtları ve temel alınan destekleyici altyapıyı koruyun.
  • DevOps altyapınızın geliştirme projeleri arasında sürekli dağıtıldığından ve sürekli olduğundan emin olun. AWS Config veya kendi uyumluluk denetimi çözümünüzü kullanarak DevOps altyapınızın uyumluluğunu büyük ölçekte izleyin.
  • Uygulama geliştirme için kullanılan yazılım paketlerini güvenli bir şekilde depolamak ve paylaşmak için CodeArtifact kullanın. CodeArtifact'i Maven, Gradle, npm, yarn, pip ve twine gibi popüler derleme araçları ve paket yöneticileriyle kullanabilirsiniz.
  • İşlem hatlarındaki değişikliklerin yetkilendirildiğinden emin olmak için AWS IAM'de kimlik/rol izinlerini ve izin ilkelerini, yerel hizmetleri ve işlem hattınızdaki CI/CD araçlarını yapılandırın.
  • CI/CD iş akışı işlerinde kullanılan kod ve betiklerden anahtarları, kimlik bilgilerini ve gizli dizileri kaldırın ve bunları anahtar deposunda veya AWS KMS'de tutun
  • Şirket içinde barındırılan derleme/dağıtım aracıları çalıştırıyorsanız ortamınızın güvenliğini sağlamak için ağ güvenliği, duruş ve güvenlik açığı yönetimi ve uç nokta güvenliği gibi Microsoft Bulut Güvenliği Karşılaştırması denetimlerini izleyin. DERLEME ortamı olarak EC2 veya kapsayıcılı ortamdaki güvenlik açıklarını taramak için AWS Denetçisi'ni kullanın.

Not: DevOps altyapınızda idare, uyumluluk, operasyonel denetim ve risk denetimini etkinleştirmek üzere AWS CloudTrail, CloudWatch ve Microsoft Sentinel gibi hizmetleri kullanmak için Günlüğe Kaydetme ve Tehdit Algılama, DS-7 ve ve Duruş ve Güvenlik Açığı Yönetimi bölümlerine bakın.

AWS uygulaması ve ek bağlamı:

GCP kılavuzu: DevOps altyapı güvenlik denetimlerinize Microsoft Bulut Güvenliği Karşılaştırması'nı uygulamanın bir parçası olarak aşağıdaki denetimlerin önceliklerini belirleyin:

  • CI/CD işlem hatlarının kötü amaçlı kod ekleme yolları haline gelmediğinden emin olmak için yapıtları ve temel alınan ortamı koruyun. Örneğin, açık erişim, zayıf kimlik doğrulaması, güvenli olmayan bağlantı kurulumu gibi yanlış yapılandırmaları belirlemek üzere Google Cloud Build, Cloud Deploy, Artifact Registry, Connections ve Build Agent gibi hizmetlerdeki yanlış yapılandırmaları belirlemek için CI/CD işlem hattınızı gözden geçirin. GitHub'da, Kuruluş izin düzeylerinin güvenliğini sağlamak için benzer denetimleri kullanın.
  • DevOps altyapınızın geliştirme projeleri arasında tutarlı bir şekilde dağıtıldığından emin olun. Google Cloud Güvenlik Komut Merkezi'ni (Uyumluluk Panosu, Kuruluş İlkesi, Bireysel tehdit kaydı ve Yanlış yapılandırmaları belirleme gibi) veya kendi uyumluluk izleme araçlarınızı kullanarak DevOps altyapınızın uygunluğunu büyük ölçekte izleyin.
  • İşlem hatlarındaki değişikliklerin yetkilendirildiğinden emin olmak için Cloud Identity/AD yerel hizmetlerinde kimlik/rol izinlerini ve yetkilendirme ilkelerini ve işlem hattınızdaki CI/CD araçlarını yapılandırın.
  • Google tarafından yönetilen tanımlar gibi özellikleri kullanarak geliştiriciler veya test ediciler gibi insan hesaplarına kalıcı "ayakta" ayrıcalıklı erişim sağlamaktan kaçının.
  • CI/CD iş akışı işlerinde kullanılan kod ve betiklerden anahtarları, kimlik bilgilerini ve gizli dizileri kaldırın ve bunları bir anahtar deposunda veya Google Secret Manager'da saklayın.
  • Şirket içinde barındırılan derleme/dağıtım aracıları çalıştırıyorsanız ortamınızın güvenliğini sağlamak için ağ güvenliği, duruş ve güvenlik açığı yönetimi ve uç nokta güvenliği gibi Microsoft Bulut Güvenliği Karşılaştırması denetimlerini izleyin.

Not: DevOps altyapınızda idare, uyumluluk, operasyonel denetim ve risk denetimini etkinleştirmek üzere Azure İzleyici ve Microsoft Sentinel veya Google Cloud'un operasyon paketi ve Chronicle SIEM ve SOAR gibi hizmetleri kullanmak için Günlüğe Kaydetme ve Tehdit Algılama, DS-7 ve Duruş ve Güvenlik Açığı Yönetimi bölümlerine bakın.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

DS-4: Statik uygulama güvenliği testlerini DevOps işlem hattıyla tümleştirme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
16.12 SA-11 6.3, 6.5

Güvenlik ilkesi: Statik uygulama güvenlik testi (SAST) benzer test, etkileşimli test, mobil uygulama testinin CI/CD iş akışındaki gating denetimlerinin bir parçası olduğundan emin olun. Gating, güvenlik açığı bulunan paketlerin depoya işlenmesini, paketlere eklenmesini veya üretime dağıtılmasını önlemek için test sonuçlarına göre ayarlanabilir.

Azure kılavuzu: Kaynak kodun CI/CD iş akışınızda otomatik olarak taranabilmesi için SAST'i işlem hattınızla tümleştirin (örneğin, kod şablonu olarak altyapınızda). Azure DevOps İşlem Hattı veya GitHub, aşağıdaki araçları ve üçüncü taraf SAST araçlarını iş akışıyla tümleştirebilir.

  • Kaynak kodu analizi için GitHub CodeQL.
  • Windows için Microsoft BinSkim binary Analyzer ve *nix ikili analizi.
  • Kaynak kodda kimlik bilgisi taraması için Azure DevOps Kimlik Bilgisi Tarayıcısı (Microsoft Güvenlik DevOps uzantısı) ve GitHub yerel gizli dizi taraması.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: Kaynak kodun CI/CD iş akışınızda otomatik olarak taranabilmesi için SAST'i işlem hattınızla tümleştirin.

AWS CodeCommit kullanıyorsanız Python ve Java kaynak kodu analizi için AWS CodeGuru Reviewer'ı kullanın. AWS Codepipeline, üçüncü bölüm SAST araçlarının kod dağıtım işlem hattıyla tümleştirilmesini de destekleyebilir.

GitHub kullanılıyorsa aşağıdaki araçlar ve üçüncü taraf SAST araçları iş akışıyla tümleştirilebilir.

  • Kaynak kodu analizi için GitHub CodeQL.
  • Windows için Microsoft BinSkim binary Analyzer ve *nix ikili analizi.
  • Kaynak kodunda kimlik bilgisi taraması için GitHub yerel gizli dizi taraması.
  • Python ve Java kaynak kodu analizi için AWS CodeGuru Gözden Geçireni.

AWS uygulaması ve ek bağlamı:

GCP kılavuzu: Kaynak kodun CI/CD iş akışınızda otomatik olarak taranabilmesi için SAST'i (Yazılım Teslim Kalkanı, Yapı Analizi gibi) işlem hattınızla (kod şablonu olarak altyapınızda) tümleştirin.

Cloud Build, Cloud Deploy, Artifact Registry gibi hizmetler, CI/CD iş akışındaki kaynak kodu ve diğer yapıtları tarayabilen Yazılım Teslim Kalkanı ve Yapıt Analizi ile tümleştirmeyi destekler.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

DS-5: Dinamik uygulama güvenliği testlerini DevOps işlem hattıyla tümleştirme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
16.12 SA-11 6.3, 6.5

Güvenlik ilkesi: Dinamik uygulama güvenlik testinin (DAST) CI/CD iş akışındaki gating denetimlerinin bir parçası olduğundan emin olun. Gating, güvenlik açığının paketlerde oluşturulmasını veya üretime dağıtılmasını önlemek için test sonuçlarına göre ayarlanabilir.

Azure kılavuzu: Çalışma zamanı uygulamasının Azure DevOps veya GitHub'daki CI/CD iş akışı kümenizde otomatik olarak test edilebilmesi için DAST'ı işlem hattınızla tümleştirin. Otomatik sızma testi (el ile destekli doğrulama ile) da DAST'ın bir parçası olmalıdır.

Azure DevOps İşlem Hattı veya GitHub, üçüncü taraf DAST araçlarının CI/CD iş akışıyla tümleştirilmesini destekler.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: ÇALıŞMA zamanı uygulamasının AWS CodePipeline veya GitHub'daki CI/CD iş akışı kümenizde otomatik olarak test edilebilmesi için DAST'ı işlem hattınızla tümleştirin. Otomatik sızma testi (el ile destekli doğrulama ile) da DAST'ın bir parçası olmalıdır.

AWS CodePipeline veya GitHub, üçüncü taraf DAST araçlarının CI/CD iş akışıyla tümleştirilmesini destekler.

AWS uygulaması ve ek bağlamı:

GCP kılavuzu: Çalışma zamanı uygulamasının Google Cloud Build, Cloud Deploy veya GitHub gibi hizmetlerdeki CI/CD iş akışı kümenizde otomatik olarak test edilebilmesi için DAST'ı (Bulut Web Güvenliği Tarayıcısı gibi) işlem hattınızla tümleştirin. Cloud Web Security Scanner, App Engine, Google Kubernetes Engine (GKE) ve İşlem Altyapısı'nda barındırılan iş yükü web uygulamalarınızda güvenlik açığını belirlemek için kullanılabilir. Otomatik sızma testi (el ile destekli doğrulama ile) da DAST'ın bir parçası olmalıdır.

Google Cloud Build, Google Cloud Deploy, Artifact Registry ve GitHub, üçüncü taraf DAST araçlarının CI/CD iş akışıyla tümleştirilmesini de destekler.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

DS-6: DevOps yaşam döngüsü boyunca iş yükünün güvenliğini zorunlu kılma

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
7.5, 7.6, 7.7, 16.1, 16.7 CM-2, CM-6, AC-2, AC-3, AC-6 6.1, 6.2, 6.3

Güvenlik ilkesi: geliştirme, test ve dağıtım aşamasında iş yükünün tüm yaşam döngüsü boyunca güvenli olduğundan emin olun. Varsayılan olarak koruma olarak ayarlanabilen veya dağıtım aşamasından önce sola kaydırılan denetimleri (ağ güvenliği, kimlik yönetimi, ayrıcalıklı erişim vb.) değerlendirmek için Microsoft Bulut Güvenliği Karşılaştırması'nı kullanın. Özellikle DevOps işleminizde aşağıdaki denetimlerin bulunduğundan emin olun:- CI/CD iş akışında Azure veya üçüncü taraf araçları, altyapı yönetimi (kod olarak altyapı) ve insan hatasını ve saldırı yüzeyini azaltmak için test ederek dağıtımı otomatikleştirin.

  • VM'lerin, kapsayıcı görüntülerinin ve diğer yapıtların kötü amaçlı işlemeye karşı güvenli olduğundan emin olun.
  • CI/CD iş akışındaki dağıtımdan önce iş yükü yapıtlarını (başka bir deyişle kapsayıcı görüntüleri, bağımlılıklar, SAST ve DAST taramaları) tarayın
  • Güvenlik açığı değerlendirmesi ve tehdit algılama özelliğini üretim ortamına dağıtın ve bu özellikleri çalışma zamanında sürekli kullanın.

Azure kılavuzu: Azure VM'leri için rehberlik:

  • Kuruluşunuzdaki farklı kullanıcılar, hizmet sorumluları veya AD grupları tarafından görüntülerinize erişimi paylaşmak ve denetlemek için Azure Paylaşılan Görüntü Galerisi kullanın. Özel görüntülerinize yalnızca yetkili kullanıcıların erişebildiğinden emin olmak için Azure rol tabanlı erişim denetimini (Azure RBAC) kullanın.
  • Gereksiz kimlik bilgilerini, izinleri ve paketleri ortadan kaldırmak için VM'ler için güvenli yapılandırma temellerini tanımlayın. Özel görüntüler, Azure Resource Manager şablonları ve/veya Azure İlkesi konuk yapılandırması aracılığıyla yapılandırma temellerini dağıtın ve uygulayın.

Azure kapsayıcı hizmetleri kılavuzu:

  • Azure RBAC aracılığıyla ayrıntılı erişimin kısıtlanabileceği özel kapsayıcı kayıt defterinizi oluşturmak için Azure Container Registry (ACR) kullanın; böylece özel kayıt defterindeki kapsayıcılara yalnızca yetkili hizmetler ve hesaplar erişebilir.
  • Özel Azure Container Registry görüntülerin güvenlik açığı değerlendirmesi için Kapsayıcılar için Defender kullanın. Ayrıca, CI/CD iş akışlarınızın bir parçası olarak kapsayıcı görüntüsü taramalarını tümleştirmek için Bulut için Microsoft Defender kullanabilirsiniz.

Azure sunucusuz hizmetler için, dağıtım öncesinde aşamaya "sola kaydırma" güvenlik denetimlerini sağlamak için benzer denetimleri benimseyin.

Azure uygulaması ve ek bağlam:

AWS kılavuzu: Kuruluşunuzdaki farklı kullanıcılar ve roller tarafından görüntülerinize erişimi paylaşmak ve denetlemek için Amazon Elastic Container Registry'yi kullanın. Ayrıca özel görüntülerinize yalnızca yetkili kullanıcıların erişebildiğinden emin olmak için AWS IAM kullanın.

Gereksiz kimlik bilgilerini, izinleri ve paketleri ortadan kaldırmak için EC2 AMI görüntüleri için güvenli yapılandırma temellerini tanımlayın. Özel AMI görüntüleri, CloudFormation şablonları ve/veya AWS Yapılandırma Kuralları aracılığıyla yapılandırma temellerini dağıtın ve uygulayın.

VM'leri ve Kapsayıcılı ortamları güvenlik açığı taraması için AWS Inspector'ı kullanarak bunları kötü amaçlı işlemeye karşı güvenli hale getirin.

AWS sunucusuz hizmetlerinde AWS CodePipeline'i AWS AppConfig ile birlikte kullanarak, dağıtım öncesinde güvenlik denetimlerinin aşamaya "sola kaydırılmasını" sağlamak için benzer denetimleri benimseyin.

AWS uygulaması ve ek bağlamı:

GCP kılavuzu: Google Cloud, işlem kaynaklarınızı ve Google Kubernetes Engine (GKE) kapsayıcı kaynaklarınızı korumaya yönelik denetimler içerir. Google, VM örneklerini sağlamlaştıran Korumalı VM'yi içerir. Önyükleme güvenliği sağlar, bütünlüğü izler ve Sanal Güvenilen Platform Modülü'nü (vTPM) kullanır.

Kapsayıcı veya işletim sistemi görüntülerindeki güvenlik açıklarını ve diğer tür yapıtları isteğe bağlı olarak veya işlem hatlarınızda otomatik olarak taramak için Google Cloud Artifact Analysis'i kullanın. Container-Optimized işletim sistemi düğümü görüntülerinin durumunu sürekli izlemek için Kapsayıcı Tehdit Algılama'sını kullanın. Hizmet, çalışma zamanı saldırılarını neredeyse gerçek zamanlı olarak algılamaya yönelik tüm değişiklikleri ve uzaktan erişim girişimlerini değerlendirir.

Kayıt defterine özel IAM rolleri ve izinleriyle yapıtlara kimlerin erişebileceği, görüntüleyebileceği veya indirebileceği üzerinde denetim sahibi olmak ve Google'ın güvenli ve güvenilir altyapısında tutarlı çalışma süresi elde etmek için Özel Yapıt Kayıt Defteri'ni kullanın.

GCP sunucusuz hizmetler için, dağıtım öncesinde aşamaya "shift-left" güvenlik denetimlerini sağlamak için benzer denetimleri benimseyin.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):

DS-7: DevOps'ta günlüğe kaydetmeyi ve izlemeyi etkinleştirme

CIS Denetimleri v8 Kimlikleri NIST SP 800-53 r4 kimlikleri PCI-DSS Kimlikleri v3.2.1
8.2, 8.5, 8.9, 8.11 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3, 10.6

Güvenlik ilkesi: Günlüğe kaydetme ve izleme kapsamınızda üretim dışı ortamların ve DevOps'ta (ve diğer geliştirme işlemlerinde) kullanılan CI/CD iş akışı öğelerinin bulunduğundan emin olun. Bu ortamları hedefleyen güvenlik açıkları ve tehditler, düzgün izlenmediği takdirde üretim ortamınızda önemli risklere neden olabilir. CI/CD derleme, test ve dağıtım iş akışındaki olaylar da CI/CD iş akışı işlerindeki sapmaları belirlemek için izlenmelidir.

Azure kılavuzu: DevOps işlemi boyunca kullanılan üretim dışı ve CI/CD araç ortamlarında (Azure DevOps ve GitHub gibi) denetim günlüğü özelliklerini etkinleştirin ve yapılandırın.

Derleme, test ve dağıtım işleri dahil olmak üzere Azure DevOps ve GitHub CI/CD iş akışından oluşturulan olaylar da anormal sonuçları belirlemek için izlenmelidir.

Güvenlik olaylarının düzgün bir şekilde izlendiğinden ve işlenmek üzere önceliklendirildiğinden emin olmak için yukarıdaki günlükleri ve olayları bir günlük akışı veya API aracılığıyla Microsoft Sentinel'e veya diğer SIEM araçlarına alın.

Azure uygulaması ve ek bağlamı:

AWS kılavuzu: DevOps işlemi boyunca kullanılan üretim dışı ortamlarda ve CI/CD araç ortamlarında (AWS CodePipeline, AWS CodeBuild, AWS CodeDeploy, AWS CodeStar gibi) denetim günlüğü özellikleri için AWS CloudTrail'i etkinleştirin ve yapılandırın.

Aws CI/CD ortamlarından (AWS CodePipeline, AWS CodeBuild, AWS CodeDeploy, AWS CodeStar gibi) ve GitHub CI/CD iş akışından oluşturulan derleme, test ve dağıtım işleri gibi olaylar da anormal sonuçları belirlemek için izlenmelidir.

Güvenlik olaylarının düzgün şekilde izlendiğinden ve işlenmek üzere önceliklendirildiğinden emin olmak için yukarıdaki günlükleri ve olayları bir günlük akışı veya API aracılığıyla AWS CloudWatch, Microsoft Sentinel veya diğer SIEM araçlarına alın.

AWS uygulaması ve ek bağlam:

GCP kılavuzu: DevOps işlemi boyunca kullanılabilen Cloud Build, Google Cloud Deploy, Artifact Registry ve GitHub gibi ürünler için üretim dışı ve CI/CD araç ortamlarında denetim günlüğü özelliklerini etkinleştirin ve yapılandırın.

GcP CI/CD ortamlarından (Cloud Build, Google Cloud Deploy, Artifact Registry gibi) ve GitHub CI/CD iş akışından oluşturulan derleme, test ve dağıtım işleri gibi olaylar da anormal sonuçları belirlemek için izlenmelidir.

Güvenlik olaylarının düzgün şekilde izlendiğinden ve işlenmek üzere önceliklendirildiğinden emin olmak için yukarıdaki günlükleri ve olayları bir günlük akışı veya API aracılığıyla Microsoft Sentinel, Google Cloud Security Komut Merkezi, Chronicle veya diğer SIEM araçlarına alın.

GCP uygulaması ve ek bağlam:

Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):