Sıfır Güven için DevOps ortamlarının güvenliğini sağlama

DevOps ortamlarının güvenliğini sağlamak artık geliştiriciler için bir seçenek değildir. Bilgisayar korsanları sola kaydığından açıkça doğrulama, en az ayrıcalık erişimi kullanma ve DevOps ortamlarında ihlal varsayma gibi Sıfır Güven ilkeleri uygulamanız gerekir.

Bu makalede, bilgisayar korsanlarının geliştirici kutularını tehlikeye atmasını, yayın işlem hatlarına kötü amaçlı betikler bulaştırmasını ve test ortamları aracılığıyla üretim verilerine erişmesini önlemeye yönelik Sıfır Güven bir yaklaşımla DevOps ortamlarınızın güvenliğini sağlamaya yönelik en iyi yöntemler açıklanmaktadır.

Kurumsal DevOps Ortamlarının Güvenliğini Sağlama e-Kitabımızda geliştirici, DevOps platformu ve uygulama ortamlarının aşağıdaki görselleştirmelerinin yanı sıra her biri için olası güvenlik tehditleri bulunur.

Yukarıdaki diyagramda ortamlar ve dış tümleştirmeler arasındaki bağlantıların tehdit ortamını nasıl genişlettiklerine dikkat edin. Bu bağlantılar, bilgisayar korsanlarının sistemi tehlikeye atma fırsatlarını artırabilir.

Kötü aktörler DevOps ortamlarını tehlikeye atmak, erişim kazanmak ve yeni tehlikelerin kilidini açmak için kuruluş genelinde esnetiliyor. Saldırılar, kötü amaçlı kod eklemek, güçlü geliştirici kimlikleri varsaymak ve üretim kodunu çalmak için siber güvenlik ihlallerinin genel kapsamının ötesine geçer.

Şirketler her yerde ve her yerden çalışma senaryolarına geçerken cihaz güvenliğini güçlendirmeleri gerekir. Siber güvenlik ofisleri, geliştiricilerin nerede ve nasıl güvenli hale geldiği ve kod oluşturacağı konusunda tutarlı bir anlayışa neden olmayabilir. Saldırganlar, uzaktan bağlantı hack'leri ve geliştirici kimlik hırsızlığı ile bu zayıflıklardan yararlanıyor.

DevOps araçları, işlem hattı otomasyonundan kod doğrulama ve kod depolarına kadar bilgisayar korsanları için önemli giriş noktalarıdır. Kötü aktörler üretim sistemlerine ulaşmadan önce kodu bulaştırırsa, çoğu durumda siber güvenlik kontrol noktalarından geçebilir. Güvenliğin aşılmasını önlemek için geliştirme ekiplerinizin eş gözden geçirmeler, IDE güvenlik eklentileri ile güvenlik denetimleri, güvenli kodlama standartları ve dal incelemesi ile çalıştığından emin olun.

Siber güvenlik ekipleri saldırganların üretim ortamlarını ele geçirmesini engellemeyi amaçlar. Ancak ortamlar tedarik zinciri araçlarını ve ürünlerini içerecek şekilde genişlemıştır. Üçüncü taraf açık kaynak araçlarının ihlali küresel siber güvenlik risklerini yükseltebilir.

Sıfır Güven Rehberlik Merkezi'nin Geliştirici kılavuzu bölümünde aşağıdaki DevSecOps makaleleriyle geliştiriciye özgü makaleler hakkında daha fazla bilgi edinin:

• DevOps platform ortamının güvenliğini sağlamak, DevOps platform ortamınızda Sıfır Güven ilkeleri uygulamanıza yardımcı olur ve gizli dizi ve sertifika yönetimi için en iyi yöntemleri vurgular.
• Geliştirici ortamının güvenliğini sağlamak, geliştirme ortamlarınızda en az ayrıcalık, dal güvenliği ve güvenen araçlar, uzantılar ve tümleştirmeler için en iyi yöntemlerle Sıfır Güven ilkeleri uygulamanıza yardımcı olur.
• Geliştirici iş akışınıza Sıfır Güven güvenlik eklemek, hızlı ve güvenli bir şekilde yenilik oluşturmanıza yardımcı olur.

Sonraki adımlar

• Geliştiricilere bulut deneyimi için en hızlı ve en güvenli kodu sunan araçlarla Azure DevOps ile kodunuzu hızlandırın ve güvenliğini sağlayın.
• Azure'da çalışmaya başlama süresini hızlandıran açık kaynak bir araç olan Azure Geliştirici CLI'ya kaydolun.
• Azure'ı GitHub'ın OIDC'sine federasyon kimliği olarak güvenecek şekilde yapılandırın. OpenID Bağlan (OIDC), GitHub Actions iş akışlarınızın Azurekimlik bilgilerini uzun ömürlü GitHub gizli dizileri olarak depolamaya gerek kalmadan Azure'daki kaynaklara erişmesine olanak tanır.
• DevOps kaynak merkezi DevOps uygulamaları, Çevik yöntemler, Git sürüm denetimi, Microsoft'ta DevOps ve kuruluşunuzun DevOps ilerleme durumunu değerlendirme konusunda size yardımcı olur.
• Microsoft DevSecOps çözümünün, Azure ve GitHub ile bulut üzerindeki (ve her yerde) uygulamalar için DevSecOps'u etkinleştirmek veya DevOps'un güvenliğini sağlamak için yazılım teslim yaşam döngüsünün her yönüyle güvenliği nasıl tümleştirip tümleştireceğinizi öğrenin.
• Microsoft Entra ID'yi merkezi bir kimlik yönetim sistemi olarak kullanarak 22-09(ABD yönetim emri 14028, Ulusun Siber Güvenliğinin geliştirilmesini desteklemek amacıyla) mutabakat metninde açıklandığı gibi Sıfır Güven ilkeleri uygulayın.