Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
DevOps ortamlarının güvenliğini sağlamak artık geliştiriciler için bir seçenek değildir. Kötü aktörler sola kaydığından açıkça doğrulama, en az ayrıcalık erişimi kullanma ve DevOps ortamlarında ihlal varsayma gibi Sıfır Güven ilkelerini uygulamanız gerekir.
Bu makalede, kötü aktörlerin geliştirici kutularını tehlikeye atmasını, yayın işlem hatlarına kötü amaçlı betikler bulaştırmasını ve test ortamları aracılığıyla üretim verilerine erişim kazanmasını önlemeye yönelik Sıfır Güven yaklaşımıyla DevOps ortamlarınızın güvenliğini sağlamaya yönelik en iyi yöntemler açıklanmaktadır.
Kurumsal DevOps Ortamlarının Güvenliğini Sağlama e-Kitabımızda geliştirici, DevOps platformu ve uygulama ortamlarının aşağıdaki görselleştirmelerinin yanı sıra her biri için olası güvenlik tehditleri bulunur.
Önceki diyagramda ortamlar ve dış tümleştirmeler arasındaki bağlantıların tehdit ortamını nasıl genişlettiklerine dikkat edin. Bu bağlantılar, kötü aktörlerin sistemi tehlikeye atma fırsatlarını artırabilir.
Kötü niyetli aktörler DevOps ortamlarını tehlikeye atmak, erişim kazanmak ve yeni tehlikeler ortaya çıkarmak için işletmeler arasında faaliyet gösterir. Saldırılar, kötü amaçlı kod eklemek, güçlü geliştirici kimlikleri varsaymak ve üretim kodunu çalmak için siber güvenlik ihlallerinin tipik kapsamının ötesine geçer.
Şirketler her yerde ve her yerden çalışma senaryolarına geçerken cihaz güvenliğini güçlendirmeleri gerekir. Siber güvenlik ofisleri, geliştiricilerin kodu nerede ve nasıl güvenceye alarak ve inşa ettiklerini tutarlı bir şekilde anlayamayabilir. Kötü aktörler, uzaktan bağlantı hack'leri ve geliştirici kimlik hırsızlığı ile bu zayıflıklardan yararlanıyor.
DevOps araçları, işlem hattı otomasyonundan kod doğrulama ve kod depolarına kadar kötü aktörler için önemli giriş noktalarıdır. Kötü aktörler üretim sistemlerine ulaşmadan önce kodu bulaştırırsa, çoğu durumda siber güvenlik kontrol noktalarından geçebilir. Güvenliğin aşılmasını önlemek için geliştirme ekiplerinizin eş gözden geçirmeler, IDE güvenlik eklentileri ile güvenlik denetimleri, güvenli kodlama standartları ve dal incelemesi ile çalıştığından emin olun.
Siber güvenlik ekipleri kötü aktörlerin üretim ortamlarını ele geçirmesini engellemeyi hedefler. Ancak ortamlar artık tedarik zinciri araçlarını ve ürünlerini içerir. Açık kaynak araç ihlali, küresel siber güvenlik risklerini en yüksek düzeyine taşıyabilir.
Sıfır Güven Kılavuzu Merkezi'ninGeliştirici kılavuzu bölümünde aşağıdaki DevSecOps makaleleriyle geliştiriciye özgü makaleler hakkında daha fazla bilgi edinin:
- DevOps platform ortamının güvenliğini sağlama, DevOps platform ortamınızda Sıfır Güven ilkelerini uygulamanıza yardımcı olur ve gizli dizi ve sertifika yönetimi için en iyi yöntemleri vurgular.
- Geliştirici ortamının güvenliğini sağlama , en az ayrıcalık, dal güvenliği ve güven araçları, uzantıları ve tümleştirmeleri için en iyi yöntemlerle geliştirme ortamlarınızda Sıfır Güven ilkelerini uygulamanıza yardımcı olur.
- Geliştirici iş akışınıza Sıfır Güven güvenliği ekleme , hızlı ve güvenli bir şekilde yenilik oluşturmanıza yardımcı olur.
Sonraki Adımlar
- Geliştiricilere bulut deneyimi için en hızlı ve en güvenli kodu sunan araçlarla Azure DevOps ile kodunuzu hızlandırın ve güvenliğini sağlayın.
- Azure'da çalışmaya başlama süresini hızlandıran açık kaynak bir araç olan Azure Geliştirici CLI'ya kaydolun.
- Azure'ı GitHub'ın OIDC'sine federasyon kimliği olarak güvenecek şekilde yapılandırın. OpenID Connect (OIDC), GitHub Actions iş akışlarınızın Azure kimlik bilgilerini uzun ömürlü GitHub gizli dizileri olarak depolamaya gerek kalmadan Azure'daki kaynaklara erişmesineolanak tanır.
- DevOps kaynak merkezi DevOps uygulamaları, Çevik yöntemler, Git sürüm denetimi, Microsoft'ta DevOps ve kuruluşunuzun DevOps ilerleme durumunu değerlendirme konusunda size yardımcı olur.
- Microsoft DevSecOps çözümünün, Azure ve GitHub ile bulut üzerindeki (ve her yerde) uygulamalar için güvenli DevOps (DevSecOps) sürecini nasıl etkinleştirdiğini ve yazılım teslim yaşam döngüsünün her aşamasına güvenliği nasıl entegre ettiğini öğrenin.