改善 DevOps 環境安全性態勢
隨著原始程式碼管理系統的網路攻擊增加,以及持續整合/持續傳遞管線,保護 DevOps 平台免於 DevOps 威脅矩陣中識別的各種威脅至關重要。 這類網路攻擊可以啟用程式碼插入、權限提升和資料外流,這可能會導致廣泛的影響。
DevOps 態勢管理是在適用於雲端的 Microsoft Defender 中的一項功能:
- 提供整個軟體供應鏈生命週期安全性態勢的深入解析。
- 使用進階掃描器進行深入評量。
- 涵蓋組織、管線和存放庫的各種資源。
- 可讓客戶藉由發現並根據所提供的建議採取行動來減少其受攻擊面。
DevOps 掃描器
為了提供結果,DevOps 態勢管理會使用 DevOps 掃描器來識別原始程式碼管理和持續整合/持續傳遞管線中的弱點,方法是針對安全性設定和存取控制項執行檢查。
Microsoft 內部會使用 Azure DevOps 和 GitHub 掃描器來識別與 DevOps 資源相關聯的風險、減少受攻擊面並強化公司 DevOps 系統。
在 DevOps 環境連線之後,適用於雲端的 Defender 會自動設定這些掃描器,以在多個 DevOps 資源之間每隔 24 小時執行一次週期性掃描,包括:
- 組建
- 安全檔案
- 變數群組
- 服務連線
- 組織
- 儲存機制
DevOps 威脅矩陣風險降低
DevOps 態勢管理可協助組織探索及補救 DevOps 平台中有害的錯誤設定。 這會導致復原、零信任的 DevOps 環境,這會針對 DevOps 威脅矩陣中定義的一系列威脅進行強化。 主要態勢管理控制項包括:
範圍秘密存取: 最小化敏感性資訊的外洩,並藉由確保每個管線只能存取其功能所需的秘密,來降低未經授權存取、資料外洩和橫向移動的風險。
自我裝載執行器和高權限的限制: 透過避免自我裝載的執行器,並確保管線權限預設為唯讀,來防止未經授權的執行和潛在升級。
增強的分支保護: 藉由強制執行分支保護規則並防止惡意程式碼插入,來維護程式碼的完整性。
最佳化權限和安全存放庫: 藉由追蹤最低基底權限,以及啟用存放庫的 秘密推送保護 來降低未經授權的存取和修改的風險。
深入瞭解 DevOps 威脅矩陣。
DevOps 態勢管理建議
當 DevOps 掃描器發現原始程式碼管理系統內的安全性最佳做法與持續整合/持續傳遞管線中的安全性最佳做法有偏差時,適用於雲端的 Defender 會輸出精確且可採取動作的建議。 這些建議具備下列優點:
- 增強可見性: 取得 DevOps 環境安全性態勢的完整深入解析,確保全面了解任何現有的弱點。 識別遺漏的分支保護規則、權限提升風險,以及不安全連線以防止攻擊。
- 優先順序型動作: 藉由先解決最重要的弱點,依嚴重性篩選結果,以更有效率地花費資源和精力。
- 受攻擊面縮小: 解決醒目提示的安全性缺口,以大幅減少易受攻擊的攻擊面,從而強化防禦潛在威脅。
- 即時通知: 有能力與工作流程自動化整合,以在安全設定改變時立即接收警示,允許提示動作,並確保持續符合安全性通訊協定。
下一步
意見反映
https://aka.ms/ContentUserFeedback。
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:提交及檢視以下的意見反映: