改善 DevOps 環境安全性態勢

隨著原始程式碼管理系統的網路攻擊增加，以及持續整合/持續傳遞管線，保護 DevOps 平台免於 DevOps 威脅矩陣中識別的各種威脅至關重要。 這類網路攻擊可以啟用程式碼插入、權限提升和資料外流，這可能會導致廣泛的影響。

DevOps 態勢管理是在適用於雲端的 Microsoft Defender 中的一項功能:

• 提供整個軟體供應鏈生命週期安全性態勢的深入解析。
• 使用進階掃描器進行深入評量。
• 涵蓋組織、管線和存放庫的各種資源。
• 可讓客戶藉由發現並根據所提供的建議採取行動來減少其受攻擊面。

DevOps 掃描器

為了提供結果，DevOps 態勢管理會使用 DevOps 掃描器來識別原始程式碼管理和持續整合/持續傳遞管線中的弱點，方法是針對安全性設定和存取控制項執行檢查。

Microsoft 內部會使用 Azure DevOps 和 GitHub 掃描器來識別與 DevOps 資源相關聯的風險、減少受攻擊面並強化公司 DevOps 系統。

在 DevOps 環境連線之後，適用於雲端的 Defender 會自動設定這些掃描器，以在多個 DevOps 資源之間每隔 24 小時執行一次週期性掃描，包括:

• 組建
• 安全檔案
• 變數群組
• 服務連線
• 組織
• 儲存機制

DevOps 威脅矩陣風險降低

DevOps 態勢管理可協助組織探索及補救 DevOps 平台中有害的錯誤設定。 這會導致復原、零信任的 DevOps 環境，這會針對 DevOps 威脅矩陣中定義的一系列威脅進行強化。 主要態勢管理控制項包括:

• 範圍秘密存取: 最小化敏感性資訊的外洩，並藉由確保每個管線只能存取其功能所需的秘密，來降低未經授權存取、資料外洩和橫向移動的風險。

• 自我裝載執行器和高權限的限制: 透過避免自我裝載的執行器，並確保管線權限預設為唯讀，來防止未經授權的執行和潛在升級。

• 增強的分支保護: 藉由強制執行分支保護規則並防止惡意程式碼插入，來維護程式碼的完整性。

• 最佳化權限和安全存放庫: 藉由追蹤最低基底權限，以及啟用存放庫的 秘密推送保護 來降低未經授權的存取和修改的風險。

• 深入瞭解 DevOps 威脅矩陣。

DevOps 態勢管理建議

當 DevOps 掃描器發現原始程式碼管理系統內的安全性最佳做法與持續整合/持續傳遞管線中的安全性最佳做法有偏差時，適用於雲端的 Defender 會輸出精確且可採取動作的建議。 這些建議具備下列優點:

• 增強可見性: 取得 DevOps 環境安全性態勢的完整深入解析，確保全面了解任何現有的弱點。 識別遺漏的分支保護規則、權限提升風險，以及不安全連線以防止攻擊。
• 優先順序型動作: 藉由先解決最重要的弱點，依嚴重性篩選結果，以更有效率地花費資源和精力。
• 受攻擊面縮小: 解決醒目提示的安全性缺口，以大幅減少易受攻擊的攻擊面，從而強化防禦潛在威脅。
• 即時通知: 有能力與工作流程自動化整合，以在安全設定改變時立即接收警示，允許提示動作，並確保持續符合安全性通訊協定。

下一步

• 將您的 GitHub 存放庫連接至適用於雲端的 Microsoft Defender。
• 將您的 Azure DevOps 存放庫連接至適用於雲端的 Microsoft Defender。