由於原始程式碼管理系統和持續整合/持續傳遞管線的網路攻擊增加,因此保護 DevOps平臺防範DevOps威脅矩陣 中所識別的各種威脅至關重要。 這些網路攻擊可以啟用程式代碼插入、許可權提升和數據外泄,這可能會導致廣泛的影響。
DevOps 態勢管理是適用於雲端的 Microsoft Defender 中的一項功能:
- 提供整個軟體供應鏈生命週期安全性態勢的深入解析。
- 使用進階掃描程式進行深入評量。
- 涵蓋各種資源,包括組織、管線和存放庫。
- 讓客戶發現並根據所提供的建議採取行動來減少其受攻擊面。
DevOps 掃描程式
DevOps 狀態管理會使用掃描器來識別原始程式碼管理和持續整合/持續傳遞管線中的弱點。 它會針對安全性設定和訪問控制執行檢查,以提供結果。
Azure DevOps 和 GitHub 掃描器會在內部Microsoft內使用,以識別與 DevOps 資源相關聯的風險、降低受攻擊面並強化公司 DevOps 系統。
在 DevOps 環境連線之後,適用於雲端的 Defender 會自動設定這些掃描器,以在多個 DevOps 資源之間每隔 24 小時執行一次週期性掃描,包括:
- 組建
- 安全檔案
- 變數群組
- 服務連線
- 組織
- 存儲庫
DevOps 威脅矩陣風險降低
DevOps 態勢管理可協助組織探索及補救 DevOps 平台有害的錯誤設定。 這樣一來,具備復原性的零信任 DevOps 環境便隨之誕生,並針對 DevOps 威脅矩陣定義的一系列威脅進行強化。 主要態勢管理控制項包括:
範圍秘密存取:儘量減少敏感資訊外洩,並藉由確保每個管道只能存取其功能所需的秘密,降低未經授權存取、資料外洩及橫向移動的風險。
自托管執行器和高階許可權的限制:避免使用自托管執行器,並確保將管道權限預設為唯讀,以防止未經授權的執行和潛在的權限提升。
增強的分支保護:強制執行分支保護規則並防止惡意程式碼插入,維護程式碼的完整性。
最佳化權限和安全存放庫:追蹤最低基礎權限,以及啟用存放庫的秘密推送保護,降低未經授權存取和修改的風險。
深入了解 DevOps 威脅矩陣。
DevOps 態勢管理建議
DevOps 掃描程式發現,原始程式碼管理系統與持續整合/持續傳遞管道中的安全性最佳做法出現偏差時,適用於雲端的 Defender 會輸出精確且可採取動作的建議。 這些建議具備下列優點:
- 可見度增強:取得 DevOps 環境安全性態勢的完整深入解析,確保全面了解任何現有的弱點。 識別遺漏的分支保護規則、權限提升風險,以及不安全的連線,預防攻擊。
- 優先順序型動作:先解決最重要的弱點,依嚴重性篩選結果,以更有效的方式耗用資源與精力。
- 受攻擊面縮小:解決醒目提示的安全漏洞,大幅減少易受攻擊的攻擊面,強化抵禦潛在威脅。
- 即時通知:能夠與工作流程自動化整合,在安全設定改變時立即收到警示,因此可以立即採取動作,確保持續符合安全性通訊協定。