改善 DevOps 環境安全性態勢
隨著原始程式碼管理系統的網路攻擊增加,以及持續整合/持續傳遞管線,保護 DevOps 平台免於 DevOps 威脅矩陣中識別的各種威脅至關重要。 這類網路攻擊可能造成程式碼插入、權限提升和資料外流,影響可能極為廣泛。
DevOps 態勢管理是適用於雲端的 Microsoft Defender 中的一項功能:
- 提供整個軟體供應鏈生命週期安全性態勢的深入解析。
- 使用進階掃描程式進行深入評量。
- 涵蓋組織、管道和存放庫的各種資源。
- 讓客戶發現並根據所提供的建議採取行動來減少其受攻擊面。
DevOps 掃描程式
為了提供結果,DevOps 態勢管理針對安全性設定和存取控制項執行檢查,使用 DevOps 掃描程式識別原始程式碼管理和持續整合/持續傳遞管道中的弱點。
Microsoft 內部會使用 Azure DevOps 和 GitHub 掃描器來識別與 DevOps 資源相關聯的風險、減少受攻擊面並強化公司 DevOps 系統。
在 DevOps 環境連線之後,適用於雲端的 Defender 會自動設定這些掃描器,以在多個 DevOps 資源之間每隔 24 小時執行一次週期性掃描,包括:
- 組建
- 安全檔案
- 變數群組
- 服務連線
- 組織
- 儲存機制
DevOps 威脅矩陣風險降低
DevOps 態勢管理可協助組織探索及補救 DevOps 平台有害的錯誤設定。 這樣一來,具備復原性的零信任 DevOps 環境便隨之誕生,並針對 DevOps 威脅矩陣定義的一系列威脅進行強化。 主要態勢管理控制項包括:
範圍秘密存取:儘量減少敏感資訊外洩,並藉由確保每個管道只能存取其功能所需的秘密,降低未經授權存取、資料外洩及橫向移動的風險。
自我裝載執行器和高權限的限制:透過避免自我裝載的執行器,並確保管道權限預設為唯讀,防止未經授權的執行和潛在升級。
增強的分支保護:強制執行分支保護規則並防止惡意程式碼插入,維護程式碼的完整性。
最佳化權限和安全存放庫:追蹤最低基礎權限,以及啟用存放庫的秘密推送保護,降低未經授權存取和修改的風險。
深入了解 DevOps 威脅矩陣。
DevOps 態勢管理建議
DevOps 掃描程式發現,原始程式碼管理系統與持續整合/持續傳遞管道中的安全性最佳做法出現偏差時,適用於雲端的 Defender 會輸出精確且可採取動作的建議。 這些建議具備下列優點:
- 可見度增強:取得 DevOps 環境安全性態勢的完整深入解析,確保全面了解任何現有的弱點。 識別遺漏的分支保護規則、權限提升風險,以及不安全的連線,預防攻擊。
- 優先順序型動作:先解決最重要的弱點,依嚴重性篩選結果,以更有效的方式耗用資源與精力。
- 受攻擊面縮小:解決醒目提示的安全漏洞,大幅減少易受攻擊的攻擊面,強化抵禦潛在威脅。
- 即時通知:能夠與工作流程自動化整合,在安全設定改變時立即收到警示,因此可以立即採取動作,確保持續符合安全性通訊協定。