DevOps Security 涵蓋與 DevOps 流程中安全性工程和作業相關的控制,包括部署之前的重要安全性檢查(例如靜態應用程式安全性測試、弱點管理),以確保整個 DevOps 程式的安全性:它也包含威脅模型化和軟體供應安全性等常見主題。
DS-1:進行威脅模型化
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 16.10, 16.14 | SA-15 系列 | 6.5, 12.2 |
安全性準則:執行威脅模型,以識別潛在威脅並列舉緩和控件。 請確定您的威脅模型化有下列用途:
- 保護生產運行時間階段中的應用程式和服務。
- 保護用於建置、測試和部署的成品、基礎 CI/CD 管線和其他工具環境。 威脅模型至少應該包含下列層面:
- 定義應用程式的安全性需求。 請確定這些需求在威脅模型化中已適當地解決。
- 分析應用程式元件、數據連線及其關聯性。 請確定此分析也包含應用程式範圍外的上游和下游連線。
- 列出應用程式元件、數據連線和上游和下游服務可能公開的潛在威脅和攻擊向量。
- 識別可用來減輕列舉威脅的適用安全性控制措施,並識別任何可能需要額外處理計劃的控制缺口(例如安全性弱點)。
- 列舉及設計可減輕所識別弱點的控件。
Azure 指引:使用威脅模型化工具,例如Microsoft威脅模型工具搭配內嵌的 Azure 威脅模型範本來推動威脅模型化程式。 使用 STRIDE 模型來列舉內部和外部的威脅,並識別適用的控件。 請確定威脅模型化程式包含 DevOps 程式中的威脅案例,例如透過不安全的成品存放庫插入惡意代碼,以及設定錯誤的存取控制原則。
如果使用威脅模型化工具不適用,您至少應該使用問卷型威脅模型化程式來識別威脅。
確定當您的應用程式或威脅環境發生重大安全性影響變更時,會記錄並更新威脅模型化或分析結果。
Azure 實作和其他背景:
AWS指引:使用威脅模型化工具,例如Microsoft威脅模型工具搭配內嵌的 Azure 威脅模型範本來驅動威脅模型化程式。 使用 STRIDE 模型來列舉內部和外部的威脅,並識別適用的控件。 請確定威脅模型化程式包含 DevOps 程式中的威脅案例,例如透過不安全的成品存放庫插入惡意代碼,以及設定錯誤的存取控制原則。
如果使用威脅模型化工具不適用,您至少應該使用問卷型威脅模型化程式來識別威脅。
確定當您的應用程式或威脅環境發生重大安全性影響變更時,會記錄並更新威脅模型化或分析結果。
AWS 實作和其他內容:
GCP指引:使用威脅模型化工具,例如Microsoft威脅模型工具與內嵌的 Azure 威脅模型範本,以推動威脅模型化程式。 使用 STRIDE 模型來列舉內部和外部的威脅,並識別適用的控件。 請確定威脅模型化程式包含 DevOps 程式中的威脅案例,例如透過不安全的成品存放庫插入惡意代碼,以及設定錯誤的存取控制原則。
如果使用威脅模型化工具不適用,您至少應該使用問卷型威脅模型化程式來識別威脅。
確定當您的應用程式或威脅環境發生重大安全性影響變更時,會記錄並更新威脅模型化或分析結果。
GCP 實作和額外背景資訊:
客戶安全利害關係人 (瞭解更多):
DS-2:確保軟體供應鏈安全性
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 16.4, 16.6, 16.11 | SA-12、SA-15 | 6.3, 6.5 |
安全性原則:請確定您企業的 SDLC(軟體開發生命週期)或程式包含一組安全性控制措施,以控管應用程式有相依性的內部和第三方軟體元件(包括專屬和開放原始碼軟體)。 定義限制條件,防止易受攻擊或惡意元件整合並部署到環境中。
軟體供應鏈安全性控制至少應包含下列層面:
- 藉由識別服務/資源開發、建置、整合和部署階段所需的上游相依性,以正確管理軟體材料帳單(SBOM)。
- 當上游有可用的修正程式時,清查並追蹤內部和第三方軟體元件是否有已知的弱點。
- 使用靜態和動態應用程式測試評估軟體元件中的弱點和惡意代碼,以取得未知弱點。
- 請確定使用適當的方法來減輕弱點和惡意代碼。 這可能包括原始程式碼本機或上游修正、功能排除和/或套用補償控件,如果無法使用直接風險降低。
如果您的生產環境中使用關閉的來源第三方元件,您可能會對其安全性狀態有有限的可見度。 您應該考慮其他控件,例如訪問控制、網路隔離和端點安全性,以將與元件相關聯的惡意活動或弱點的影響降到最低。
Azure 指引:針對 GitHub 平臺,請透過 GitHub 進階安全性或 GitHub 原生功能的下列功能或工具,確保軟體供應鏈安全性:- 使用相依性圖形透過 Advisory Database 掃描、清查及識別您專案的所有相依性和相關弱點。
- 使用 Dependabot 確保追蹤和補救易受攻擊的相依性,並確保存放庫會自動跟上其相依套件和應用程式的最新版本。
- 使用 GitHub 的原生程式碼掃描功能,當從外部來源獲取程式碼時掃描原始程式碼。
- 使用 Microsoft Defender for Cloud 在 CI/CD 工作流程中整合容器映像的弱點評估。 針對 Azure DevOps,您可以使用第三方擴充功能來實作類似的控件,以清查、分析和補救第三方軟體元件及其弱點。
Azure 實作和其他背景:
AWS 指引:如果您使用如 CodeCommit 或 CodePipeline 等 AWS CI/CD 平臺,請確定使用 CodeGuru 檢閱者的軟體供應鏈安全性,透過 CI/CD 工作流程掃描原始碼(適用於 Java 和 Python)。 CodeCommit 和 CodePipeline 等平臺也支援第三方擴充功能,以實作類似清查、分析和補救第三方軟體元件及其弱點的控件。
如果您透過 GitHub 平臺管理原始程式碼,請透過 GitHub 進階安全性或 GitHub 原生功能的下列功能或工具,確保軟體供應鏈安全性:
- 使用 Dependency Graph 透過 Advisory Database 掃描、清查及識別您專案的所有相依性和相關弱點。
- 使用 Dependabot 確保追蹤和補救易受攻擊的相依性,並確保存放庫會自動跟上其相依套件和應用程式的最新版本。
- 使用 GitHub 的原生程式碼掃描功能,當從外部來源獲取程式碼時掃描原始程式碼。
- 如果適用,請使用 Microsoft Defender for Cloud,在 CI/CD 工作流程中整合容器映像的弱點評估。
AWS 實作和其他內容:
GCP指引:使用軟體傳遞防護來執行端對端軟體供應鏈安全性分析。 這包括保證的 OSS(開放原始碼軟體)服務,可供存取並納入Google已驗證和測試的 OSS 套件,以及使用 Google 安全管線建置的已驗證 Java 和 Python 套件。 這些套件會定期掃描、分析及測試弱點。 這類功能可以整合到Google Cloud Build、Cloud Deploy、Artifact Registry、Artifact Analysis 作為 CI/CD 工作流程的一部分。
如果您透過 GitHub 平臺管理原始程式碼,請透過 GitHub 進階安全性或 GitHub 原生功能的下列功能或工具,確保軟體供應鏈安全性:
- 使用 Dependency Graph 透過 Advisory Database 掃描、清查及識別您專案的所有相依性和相關弱點。
- 使用 Dependabot 確保追蹤和補救易受攻擊的相依性,並確保存放庫會自動跟上其相依套件和應用程式的最新版本。
- 使用 GitHub 的原生程式碼掃描功能,當從外部來源獲取程式碼時掃描原始程式碼。
- 如果適用,請使用 Microsoft Defender for Cloud,在 CI/CD 工作流程中整合容器映像的弱點評估。
GCP 實作和額外背景資訊:
客戶安全利害關係人 (瞭解更多):
DS-3:保護 DevOps 基礎結構
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 16.7 | CM-2、CM-6、AC-2、AC-3、AC-6 | 2.2, 6.3, 7.1 |
安全性原則:確保 DevOps 基礎結構和管線遵循環境的安全性最佳做法,包括組建、測試和生產階段。 這通常包括下列範圍的安全性控制:
- 儲存原始程式碼、建置套件和映像、專案成品和商務數據的成品存放庫。
- 裝載 CI/CD 管線的伺服器、服務和工具。
- CI/CD 管線設定。
Azure 指引:在將 Microsoft 雲端安全性效能評定套用至 DevOps 基礎結構安全性控件時,請設定下列控件的優先順序:
- 保護成品和基礎環境,以確保 CI/CD 管線不會成為插入惡意代碼的途徑。 例如,請檢閱 CI/CD 管線,以識別 Azure DevOps 核心區域中的任何錯誤設定,例如組織、專案、使用者、管線(組建和發行)、聯機和建置代理程式,以識別任何錯誤設定,例如開放存取、弱式驗證、不安全的連線設定等等。 針對 GitHub,使用類似的控件來保護組織許可權等級。
- 請確定您的DevOps基礎結構會一致地部署在開發項目之間。 使用適用於雲端的 Microsoft Defender(例如合規性儀錶板、Azure 原則、雲端狀態管理)或您自己的合規性監視工具,大規模追蹤 DevOps 基礎結構的合規性。
- 在 Azure AD、原生服務和管線中的 CI/CD 工具中設定身分識別/角色許可權和權利原則,以確保已授權變更管線。
- 使用 Azure 受控身份和 Just-In-Time 存取等功能,避免將永久的特殊權限存取提供給一般使用者帳戶,例如像開發人員或測試人員一樣的帳戶。
- 從 CI/CD 工作流程作業中使用的程式代碼和腳本中移除密鑰、認證和秘密,並將其保留在密鑰存放區或 Azure Key Vault 中。
- 如果您執行自我裝載的組建/部署代理程式,請遵循 Microsoft雲端安全性效能評定控制,包括網路安全性、狀態和弱點管理,以及端點安全性來保護環境。
注意:請參閱記錄和威脅偵測、DS-7 和 [狀態和弱點管理] 區段,以使用 Azure 監視器和 Microsoft Sentinel 等服務,為您的 DevOps 基礎結構啟用治理、合規性、作業稽核和風險稽核。
Azure 實作和其他背景:
AWS 指引:在將 Microsoft Cloud Security Benchmark 套用至 DevOps 基礎結構的安全性控件的一部分,例如 GitHub、CodeCommit、CodeArtifact、CodePipeline、CodeBuild 和 CodeDeploy,優先處理下列控件:
- 請參閱本指南和 AWS 架構完善的架構安全性要素,以保護 AWS 中的 DevOps 環境。
- 保護成品和基礎支援基礎結構,以確保 CI/CD 管線不會成為插入惡意代碼的途徑。
- 確保您的 DevOps 基礎設施在所有開發專案中被一致地部署和維護。 使用 AWS Config 或您自己的合規性檢查解決方案,大規模追蹤 DevOps 基礎結構的合規性。
- 使用 CodeArtifact 安全地儲存及共用用於應用程式開發的軟體套件。 您可以使用 CodeArtifact 搭配熱門的建置工具和套件管理員,例如 Maven、Gradle、npm、yarn、pip 和 twine。
- 在 AWS IAM、原生服務和管線中的 CI/CD 工具中設定身分識別/角色許可權和許可權原則,以確保管線的變更獲得授權。
- 從 CI/CD 工作流程作業中使用的程式代碼和腳本中移除金鑰、認證和秘密,並將其保留在密鑰存放區或 AWS KMS 中
- 如果您執行自我裝載的組建/部署代理程式,請遵循 Microsoft雲端安全性效能評定控制,包括網路安全性、狀態和弱點管理,以及端點安全性來保護環境。 使用 AWS Inspector 作為建置環境,以掃描 EC2 或容器化環境中的弱點。
注意:請參閱記錄和威脅偵測、DS-7 和 和 [狀態和弱點管理] 區段,以使用 AWS CloudTrail、CloudWatch 和 Microsoft Sentinel 等服務,為您的 DevOps 基礎結構啟用治理、合規性、作業稽核和風險稽核。
AWS 實作和其他內容:
GCP 指引:在將 Microsoft Cloud Security Benchmark 套用至 DevOps 基礎結構安全性控件的一部分時,請設定下列控件的優先順序:
- 保護成品和基礎環境,以確保 CI/CD 管線不會成為插入惡意代碼的途徑。 例如,請檢閱 CI/CD 管線,以識別 Google Cloud Build、Cloud Deploy、Artifact Registry、Connections 和 Build Agent 等服務中的任何設定錯誤,以識別任何錯誤設定,例如開放存取、弱式驗證、不安全的聯機設定等等。 針對 GitHub,使用類似的控件來保護組織許可權等級。
- 請確定您的DevOps基礎結構會一致地部署在開發項目之間。 使用 Google Cloud Security 命令中心大規模追蹤 DevOps 基礎結構的合規性(例如合規性儀錶板、組織原則、個別威脅記錄和識別設定錯誤)或您自己的合規性監視工具。
- 在雲端身分識別/AD 原生服務中設定身分識別和角色許可權及授權原則,並在管線中設定 CI/CD 工具,以確保管線變更已獲授權。
- 避免對人類帳戶(如開發人員或測試人員)提供永久性特殊權限訪問,應使用Google管理識別等功能。
- 從 CI/CD 工作流程作業中使用的程式代碼和腳本中移除密鑰、認證和秘密,並將其保留在密鑰存放區或 Google 秘密管理員中。
- 如果您執行自我裝載的組建/部署代理程式,請遵循 Microsoft雲端安全性效能評定控制,包括網路安全性、狀態和弱點管理,以及端點安全性來保護環境。
注意:請參閱記錄和威脅偵測、DS-7 和狀態和弱點管理小節,以使用 Azure 監視器和Microsoft Sentinel 或 Google Cloud 作業套件和 Chronicle SIEM 和 SOAR 等服務,以啟用 DevOps 基礎結構的治理、合規性、作業稽核和風險稽核。
GCP 實作和額外背景資訊:
客戶安全利害關係人 (瞭解更多):
DS-4:將靜態應用程式安全性測試整合到 DevOps 管線
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 16.12 | SA-11 系列 | 6.3, 6.5 |
安全性原則:確保靜態應用程式安全性測試 (SAST) 模糊測試、互動式測試、行動應用程式測試,是 CI/CD 工作流程中控制措施的一部分。 您可以根據測試結果設定限制,防止易受攻擊的套件認可至存放庫、組建至套件,或部署到生產環境。
Azure 指引:將 SAST 整合到您的管線中(例如,在基礎設施即程式碼範本中),以便在 CI/CD 工作流程中自動掃描原始程式碼。 Azure DevOps Pipeline 或 GitHub 可以將下列工具和第三方 SAST 工具整合到工作流程中。
- 用於原始程式碼分析的 GitHub CodeQL。
- Microsoft適用於 Windows 和 *nix 二進位分析的 BinSkim 二進位分析器。
- Azure DevOps 憑證掃描器,供 Microsoft Security DevOps 擴充使用,以及 GitHub 原生敏感資訊掃描,可在原始程式碼中執行憑證掃描。
Azure 實作和其他背景:
AWS指引:將 SAST 整合到管線中,以便在 CI/CD 工作流程中自動掃描原始碼。
如果使用 AWS CodeCommit,請使用適用於 Python 和 Java 原始程式碼分析的 AWS CodeGuru 檢閱者。 AWS Codepipeline 也可以支援將第三部分 SAST 工具整合到程式代碼部署管線中。
如果使用 GitHub,可以將下列工具和第三方 SAST 工具整合到工作流程中。
- 用於原始程式碼分析的 GitHub CodeQL。
- Microsoft適用於 Windows 和 *nix 二進位分析的 BinSkim 二進位分析器。
- GitHub 本機密碼掃描以掃描原始程式碼中的認證。
- 適用於 Python 和 Java 原始程式碼分析的 AWS CodeGuru 檢閱者。
AWS 實作和其他內容:
GCP指引:將 SAST (例如軟體傳遞防護、成品分析)整合到管線中(例如,在基礎結構中為程式代碼範本),以便可在 CI/CD 工作流程中自動掃描原始程式碼。
雲端組建、雲端部署、成品登錄等服務支援與軟體傳遞盾和成品分析的整合,以掃描 CI/CD 工作流程中的原始程式碼和其他成品。
GCP 實作和額外背景資訊:
客戶安全利害關係人 (瞭解更多):
DS-5:將動態應用程式安全性測試整合到 DevOps 管線
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 16.12 | SA-11 系列 | 6.3, 6.5 |
安全性原則:確定動態應用程式安全性測試 (DAST) 是 CI/CD 工作流程中控制措施的一部分。 您可以根據測試結果設定限制,防止將弱點組建到套件或部署至生產環境。
Azure 指引:將 DAST 整合到管線中,以便在 Azure DevOps 或 GitHub 的 CI/CD 工作流程集中自動測試運行時間應用程式。 自動化滲透測試(使用手動輔助驗證)也應該是DAST的一部分。
Azure DevOps Pipeline 或 GitHub 支援將第三方 DAST 工具整合到 CI/CD 工作流程中。
Azure 實作和其他背景:
AWS指引:將 DAST 整合到管線中,讓運行時間應用程式可以在 AWS CodePipeline 或 GitHub 的 CI/CD 工作流程集中自動測試。 自動化滲透測試(使用手動輔助驗證)也應該是DAST的一部分。
AWS CodePipeline 或 GitHub 支援將第三方 DAST 工具整合到 CI/CD 工作流程中。
AWS 實作和其他內容:
GCP指引:將 DAST(例如雲端 Web 安全性掃描器)整合到管線中,以便可在 Google Cloud Build、Cloud Deploy 或 GitHub 等服務中的 CI/CD 工作流程中自動測試運行時間應用程式。 雲端 Web 安全性掃描器可用來識別裝載於應用程式引擎、Google Kubernetes Engine (GKE) 和計算引擎之工作負載 Web 應用程式中的安全性弱點。 自動化滲透測試(使用手動輔助驗證)也應該是DAST的一部分。
Google Cloud Build、Google Cloud Deploy、Artifact Registry 和 GitHub 也支援將第三方 DAST 工具整合到 CI/CD 工作流程中。
GCP 實作和額外背景資訊:
客戶安全利害關係人 (瞭解更多):
DS-6:在整個 DevOps 生命週期中確保工作負載的安全性
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 7.5, 7.6, 7.7, 16.1, 16.7 | CM-2、CM-6、AC-2、AC-3、AC-6 | 6.1, 6.2, 6.3 |
安全性原則:確保工作負載在開發、測試和部署階段的整個生命週期中受到保護。 使用 Microsoft Cloud Security Benchmark 來評估可在部署階段之前預設設定為護欄的控件(例如網路安全性、身分識別管理、特殊許可權存取等)。 特別是,請確定 DevOps 程式中已設定下列控件:- 在 CI/CD 工作流程中使用 Azure 或第三方工具、基礎結構管理(基礎結構即程式代碼)和測試來自動化部署,以減少人為錯誤和攻擊面。
- 請確定 VM、容器映像和其他成品不受惡意操作保護。
- 在 CI/CD 工作流程中的部署之前,先掃描工作負載成品(換句話說,容器映像、相依性、SAST 和 DAST 掃描)
- 將弱點評量和威脅偵測功能部署到生產環境,並在運行時間持續使用這些功能。
Azure 指引:Azure VM 的指引:
- 使用 Azure 共用映像庫 來共用和控制組織中不同用戶、服務主體或 AD 群組對映像的存取。 使用 Azure 角色型存取控制 (Azure RBAC) 來確保只有授權的使用者才能存取您的自定義映像。
- 定義 VM 的安全組態基準,以排除不必要的認證、許可權和套件。 透過自定義映像、Azure Resource Manager 範本和/或 Azure 原則來賓設定來部署和強制執行設定基準。
Azure 容器服務的指引:
- 使用 Azure Container Registry (ACR) 來建立私人容器登錄,其中細微存取可透過 Azure RBAC 加以限制,因此只有授權的服務和帳戶才能存取私人登錄中的容器。
- 使用適用於容器的 Defender 來評估私人 Azure Container Registry 中的映射弱點。 此外,您可以使用適用於雲端的 defender Microsoft 整合容器映射掃描,作為 CI/CD 工作流程的一部分。
針對 Azure 無伺服器服務,採用類似的控制措施,以確保安全性控制在部署前「向左移位」。
Azure 實作和其他背景:
- 共用映像庫概觀
- 如何實作 Microsoft Defender for Cloud 的弱點評估建議
- Azure 容器的安全性考慮
- 適用於容器登錄的 Azure Defender
AWS指引:使用 Amazon Elastic Container Registry 來共用和控制組織內不同使用者和角色對映像的存取。 使用 AWS IAM 確保只有授權的使用者才能存取您的自定義映像。
定義 EC2 AMI 映像的安全組態基準,以排除不必要的認證、許可權和套件。 透過自定義 AMI 映像、CloudFormation 範本和/或 AWS 設定規則來部署和強制執行設定基準。
使用 AWS Inspector 對 VM 和容器化環境進行弱點掃描,以保護它們免於惡意作。
針對 AWS 無伺服器服務,請使用 AWS CodePipeline 搭配 AWS AppConfig 來採取相似的安全控制措施,以確保安全性控制「左移」至部署前的階段。
AWS 實作和其他內容:
GCP 指引:Google Cloud 包含保護計算資源和 Google Kubernetes Engine (GKE) 容器資源的控件。 Google 提供防護型 VM,可強化虛擬機。 它提供開機安全性、監視完整性,並使用虛擬信任平台模組 (vTPM)。
使用 Google Cloud Artifact Analysis 掃描容器或作業系統映像檔中的弱點,也可以按需或在您的管線中自動掃描其他類型的工件。 使用容器威脅偵測持續監視 Container-Optimized OS節點映像的狀態。 服務會評估所有變更和遠端訪問嘗試,以近乎即時的方式偵測運行時間攻擊。
使用 Artifact Registry 來設定安全的私人構件儲存庫,以便持續控制誰能使用註冊表原生的 IAM 角色和權限來存取、檢視或下載構件,並在 Google 安全可靠的基礎設施上獲得穩定運行時間。
若為 GCP 無伺服器服務,請採用類似的控制措施,以確保安全控制措施在部署前的階段提前進行。
GCP 實作和額外背景資訊:
客戶安全利害關係人 (瞭解更多):
DS-7:在 DevOps 中啟用記錄和監視
| CIS 安全控制 v8 ID | NIST SP 800-53 r4 識別碼 | PCI-DSS 標識碼(s) v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.9, 8.11 | AU-3、AU-6、AU-12、SI-4 | 10.1, 10.2, 10.3, 10.6 |
安全性準則:確定您的記錄和監視範圍包含非生產環境和 DevOps 中使用的 CI/CD 工作流程元素(以及任何其他開發程式)。 如果這些環境的弱點和威脅未正確監視,這些環境的弱點和威脅可能會對您的生產環境造成重大風險。 您也應監視 CI/CD 組建、測試和部署工作流程中的事件,以利識別 CI/CD 工作流程作業中的偏差現象。
Azure 指引:在非生產環境與 CI/CD 工具環境中啟用和設定稽核記錄功能(例如 Azure DevOps 和 GitHub)在整個 DevOps 過程中使用。
也應該監視從 Azure DevOps 和 GitHub CI/CD 工作流程產生的事件,包括建置、測試和部署作業,以識別任何異常結果。
透過記錄數據流或 API 將上述記錄和事件擷取至 Microsoft Sentinel 或其他 SIEM 工具,以確保已正確監視並分級安全性事件進行處理。
Azure 實作和其他背景:
AWS 指引:在非生產及 CI/CD 工具環境中啟用及設定 AWS CloudTrail,以實現稽核記錄功能,涵蓋整個 DevOps 流程中使用的工具(例如 AWS CodePipeline、AWS CodeBuild、AWS CodeDeploy、AWS CodeStar)。
從 AWS CI/CD 環境產生的事件(例如 AWS CodePipeline、AWS CodeBuild、AWS CodeDeploy、AWS CodeStar)和 GitHub CI/CD 工作流程,包括建置、測試和部署作業,也應該受到監視,以識別任何異常結果。
透過記錄數據流或 API 將上述記錄和事件擷取至 AWS CloudWatch、Microsoft Sentinel 或其他 SIEM 工具,以確保安全性事件已正確監視並分級進行處理。
AWS 實作和其他內容:
GCP指引:針對雲端組建、Google Cloud Deploy、Artifact Registry 和 GitHub 等產品,在非生產環境與 CI/CD 工具環境中啟用和設定稽核記錄功能,可在 DevOps 程式中使用。
從 GCP CI/CD 環境產生的事件(例如雲端組建、Google Cloud Deploy、Artifact Registry)和 GitHub CI/CD 工作流程,包括建置、測試和部署作業,也應該受到監視,以識別任何異常結果。
透過記錄數據流或 API 將上述記錄和事件擷取至 Microsoft Sentinel、Google Cloud Security Command Center、Chronicle 或其他 SIEM 工具,以確保安全性事件已正確監視並分級進行處理。
GCP 實作和額外背景資訊:
客戶安全利害關係人 (瞭解更多):