安全性控制:DevOps 安全性
DevOps 安全性涵蓋與 DevOps 流程中安全性工程和作業相關的控制項,包括在部署階段之前部署重要的安全性檢查 (例如靜態應用程式安全性測試和弱點管理),以確保整個 DevOps 流程的安全性;它也包含威脅模型化和軟體供應安全性等常見主題。
DS-1:進行威脅模型化
| CIS 控件 v8 標識碼 () | NIST SP 800-53 r4標識符 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 16.10, 16.14 | SA-15 | 6.5, 12.2 |
安全性準則:執行威脅模型來識別潛在威脅,並列舉緩和控件。 請確定您的威脅模型化有下列用途:
- 保護生產運行時間階段中的應用程式和服務。
- 保護用於建置、測試和部署的成品、基礎 CI/CD 管線和其他工具環境。 威脅模型化至少應包含下列層面:
- 定義應用程式的安全性需求。 請確定威脅模型化中已適當地解決這些需求。
- 分析應用程式元件、數據連線及其關聯性。 請確定此分析也包含應用程式範圍外的上游和下游連線。
- 列出應用程式元件、數據連線和上游和下游服務可能公開的潛在威脅和攻擊向量。
- 識別可用來減輕列舉威脅的適用安全性控制措施,並識別任何控件缺口 (例如,可能需要其他處理計劃的安全性弱點) 。
- 列舉並設計可減輕所識別弱點的控件。
Azure 指引:使用威脅模型化工具,例如 Microsoft 威脅模型化工具與內嵌的 Azure 威脅模型範本,以推動威脅模型化程式。 使用 STRIDE 模型來列舉內部和外部的威脅,並識別適用的控件。 請確定威脅模型化程式包含 DevOps 程式中的威脅案例,例如透過不安全的成品存放庫插入惡意代碼,並具有設定錯誤的訪問控制原則。
如果使用威脅模型化工具不適用,您至少應該使用問卷型威脅模型化程式來識別威脅。
確定當您的應用程式或威脅環境中發生重大安全性影響變更時,會記錄並更新威脅模型化或分析結果。
Azure 實作和其他內容:
AWS指引:使用威脅模型化工具,例如 Microsoft 威脅模型化工具與內嵌的 Azure 威脅模型範本,以推動威脅模型化程式。 使用 STRIDE 模型來列舉內部和外部的威脅,並識別適用的控件。 請確定威脅模型化程式包含 DevOps 程式中的威脅案例,例如透過不安全的成品存放庫插入惡意代碼,並具有設定錯誤的訪問控制原則。
如果使用威脅模型化工具不適用,您至少應該使用問卷型威脅模型化程式來識別威脅。
確定當您的應用程式或威脅環境中發生重大安全性影響變更時,會記錄並更新威脅模型化或分析結果。
AWS 實作和其他內容:
GCP指引:使用威脅模型化工具,例如 Microsoft 威脅模型化工具與內嵌的 Azure 威脅模型範本,以推動威脅模型化程式。 使用 STRIDE 模型來列舉內部和外部的威脅,並識別適用的控件。 請確定威脅模型化程式包含 DevOps 程式中的威脅案例,例如透過不安全的成品存放庫插入惡意代碼,並具有設定錯誤的訪問控制原則。
如果使用威脅模型化工具不適用,您至少應該使用問卷型威脅模型化程式來識別威脅。
確定當您的應用程式或威脅環境中發生重大安全性影響變更時,會記錄並更新威脅模型化或分析結果。
GCP 實作和其他內容:
客戶安全性項目關係人 (深入瞭解) :
DS-2:確保軟體供應鏈安全性
| CIS 控件 v8 標識碼 () | NIST SP 800-53 r4標識符 (s) | pci-DSS ID (s) v3.2.1 |
|---|---|---|
| 16.4, 16.6, 16.11 | SA-12、SA-15 | 6.3, 6.5 |
安全性準則:確定您企業的 SDLC (軟體開發生命週期) 或程式包含一組安全性控制措施,以控管內部和第三方軟體元件, (包括專屬和開放原始碼軟體) 應用程式具有相依性的位置。 定義限制條件,防止易受攻擊或惡意元件整合並部署到環境中。
軟體供應鏈安全性控制至少應包含下列層面:
- 藉由識別服務/資源開發、建置、整合和部署階段所需的上游相依性,以適當地管理 SBOM (SBOM) 。
- 當上游有可用的修正程式時,清查並追蹤內部和第三方軟體元件是否有已知的弱點。
- 使用靜態和動態應用程式測試來評估軟體元件中的弱點和惡意代碼是否有未知的弱點。
- 請確定使用適當的方法來減輕弱點和惡意代碼。 這可能包括原始程式碼本機或上游修正、功能排除和/或套用補償控件,如果無法使用直接風險降低。
如果您的生產環境中使用封閉式來源第三方元件,您可能會有其安全性狀態的有限可見度。 您應該考慮訪問控制、網路隔離和端點安全性等其他控制措施,以在有與元件相關聯的惡意活動或弱點時,將影響降到最低。
Azure 指引:針對 GitHub 平臺,請透過下列功能或工具,從 GitHub Advanced Security 或 GitHub 的原生功能確保軟體供應鏈安全性:- 使用相依性圖形掃描、清查及透過諮詢資料庫識別您所有專案的相依性和相關弱點。
- 使用 Dependabot 確保追蹤並修復易受攻擊的相依性,並確保存放庫會自動掌握其相依的套件和應用程式最新版本。
- 使用 GitHub 的機器碼掃描功能,在外部來源程式代碼時掃描原始程式碼。
- 使用 Microsoft Defender for Cloud,在 CI/CD 工作流程中整合容器映像的弱點評估。 針對 Azure DevOps,您可以使用第三方擴充功能來實作類似的控件,以清查、分析和補救第三方軟體元件及其弱點。
Azure 實作和其他內容:
AWS 指引:如果您使用 CodeCommit 或 CodePipeline 之類的 AWS CI/CD 平臺,請確定使用 CodeGuru 檢閱者的軟體供應鏈安全性,透過 CI/CD 工作流程掃描適用於 Java 和 Python 的原始碼 () 。 CodeCommit 和 CodePipeline 等平臺也支援第三方擴充功能,以實作類似清查、分析和補救第三方軟體元件及其弱點的控制措施。
如果您透過 GitHub 平臺管理原始程式碼,請從 GitHub Advanced Security 或 GitHub 的原生功能,透過下列功能或工具,確保軟體供應鏈安全性:
- 使用相依性圖形,透過諮詢資料庫掃描、清查及識別您所有專案的相依性和相關弱點。
- 使用 Dependabot 確保追蹤並修復易受攻擊的相依性,並確保存放庫會自動掌握其相依的套件和應用程式最新版本。
- 使用 GitHub 的機器碼掃描功能,在外部來源程式代碼時掃描原始程式碼。
- 如果適用,請使用 Microsoft Defender for Cloud,在 CI/CD 工作流程中整合容器映射的弱點評估。
AWS 實作和其他內容:
GCP指引:使用軟體傳遞防護來執行端對端軟體供應鏈安全性分析。 這包括保證的 OSS (開放原始碼軟體) 服務可供存取,並納入已由 Google 驗證和測試的 OSS 套件,以及使用 Google 安全管線建置的已驗證 Java 和 Python 套件。 這些套件會定期掃描、分析及測試是否有弱點。 這類功能可以整合到Google Cloud Build、Cloud Deploy、Artifact Registry、Artifact Analysis 作為 CI/CD 工作流程的一部分。
如果您透過 GitHub 平臺管理原始程式碼,請從 GitHub Advanced Security 或 GitHub 的原生功能,透過下列功能或工具,確保軟體供應鏈安全性:
- 使用相依性圖形,透過諮詢資料庫掃描、清查及識別您所有專案的相依性和相關弱點。
- 使用 Dependabot 確保追蹤並修復易受攻擊的相依性,並確保存放庫會自動掌握其相依的套件和應用程式最新版本。
- 使用 GitHub 的機器碼掃描功能,在外部來源程式代碼時掃描原始程式碼。
- 如果適用,請使用 Microsoft Defender for Cloud,在 CI/CD 工作流程中整合容器映射的弱點評估。
GCP 實作和其他內容:
客戶安全性項目關係人 (深入瞭解) :
DS-3:保護 DevOps 基礎結構
| CIS 控件 v8 標識碼 (s) | NIST SP 800-53 r4標識符 (s) | PCI-DSS 標識符 (s) v3.2.1 |
|---|---|---|
| 16.7 | CM-2、CM-6、AC-2、AC-3、AC-6 | 2.2, 6.3, 7.1 |
安全性準則:確定DevOps基礎結構和管線會遵循跨環境的安全性最佳做法,包括您的組建、測試和生產階段。 這通常包含下列範圍的安全性控制:
- 儲存原始程式碼、建置的套件和映像、專案成品和商務數據的成品存放庫。
- 裝載 CI/CD 管線的伺服器、服務和工具。
- CI/CD 管線設定。
Azure 指引:在將 Microsoft Cloud Security Benchmark 套用至 DevOps 基礎結構安全性控件時,請設定下列控件的優先順序:
- 保護成品和基礎環境,以確保 CI/CD 管線不會成為插入惡意代碼的途徑。 例如,檢閱 CI/CD 管線,以識別 Azure DevOps 核心區域中的任何錯誤設定,例如組織、專案、使用者、管線 (組建 & 發行) 、Connections 和組建代理程式,以識別任何錯誤設定,例如開放存取、弱式驗證、不安全的聯機設定等等。 針對 GitHub,使用類似的控件來保護組織許可權等級。
- 請確定您的DevOps基礎結構會一致地部署在開發專案上。 使用雲端 (Microsoft Defender,例如合規性儀錶板、Azure 原則、雲端狀態管理) 或您自己的合規性監視工具,大規模追蹤 DevOps 基礎結構的合規性。
- 在管線中設定 Azure AD、原生服務和 CI/CD 工具中的身分識別/角色許可權和權利原則,以確保已授權變更管線。
- 避免使用 Azure 受控識別和 Just-In-Time 存取等功能,為開發人員或測試人員等人類帳戶提供永久「常設」特殊許可權存取權。
- 從 CI/CD 工作流程作業中使用的程式代碼和腳本中移除密鑰、認證和秘密,並將其保留在密鑰存放區或 Azure 金鑰保存庫。
- 如果您執行自我裝載的組建/部署代理程式,請遵循 Microsoft Cloud Security Benchmark 控件,包括網路安全性、狀態和弱點管理,以及端點安全性來保護您的環境。
注意:請參閱記錄和威脅偵測、DS-7 和狀態和弱點管理小節,以使用 Azure 監視器和 Microsoft Sentinel 等服務來啟用 DevOps 基礎結構的治理、合規性、作業稽核和風險稽核。
Azure 實作和其他內容:
AWS 指引:在將 Microsoft Cloud Security Benchmark 套用至 DevOps 基礎結構的安全性控制措施時,例如 GitHub、CodeCommit、CodeArtifact、CodePipeline、CodeBuild 和 CodeDeploy,請設定下列控件的優先順序:
- 請參閱本指南和 AWS 架構完善的架構架構安全性要素,以保護 AWS 中的 DevOps 環境。
- 保護成品和基礎支援基礎結構,以確保 CI/CD 管線不會成為插入惡意代碼的途徑。
- 請確定您的DevOps基礎結構已部署並持續跨開發項目持續。 使用 AWS 設定或您自己的合規性檢查解決方案,大規模追蹤 DevOps 基礎結構的合規性。
- 使用 CodeArtifact 安全地儲存及共用用於應用程式開發的軟體套件。 您可以使用 CodeArtifact 搭配熱門的建置工具和套件管理員,例如 Maven、Gradle、npm、yarn、pip 和 twine。
- 在管線中設定 AWS IAM、原生服務和 CI/CD 工具中的身分識別/角色許可權和許可權原則,以確保已授權變更管線。
- 從 CI/CD 工作流程作業中使用的程式代碼和腳本中移除金鑰、認證和秘密,並將其保留在密鑰存放區或 AWS KMS 中
- 如果您執行自我裝載的組建/部署代理程式,請遵循 Microsoft Cloud Security Benchmark 控件,包括網路安全性、狀態和弱點管理,以及端點安全性來保護您的環境。 使用 AWS Inspector 作為建置環境,以掃描 EC2 或容器化環境中的弱點。
注意:請參閱記錄和威脅偵測、DS-7 和 和 [狀態和弱點管理] 區段,以使用 AWS CloudTrail、CloudWatch 和 Microsoft Sentinel 等服務來啟用治理、合規性、作業稽核,以及 DevOps 基礎結構的風險稽核。
AWS 實作和其他內容:
GCP 指引:在將 Microsoft Cloud Security Benchmark 套用至 DevOps 基礎結構安全性控件時,請設定下列控件的優先順序:
- 保護成品和基礎環境,以確保 CI/CD 管線不會成為插入惡意代碼的途徑。 例如,請檢閱您的 CI/CD 管線,以識別 Google Cloud Build、Cloud Deploy、Artifact Registry、Connections 和組建代理程式等服務中的任何設定錯誤,例如開啟存取、弱式驗證、不安全的連線設定等等。 針對 GitHub,使用類似的控件來保護組織許可權等級。
- 請確定您的DevOps基礎結構會一致地部署在開發專案上。 使用 Google Cloud Security Command Center 大規模追蹤 DevOps 基礎結構的合規性 (,例如合規性儀錶板、組織原則、個別威脅的記錄,以及識別) 或您自己的合規性監視工具的設定錯誤。
- 在管線中設定雲端身分識別/AD 原生服務和 CI/CD 工具中的身分識別/角色許可權和權利原則,以確保已授權變更管線。
- 避免使用Google受控識別之類的功能,為開發人員或測試人員等人類帳戶提供永久「常設」特殊許可權存取權。
- 從 CI/CD 工作流程作業中使用的程式代碼和腳本中移除密鑰、認證和秘密,並將其保留在密鑰存放區或 Google 秘密管理員中。
- 如果您執行自我裝載的組建/部署代理程式,請遵循 Microsoft Cloud Security Benchmark 控件,包括網路安全性、狀態和弱點管理,以及端點安全性來保護您的環境。
注意:請參閱記錄和威脅偵測、DS-7 和狀態和弱點管理小節,以使用 Azure 監視器和 Microsoft Sentinel 或 Google Cloud 的作業套件和 Chronicle SIEM 和 SOAR 等服務,以啟用 DevOps 基礎結構的治理、合規性、作業稽核和風險稽核。
GCP 實作和其他內容:
客戶安全性項目關係人 (深入瞭解) :
DS-4:將靜態應用程式安全性測試整合到 DevOps 管線
| CIS 控件 v8 標識碼 (s) | NIST SP 800-53 r4標識符 (s) | PCI-DSS 標識符 (s) v3.2.1 |
|---|---|---|
| 16.12 | SA-11 | 6.3, 6.5 |
安全性準則:確定靜態應用程式安全性測試 (SAST) 模糊測試、互動式測試、行動應用程式測試,都是 CI/CD 工作流程中控制措施的一部分。 您可以根據測試結果設定限制,防止易受攻擊的套件認可至存放庫、組建至套件,或部署到生產環境。
Azure 指引:將 SAST 整合到管線中 (例如,在您的基礎結構中作為程式代碼範本) ,以便可在 CI/CD 工作流程中自動掃描原始碼。 Azure DevOps Pipeline 或 GitHub 可以將下列工具和第三方 SAST 工具整合到工作流程中。
- GitHub CodeQL 以進行原始程式碼分析。
- 適用於 Windows 和 *nix 二進位分析的 Microsoft BinSkim 二進位分析器。
- Azure DevOps 認證掃描器 (Microsoft Security DevOps 擴充功能) 和 GitHub 原生密碼掃描原始碼中的認證掃描。
Azure 實作和其他內容:
- GitHub CodeQL \(英文\)
- BinSkim 二進位分析器
- Azure DevOps 認證掃描
- GitHub 祕密掃描 (英文)
AWS 指引:將 SAST 整合到您的管線中,以便在 CI/CD 工作流程中自動掃描原始碼。
如果使用 AWS CodeCommit,請使用適用於 Python 和 Java 原始程式碼分析的 AWS CodeGuru Reviewer。 AWS Codepipeline 也可以支援將第三部分 SAST 工具整合到程式代碼部署管線中。
如果使用 GitHub,下列工具和第三方 SAST 工具可以整合到工作流程中。
- GitHub CodeQL 以進行原始程式碼分析。
- 適用於 Windows 和 *nix 二進位分析的 Microsoft BinSkim 二進位分析器。
- GitHub 原生密碼掃描,以在原始程式碼中掃描認證。
- 適用於 Python 和 Java 原始程式碼分析的 AWS CodeGuru 檢閱者。
AWS 實作和其他內容:
GCP指引:將 SAST (,例如軟體傳遞防護、成品分析) 整合到管線 (例如,在您的基礎結構中作為程式代碼範本) ,以便可在 CI/CD 工作流程中自動掃描原始程式碼。
雲端組建、雲端部署、Artifact Registry 等服務支援與軟體傳遞防護和成品分析整合,可掃描 CI/CD 工作流程中的原始程式碼和其他成品。
GCP 實作和其他內容:
客戶安全性項目關係人 (深入瞭解) :
DS-5:將動態應用程式安全性測試整合到 DevOps 管線
| CIS 控件 v8 標識碼 (s) | NIST SP 800-53 r4標識符 (s) | PCI-DSS 標識符 (s) v3.2.1 |
|---|---|---|
| 16.12 | SA-11 | 6.3, 6.5 |
安全性準則:確保動態應用程式安全性測試 (DAST) 是 CI/CD 工作流程中控制控制控制元件的一部分。 您可以根據測試結果設定限制,防止將弱點組建到套件或部署至生產環境。
Azure 指引:將 DAST 整合到您的管線中,以便在 Azure DevOps 或 GitHub 的 CI/CD 工作流程集中自動測試運行時間應用程式。 自動滲透測試 (手動輔助驗證) 也應該是 DAST 的一部分。
Azure DevOps Pipeline 或 GitHub 支援將第三方 DAST 工具整合到 CI/CD 工作流程中。
Azure 實作和其他內容:
AWS指引:將 DAST 整合到管線中,讓運行時間應用程式可以在 AWS CodePipeline 或 GitHub 的 CI/CD 工作流程集中自動測試。 自動滲透測試 (手動輔助驗證) 也應該是 DAST 的一部分。
AWS CodePipeline 或 GitHub 支援將第三方 DAST 工具整合到 CI/CD 工作流程中。
AWS 實作和其他內容:
GCP指引:將 DAST (這類雲端 Web 安全性掃描器) 整合到管線中,讓運行時間應用程式可以在 Google Cloud Build、Cloud Deploy 或 GitHub 等服務中自動測試運行時間應用程式。 雲端 Web 安全性掃描器可用來識別裝載於 App Engine、Google Kubernetes Engine (GKE) 和計算引擎的工作負載 Web 應用程式中的安全性弱點。 自動滲透測試 (手動輔助驗證) 也應該是 DAST 的一部分。
Google Cloud Build、Google Cloud Deploy、Artifact Registry 和 GitHub 也支援將第三方 DAST 工具整合到 CI/CD 工作流程中。
GCP 實作和其他內容:
客戶安全性項目關係人 (深入瞭解) :
DS-6:在整個 DevOps 生命週期強制執行工作負載安全性
| CIS 控件 v8 標識碼 (s) | NIST SP 800-53 r4標識符 (s) | PCI-DSS 標識符 (s) v3.2.1 |
|---|---|---|
| 7.5, 7.6, 7.7, 16.1, 16.7 | CM-2、CM-6、AC-2、AC-3、AC-6 | 6.1, 6.2, 6.3 |
安全性準則:確保工作負載在開發、測試和部署階段的整個生命週期中受到保護。 使用 Microsoft Cloud Security Benchmark 來評估 (控件,例如網路安全性、身分識別管理、特殊許可權存取等) ,這些控件預設可設定為防護措施,或在部署階段之前保持左移。 另外請特別確認下列控制項已部署於您的 DevOps 流程:- 在 CI/CD 工作流程和基礎結構管理 (基礎結構即程式碼) 中使用 Azure 或第三方工具自動化部署工作,並測試來減少人為錯誤和攻擊範圍。
- 確定 VM、容器映像和其他成品都不受惡意操作保護。
- 在 CI/CD 工作流程中的部署之前,掃描工作負載成品 (,例如容器映像、相依性、SAST 和 DAST 掃描)
- 將弱點評量和威脅偵測功能部署到生產環境,並在運行時間持續使用這些功能。
Azure 指引:Azure VM 的指引:
- 使用 Azure 共用映像庫 來共用和控制組織內不同用戶、服務主體或 AD 群組對映像的存取。 使用 Azure 角色型存取 (您的 Kzu) re 角色型存取您的自訂映像。
- 定義 VM 的安全組態基準,以消除不必要的認證、許可權和套件。 透過自定義映像、Azure Resource Manager 範本和/或 Azure 原則 來賓設定來部署和強制執行設定基準。
Azure 容器服務的指引:
- 使用 Azure Container Registry (ACR) 建立私人容器登錄,其中可透過 Azure RBAC 限制細微存取,因此只有授權的服務與帳戶可以存取私人登錄中的容器。
- 使用適用於容器的 Defender 來評估私人 Azure Container Registry 中的映像弱點。 此外,您可以使用 Microsoft Defender for Cloud,將容器映射掃描整合到 CI/CD 工作流程的一部分。
針對 Azure 無伺服器服務,採用類似的控制項,以確保在部署之前將安全性控件「向左移」。
Azure 實作和其他內容:
AWS指引:使用 Amazon Elastic Container Registry 來共用和控制組織內不同使用者和角色對映像的存取。 使用 AWS IAM 確保只有授權的使用者可以存取您的自定義映像。
定義 EC2 AMI 映像的安全組態基準,以消除不必要的認證、許可權和套件。 透過自定義 AMI 映像、CloudFormation 範本和/或 AWS 設定規則來部署和強制執行設定基準。
使用 AWS Inspector 進行 VM 和容器化環境的弱點掃描,以保護它們免於惡意操作。
針對 AWS 無伺服器服務,請使用 AWS CodePipeline 搭配 AWS AppConfig 採用類似的控件,以確保在部署之前將安全性控件「左移」到階段。
AWS 實作和其他內容:
GCP指引:Google Cloud 包含保護計算資源和 Google Kubernetes Engine (GKE) 容器資源的控件。 Google 包含受防護的 VM,可強化 VM 實例。 它提供開機安全性、監視完整性,並使用虛擬信任平臺模組 (vTPM) 。
使用 Google Cloud Artifact Analysis 來掃描容器或 OS 映射中的弱點,以及視需要或自動在您的管線中掃描其他類型的成品。 使用容器威脅偵測來持續監視 Container-Optimized 操作系統節點映射的狀態。 此服務會評估所有變更和遠端訪問嘗試,以近乎即時的方式偵測運行時間攻擊。
使用 Artifact Registry 來設定安全的私人組建成品記憶體,以維護誰可以存取、檢視或下載具有登錄原生 IAM 角色和許可權的成品,以及取得 Google 安全可靠基礎結構上的一致運行時間。
針對 GCP 無伺服器服務,採用類似的控制,以確保在部署之前將安全性控制「向左移」。
GCP 實作和其他內容:
客戶安全性項目關係人 (深入瞭解) :
DS-7:在 DevOps 中啟用記錄和監視
| CIS 控件 v8 標識碼 (s) | NIST SP 800-53 r4標識符 (s) | PCI-DSS 標識符 (s) v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.9, 8.11 | AU-3、AU-6、AU-12、SI-4 | 10.1, 10.2, 10.3, 10.6 |
安全性準則:請確定您的記錄和監視範圍包含 DevOps (中使用的非生產環境和 CI/CD 工作流程元素,以及任何其他開發程式) 。 以這些環境為目標的弱點和威脅,如果無法正確監視生產環境,可能會造成重大風險。 您也應監視 CI/CD 組建、測試和部署工作流程中的事件,以利識別 CI/CD 工作流程作業中的偏差現象。
Azure 指引:在非生產環境與 CI/CD 工具環境中啟用和設定稽核記錄功能, (例如 Azure DevOps 和 GitHub) 在整個 DevOps 程式中使用。
也應該監視從 Azure DevOps 和 GitHub CI/CD 工作流程產生的事件,包括建置、測試和部署作業,以識別任何異常的結果。
透過記錄數據流或 API 將上述記錄和事件擷取至 Microsoft Sentinel 或其他 SIEM 工具,以確保已正確監視並分級安全性事件進行處理。
Azure 實作和其他內容:
AWS 指引:在非生產環境與 CI/CD 工具環境中啟用和設定 AWS CloudTrail, (例如 AWS CodePipeline、AWS CodeBuild、AWS CodeDeploy、AWS CodeStar) 整個 DevOps 程式中使用的稽核記錄功能。
從 AWS CI/CD 環境產生的事件 (,例如 AWS CodePipeline、AWS CodeBuild、AWS CodeDeploy、AWS CodeStar) 和 GitHub CI/CD 工作流程,包括建置、測試和部署作業,也應該受到監視,以識別任何異常的結果。
透過記錄數據流或 API 將上述記錄和事件擷取至 AWS CloudWatch、Microsoft Sentinel 或其他 SIEM 工具,以確保正確監視並分級安全性事件以進行處理。
AWS 實作和其他內容:
GCP指引:針對雲端組建、Google Cloud Deploy、Artifact Registry 和 GitHub 等產品,在非生產環境與 CI/CD 工具環境中啟用和設定稽核記錄功能,可在 DevOps 程式中使用。
從 GCP CI/CD 環境產生的事件 (,例如雲端組建、Google Cloud Deploy、Artifact Registry) 和 GitHub CI/CD 工作流程,包括建置、測試和部署作業,也應該受到監視,以識別任何異常的結果。
透過記錄串流或 API 將上述記錄和事件擷取至 Microsoft Sentinel、Google Cloud Security Command Center、Chronicle 或其他 SIEM 工具,以確保已正確監視並分級安全性事件進行處理。
GCP 實作和其他內容:
客戶安全性項目關係人 (深入瞭解) :