Řízení zabezpečení: Zabezpečení DevOps

  • Článek

DevOps Security se zabývá ovládacími prvky souvisejícími s technikou zabezpečení a operacemi v procesech DevOps, včetně nasazení důležitých kontrol zabezpečení (jako je testování zabezpečení statických aplikací nebo správa ohrožení zabezpečení) před fází nasazení, aby se zajistilo zabezpečení v celém procesu DevOps. zahrnuje také běžná témata, jako je modelování hrozeb a zabezpečení dodávek softwaru.

DS-1: Modelování hrozeb

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS verze 3.2.1
16.10, 16.14 SA-15 6.5, 12.2

Princip zabezpečení: Pomocí modelování hrozeb identifikujte potenciální hrozby a vypíšete kontrolní mechanismy pro zmírnění rizik. Ujistěte se, že modelování hrozeb slouží k následujícím účelům:

  • Zabezpečte své aplikace a služby ve fázi produkčního běhu.
  • Zabezpečte artefakty, základní kanál CI/CD a další prostředí nástrojů používané k sestavení, testování a nasazení. Modelování hrozeb by mělo zahrnovat alespoň následující aspekty:
  • Definujte požadavky na zabezpečení aplikace. Zajistěte, aby byly tyto požadavky odpovídajícím způsobem vyřešeny při modelování hrozeb.
  • Analýza komponent aplikace, datových připojení a jejich vztahů Ujistěte se, že tato analýza zahrnuje také upstreamová a podřízená připojení mimo rozsah vaší aplikace.
  • Uveďte seznam potenciálních hrozeb a vektorů útoku, kterým můžou být vystaveny komponenty vaší aplikace, datová připojení a upstreamové a podřízené služby.
  • Identifikujte příslušné bezpečnostní prvky, které se dají použít ke zmírnění vyčíslených hrozeb, a identifikujte případné nedostatky kontrolních mechanismů (např. ohrožení zabezpečení), které mohou vyžadovat další plány léčby.
  • Vytvořte výčet a návrh ovládacích prvků, které můžou zmírnit zjištěné chyby zabezpečení.

Pokyny pro Azure: K řízení procesu modelování hrozeb použijte nástroje pro modelování hrozeb, jako je nástroj Microsoftu pro modelování hrozeb, a vloženou šablonu modelu hrozeb Azure. Pomocí modelu STRIDE můžete vytvořit výčet hrozeb z interních i externích a identifikovat použitelné ovládací prvky. Ujistěte se, že proces modelování hrozeb zahrnuje scénáře hrozeb v procesu DevOps, jako je injektáž škodlivého kódu prostřednictvím nezabezpečeného úložiště artefaktů s chybně nakonfigurovanými zásadami řízení přístupu.

Pokud použití nástroje pro modelování hrozeb není použitelné, měli byste k identifikaci hrozeb použít minimálně proces modelování hrozeb založený na dotazníku.

Ujistěte se, že se výsledky modelování hrozeb nebo analýzy zaznamenávají a aktualizují, když ve vaší aplikaci nebo v oblasti hrozeb dojde k významné změně s dopadem na zabezpečení.

Implementace Azure a další kontext:

Pokyny pro AWS: K řízení procesu modelování hrozeb použijte nástroje pro modelování hrozeb od Microsoftu s vloženou šablonou modelu hrozeb Azure. Pomocí modelu STRIDE můžete vytvořit výčet hrozeb z interních i externích a identifikovat použitelné ovládací prvky. Ujistěte se, že proces modelování hrozeb zahrnuje scénáře hrozeb v procesu DevOps, jako je injektáž škodlivého kódu prostřednictvím nezabezpečeného úložiště artefaktů s chybně nakonfigurovanými zásadami řízení přístupu.

Pokud použití nástroje pro modelování hrozeb není použitelné, měli byste k identifikaci hrozeb použít minimálně proces modelování hrozeb založený na dotazníku.

Ujistěte se, že se výsledky modelování hrozeb nebo analýzy zaznamenávají a aktualizují, když ve vaší aplikaci nebo v oblasti hrozeb dojde k významné změně s dopadem na zabezpečení.

Implementace AWS a další kontext:

Pokyny pro GCP: K řízení procesu modelování hrozeb použijte nástroje pro modelování hrozeb, jako je nástroj Microsoftu pro modelování hrozeb, s vloženou šablonou modelu hrozeb Azure. Pomocí modelu STRIDE můžete vytvořit výčet hrozeb z interních i externích a identifikovat použitelné ovládací prvky. Ujistěte se, že proces modelování hrozeb zahrnuje scénáře hrozeb v procesu DevOps, jako je injektáž škodlivého kódu prostřednictvím nezabezpečeného úložiště artefaktů s chybně nakonfigurovanými zásadami řízení přístupu.

Pokud použití nástroje pro modelování hrozeb není použitelné, měli byste k identifikaci hrozeb použít minimálně proces modelování hrozeb založený na dotazníku.

Ujistěte se, že se výsledky modelování hrozeb nebo analýzy zaznamenávají a aktualizují, když ve vaší aplikaci nebo v oblasti hrozeb dojde k významné změně s dopadem na zabezpečení.

Implementace GCP a další kontext:

Účastníci zabezpečení zákazníků (další informace) :

DS-2: Zajištění zabezpečení dodavatelského řetězce softwaru

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS verze 3.2.1
16.4, 16.6, 16.11 SA-12, SA-15 6.3, 6.5

Princip zabezpečení: Ujistěte se, že SDLC (Životní cyklus vývoje softwaru) nebo proces vašeho podniku obsahuje sadu bezpečnostních prvků, které řídí interní softwarové komponenty a komponenty softwaru třetích stran (včetně proprietárního i opensourcového softwaru), kde mají vaše aplikace závislosti. Definujte kritéria pro určení, abyste zabránili integraci a nasazení ohrožených nebo škodlivých komponent do prostředí.

Bezpečnostní kontroly dodavatelského řetězce softwaru by měly zahrnovat alespoň následující aspekty:

  • Správná správa softwarového kusovníku (SBOM) díky identifikaci nadřazených závislostí potřebných pro fázi vývoje služby nebo prostředku, sestavení, integrace a nasazení.
  • Inventarizaci a sledování interních softwarových komponent a softwarových komponent třetích stran z hlediska známého ohrožení zabezpečení v případě, že je v upstreamu k dispozici oprava.
  • Vyhodnoťte ohrožení zabezpečení a malware v softwarových komponentách pomocí statického a dynamického testování aplikací z hlediska neznámých ohrožení zabezpečení.
  • Ujistěte se, že ohrožení zabezpečení a malware jsou zmírněné pomocí vhodného přístupu. To může zahrnovat místní nebo upstreamovou opravu zdrojového kódu, vyloučení funkcí nebo použití kompenzačních ovládacích prvků, pokud přímé zmírnění rizik není k dispozici.

Pokud se ve vašem produkčním prostředí používají uzavřené zdrojové komponenty třetích stran, můžete mít omezený přehled o stavu zabezpečení. Měli byste zvážit další ovládací prvky, jako je řízení přístupu, izolace sítě a zabezpečení koncových bodů, abyste minimalizovali dopad, pokud je s komponentou spojená škodlivá aktivita nebo ohrožení zabezpečení.

Pokyny pro Azure: Pro platformu GitHub zajistěte zabezpečení softwarového dodavatelského řetězce pomocí následujících funkcí nebo nástrojů z GitHub Advanced Security nebo nativní funkce GitHubu: Pomocí graphu závislostí můžete prohledávat, inventarovat a identifikovat všechny závislosti a související ohrožení zabezpečení projektu prostřednictvím databáze Advisory Database.

  • Pomocí Dependabotu se ujistěte, že je ohrožená závislost sledována a napravena, a ujistěte se, že vaše úložiště automaticky udržuje krok s nejnovějšími verzemi balíčků a aplikací, na kterých závisí.
  • Pomocí funkce nativní kontroly kódu GitHubu můžete při externím získávání kódu skenovat zdrojový kód.
  • Pomocí Microsoft Defender pro cloud můžete integrovat posouzení ohrožení zabezpečení pro image kontejneru do pracovního postupu CI/CD. V případě Azure DevOps můžete pomocí rozšíření třetích stran implementovat podobné ovládací prvky pro inventarizaci, analýzu a nápravu softwarových komponent třetích stran a jejich ohrožení zabezpečení.

Implementace Azure a další kontext:

Pokyny pro AWS: Pokud používáte platformy AWS CI/CD, jako je CodeCommit nebo CodePipeline, pomocí Kontrolora CodeGuru zkontrolujte zdrojový kód (pro Javu a Python) prostřednictvím pracovních postupů CI/CD zajistěte zabezpečení dodavatelského řetězce softwaru. Platformy, jako jsou CodeCommit a CodePipeline, také podporují rozšíření třetích stran k implementaci podobných ovládacích prvků inventáře, analýze a nápravě softwarových komponent třetích stran a jejich ohrožení zabezpečení.

Pokud spravujete zdrojový kód prostřednictvím platformy GitHub, zajistěte zabezpečení dodavatelského řetězce softwaru pomocí následujících funkcí nebo nástrojů z GitHub Advanced Security nebo nativní funkce GitHubu:

  • Pomocí graphu závislostí můžete kontrolovat, inventarizaci a identifikovat všechny závislosti a související ohrožení zabezpečení projektu prostřednictvím databáze advisory.
  • Pomocí Dependabotu se ujistěte, že je ohrožená závislost sledována a napravena, a ujistěte se, že vaše úložiště automaticky udržuje krok s nejnovějšími verzemi balíčků a aplikací, na kterých závisí.
  • Pomocí funkce nativní kontroly kódu GitHubu můžete při externím získávání kódu skenovat zdrojový kód.
  • Pokud je to možné, použijte Microsoft Defender for Cloud k integraci posouzení ohrožení zabezpečení pro image kontejneru do pracovního postupu CI/CD.

Implementace AWS a další kontext:

Pokyny GCP: K provádění komplexní analýzy zabezpečení dodavatelského řetězce softwaru použijte Software Delivery Shield. To zahrnuje službu Assured OSS (Open Source Software) pro přístup a začlenění balíčků OSS, které byly ověřeny a otestovány Společností Google, a také ověřené balíčky Java a Python, které jsou vytvořené pomocí zabezpečených kanálů Společnosti Google. Tyto balíčky jsou pravidelně kontrolovány, analyzovány a testovány na ohrožení zabezpečení. Tyto funkce lze integrovat do google cloudových buildů, cloudových nasazení, registru artefaktů a analýzy artefaktů v rámci pracovních postupů CI/CD.

Pokud spravujete zdrojový kód prostřednictvím platformy GitHub, zajistěte zabezpečení dodavatelského řetězce softwaru pomocí následujících funkcí nebo nástrojů z GitHub Advanced Security nebo nativní funkce GitHubu:

  • Pomocí graphu závislostí můžete kontrolovat, inventarizaci a identifikovat všechny závislosti a související ohrožení zabezpečení projektu prostřednictvím databáze advisory.
  • Pomocí Dependabotu se ujistěte, že je ohrožená závislost sledována a napravena, a ujistěte se, že vaše úložiště automaticky udržuje krok s nejnovějšími verzemi balíčků a aplikací, na kterých závisí.
  • Pomocí funkce nativní kontroly kódu GitHubu můžete při externím získávání kódu skenovat zdrojový kód.
  • Pokud je to možné, použijte Microsoft Defender for Cloud k integraci posouzení ohrožení zabezpečení pro image kontejneru do pracovního postupu CI/CD.

Implementace GCP a další kontext:

Účastníci zabezpečení zákazníků (další informace) :

DS-3: Zabezpečená infrastruktura DevOps

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS verze 3.2.1
16.7 CM-2, CM-6, AC-2, AC-3, AC-6 2.2, 6.3, 7.1

Princip zabezpečení: Zajistěte, aby infrastruktura a kanál DevOps dodržovaly osvědčené postupy zabezpečení napříč prostředími, včetně fází sestavení, testování a produkce. To obvykle zahrnuje ovládací prvky zabezpečení pro následující obor:

  • Úložiště artefaktů, která ukládají zdrojový kód, sestavené balíčky a obrázky, artefakty projektů a obchodní data.
  • Servery, služby a nástroje, které hostují kanály CI/CD.
  • Konfigurace kanálu CI/CD.

Pokyny pro Azure: V rámci použití srovnávacího testu Microsoft Cloud Security na ovládací prvky zabezpečení infrastruktury DevOps určete prioritu následujících ovládacích prvků:

  • Chraňte artefakty a podkladové prostředí, abyste zajistili, že se kanály CI/CD nebudou stát cestou k vložení škodlivého kódu. Zkontrolujte například kanál CI/CD a identifikujte případné chybné konfigurace v základních oblastech Azure DevOps, jako je organizace, projekty, uživatelé, kanály (build & verze) Connections a agent sestavení, a identifikujte případné chybné konfigurace, jako je otevřený přístup, slabé ověřování, nezabezpečené nastavení připojení atd. Pro GitHub použijte k zabezpečení úrovní oprávnění organizace podobné ovládací prvky.
  • Ujistěte se, že je infrastruktura DevOps nasazená konzistentně napříč vývojovými projekty. Sledujte dodržování předpisů infrastruktury DevOps ve velkém měřítku pomocí Microsoft Defender for Cloud (například řídicí panel dodržování předpisů, Azure Policy, správa stavu cloudu) nebo vlastních nástrojů pro monitorování dodržování předpisů.
  • Nakonfigurujte oprávnění identita/role a zásady oprávnění v Azure AD, nativních službách a nástrojích CI/CD ve vašem kanálu, abyste zajistili, že změny v kanálech budou autorizované.
  • Vyhněte se poskytování trvalého privilegovaného přístupu k lidským účtům, jako jsou vývojáři nebo testeři, pomocí funkcí, jako jsou spravované identity Azure a přístup za běhu.
  • Odeberte klíče, přihlašovací údaje a tajné kódy z kódu a skriptů používaných v úlohách pracovních postupů CI/CD a uchovávejte je v úložišti klíčů nebo v Azure Key Vault.
  • Pokud používáte agenty sestavení/nasazení v místním prostředí, postupujte podle kontrolních mechanismů srovnávacích testů Microsoft Cloud Security, včetně zabezpečení sítě, správy stavu a ohrožení zabezpečení a zabezpečení koncových bodů, abyste zabezpečili své prostředí.

Poznámka: Informace o použití služeb, jako jsou Azure Monitor a Microsoft Sentinel, k povolení zásad správného řízení, dodržování předpisů, provozního auditování a auditování rizik pro vaši infrastrukturu DevOps najdete v částech Protokolování a detekce hrozeb, DS-7 a Správa stavu a ohrožení zabezpečení.

Implementace Azure a další kontext:

Pokyny pro AWS: V rámci použití srovnávacího testu Microsoft Cloud Security na bezpečnostní prvky vaší infrastruktury DevOps, jako jsou GitHub, CodeCommit, CodeArtifact, CodePipeline, CodeBuild a CodeDeploy, upřednostněte následující ovládací prvky:

  • Pokud chcete zabezpečit prostředí DevOps v AWS, projděte si tyto doprovodné materiály a pilíř zabezpečení dobře navržená architektura AWS.
  • Chraňte artefakty a podkladovou podpůrnou infrastrukturu, abyste zajistili, že se kanály CI/CD nebudou stát cestou k vložení škodlivého kódu.
  • Ujistěte se, že je infrastruktura DevOps nasazená a trvale udržovaná napříč vývojovými projekty. Sledujte dodržování předpisů vaší infrastruktury DevOps ve velkém měřítku pomocí konfigurace AWS nebo vlastního řešení pro kontrolu dodržování předpisů.
  • Pomocí CodeArtifact můžete bezpečně ukládat a sdílet softwarové balíčky používané pro vývoj aplikací. CodeArtifact můžete používat s oblíbenými nástroji sestavení a správci balíčků, jako jsou Maven, Gradle, npm, yarn, pip a twine.
  • Nakonfigurujte oprávnění identita/role a zásady oprávnění v AWS IAM, nativních službách a nástrojích CI/CD ve vašem kanálu, abyste zajistili, že změny v kanálech budou autorizované.
  • Odeberte klíče, přihlašovací údaje a tajné kódy z kódu a skriptů používaných v úlohách pracovních postupů CI/CD a uchovávejte je v úložišti klíčů nebo v AWS KMS.
  • Pokud používáte agenty sestavení/nasazení v místním prostředí, postupujte podle kontrolních mechanismů srovnávacích testů Microsoft Cloud Security, včetně zabezpečení sítě, správy stavu a ohrožení zabezpečení a zabezpečení koncových bodů, abyste zabezpečili své prostředí. Ke kontrole ohrožení zabezpečení v prostředí EC2 nebo kontejnerizovaném prostředí jako prostředí sestavení použijte nástroj AWS Inspector.

Poznámka: Pokud chcete pro vaši infrastrukturu DevOps používat služby, jako jsou AWS CloudTrail, CloudWatch a Microsoft Sentinel, projděte si oddíly Protokolování a detekce hrozeb, DS-7 a stav a správa ohrožení zabezpečení.

Implementace AWS a další kontext:

Pokyny ke GCP: V rámci použití srovnávacího testu Microsoft Cloud Security na ovládací prvky zabezpečení infrastruktury DevOps určete prioritu následujících ovládacích prvků:

  • Chraňte artefakty a podkladové prostředí, abyste zajistili, že se kanály CI/CD nebudou stát cestou k vložení škodlivého kódu. Zkontrolujte například kanál CI/CD a identifikujte případné chybné konfigurace ve službách, jako jsou Google Cloud Build, Cloud Deploy, Artifact Registry, Connections a Build Agent, a identifikujte případné chybné konfigurace, jako je otevřený přístup, slabé ověřování, nezabezpečené nastavení připojení atd. Pro GitHub použijte k zabezpečení úrovní oprávnění organizace podobné ovládací prvky.
  • Ujistěte se, že je infrastruktura DevOps nasazená konzistentně napříč vývojovými projekty. Sledujte dodržování předpisů vaší infrastruktury DevOps ve velkém měřítku pomocí služby Google Cloud Security Command Center (jako je řídicí panel dodržování předpisů, zásady organizace, záznam o jednotlivých hrozbách a identifikace chybných konfigurací) nebo vlastní nástroje pro monitorování dodržování předpisů.
  • Nakonfigurujte oprávnění identita/role a zásady nároků v cloudových identitách, nativních službách AD a nástrojích CI/CD ve vašem kanálu, abyste zajistili, že změny v kanálech budou autorizované.
  • Vyhněte se poskytování trvalého "trvalého" privilegovaného přístupu k lidským účtům, jako jsou vývojáři nebo testeři, pomocí funkcí, jako jsou google spravované identifikace.
  • Odeberte klíče, přihlašovací údaje a tajné kódy z kódu a skriptů používaných v úlohách pracovních postupů CI/CD a uchovávejte je v úložišti klíčů nebo v Google Secret Manageru.
  • Pokud používáte agenty sestavení/nasazení v místním prostředí, postupujte podle kontrolních mechanismů srovnávacích testů Microsoft Cloud Security, včetně zabezpečení sítě, správy stavu a ohrožení zabezpečení a zabezpečení koncových bodů, abyste zabezpečili své prostředí.

Poznámka: Pokud chcete pro infrastrukturu DevOps používat služby, jako jsou Azure Monitor a Microsoft Sentinel nebo Sada operací Google Cloud a Chronicle SIEM a SOAR, projděte si části Protokolování a detekce hrozeb, DS-7 a Správa stavu a ohrožení zabezpečení.

Implementace GCP a další kontext:

Účastníci zabezpečení zákazníků (další informace) :

DS-4: Integrace testování zabezpečení statických aplikací do kanálu DevOps

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID(s) ID PCI-DSS verze 3.2.1
16.12 SA-11 6.3, 6.5

Princip zabezpečení: Ujistěte se, že součástí ovládacích prvků v pracovním postupu CI/CD jsou fuzzy testování zabezpečení statických aplikací (SAST), interaktivní testování a testování mobilních aplikací. Postup je možné nastavit na základě výsledků testování, aby se zabránilo potvrzení ohrožených balíčků do úložiště, sestavení do balíčků nebo nasazení do produkčního prostředí.

Pokyny pro Azure: Integrace SAST do kanálu (například do infrastruktury jako šablony kódu), aby bylo možné zdrojový kód automaticky zkontrolovat v pracovním postupu CI/CD. Azure DevOps Pipeline nebo GitHub mohou do pracovního postupu integrovat následující nástroje a nástroje SAST třetích stran.

  • GitHub CodeQL pro analýzu zdrojového kódu.
  • Binární analýza Microsoft BinSkim pro Windows a binární analýza *nix.
  • Kontrola přihlašovacích údajů Azure DevOps (rozšíření Microsoft Security DevOps) a nativní kontrola tajných kódů GitHubu pro kontrolu přihlašovacích údajů ve zdrojovém kódu.

Implementace Azure a další kontext:

Pokyny pro AWS: Integrujte SAST do kanálu, aby se zdrojový kód mohl automaticky kontrolovat v pracovním postupu CI/CD.

Pokud používáte AWS CodeCommit, použijte AWS CodeGuru Reviewer pro analýzu zdrojového kódu v Pythonu a Javě. AWS Codepipeline může také podporovat integraci nástrojů SAST třetí části do kanálu nasazení kódu.

Pokud používáte GitHub, můžete do pracovního postupu integrovat následující nástroje a nástroje SAST třetích stran.

  • GitHub CodeQL pro analýzu zdrojového kódu.
  • Binární analýza Microsoft BinSkim pro Windows a binární analýza *nix.
  • Nativní prohledávání tajných kódů GitHubu pro kontrolu přihlašovacích údajů ve zdrojovém kódu.
  • Kontrolor AWS CodeGuru pro analýzu zdrojového kódu v Pythonu a Javě.

Implementace AWS a další kontext:

Pokyny ke GCP: Integrujte SAST (například Software Delivery Shield nebo Artifact Analysis) do kanálu (např. v infrastruktuře jako šablony kódu), aby bylo možné v pracovním postupu CI/CD automaticky zkontrolovat zdrojový kód.

Služby, jako je cloudové sestavení, nasazení cloudu, registr artefaktů, podporují integraci se štítem pro doručování softwaru a analýzou artefaktů, které můžou skenovat zdrojový kód a další artefakty v pracovním postupu CI/CD.

Implementace GCP a další kontext:

Účastníci zabezpečení zákazníků (další informace):

DS-5: Integrace dynamického testování zabezpečení aplikací do kanálu DevOps

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
16.12 SA-11 6.3, 6.5

Princip zabezpečení: Zajistěte, aby dynamické testování zabezpečení aplikací (DAST) bylo součástí ovládacích prvků v pracovním postupu CI/CD. Nastavení je možné nastavit na základě výsledků testování, aby se zabránilo ohrožení zabezpečení v zabudování do balíčků nebo nasazení do produkčního prostředí.

Pokyny pro Azure: Integrujte DAST do svého kanálu, aby bylo možné aplikaci runtime automaticky testovat v sadě pracovních postupů CI/CD v Azure DevOps nebo GitHubu. Součástí DAST by mělo být také automatizované penetrační testování (s ručním ověřováním s asistencí).

Azure DevOps Pipeline nebo GitHub podporuje integraci nástrojů DAST třetích stran do pracovního postupu CI/CD.

Implementace Azure a další kontext:

Pokyny pro AWS: Integrujte DAST do svého kanálu, aby bylo možné aplikaci modulu runtime automaticky testovat v sadě pracovních postupů CI/CD v AWS CodePipeline nebo Na GitHubu. Součástí DAST by mělo být také automatizované penetrační testování (s ručním ověřováním s asistencí).

AWS CodePipeline nebo GitHub podporuje integraci nástrojů DAST třetích stran do pracovního postupu CI/CD.

Implementace AWS a další kontext:

Pokyny ke GCP: Integrujte do svého kanálu DAST (například Cloud Web Security Scanner), aby bylo možné aplikaci runtime automaticky testovat v sadě pracovních postupů CI/CD ve službách, jako je Google Cloud Build, Cloud Deploy nebo GitHub. Cloud Web Security Scanner se dá použít k identifikaci ohrožení zabezpečení ve webových aplikacích úloh hostovaných ve službě App Engine, Google Kubernetes Engine (GKE) a Compute Engine. Součástí DAST by mělo být také automatizované penetrační testování (s ručním ověřováním s asistencí).

Google Cloud Build, Google Cloud Deploy, Artifact Registry a GitHub také podporují integraci nástrojů DAST třetích stran do pracovního postupu CI/CD.

Implementace GCP a další kontext:

Účastníci zabezpečení zákazníků (další informace):

DS-6: Vynucování zabezpečení úloh během celého životního cyklu DevOps

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
7.5, 7.6, 7.7, 16.1, 16.7 CM-2, CM-6, AC-2, AC-3, AC-6 6.1, 6.2, 6.3

Princip zabezpečení: Zajistěte, aby úloha byla zabezpečená po celou dobu životního cyklu ve fázi vývoje, testování a nasazení. Pomocí srovnávacího testu Microsoft Cloud Security vyhodnoťte kontrolní mechanismy (jako je zabezpečení sítě, správa identit, privilegovaný přístup atd.), které je možné ve výchozím nastavení nastavit jako mantinely nebo se posunout doleva před fází nasazení. Zejména se ujistěte, že v procesu DevOps jsou k dispozici následující ovládací prvky: Automatizace nasazení pomocí nástrojů Azure nebo třetích stran v pracovním postupu CI/CD, správa infrastruktury (infrastruktura jako kód) a testování, aby se snížila možnost lidské chyby a prostor pro útoky.

  • Ujistěte se, že virtuální počítače, image kontejnerů a další artefakty jsou zabezpečené před neoprávněnou manipulací.
  • Prohledávání artefaktů úloh (jinými slovy imagí kontejnerů, závislostí, kontrol SAST a DAST) před nasazením v pracovním postupu CI/CD
  • Nasaďte do produkčního prostředí možnost posouzení ohrožení zabezpečení a detekci hrozeb a tyto funkce používejte nepřetržitě za běhu.

Doprovodné materiály k Azure: Pokyny pro virtuální počítače Azure:

  • Azure Shared Image Gallery můžete použít ke sdílení a řízení přístupu k imagím různými uživateli, instančními objekty nebo skupinami AD v rámci vaší organizace. Pomocí řízení přístupu na základě role v Azure (Azure RBAC) zajistěte, aby k vašim vlastním imagím měli přístup jenom autorizovaní uživatelé.
  • Definujte pro virtuální počítače standardní hodnoty zabezpečené konfigurace, abyste eliminovali nepotřebné přihlašovací údaje, oprávnění a balíčky. Nasaďte a vynucujte standardní hodnoty konfigurace prostřednictvím vlastních imagí, šablon Azure Resource Manager a/nebo Azure Policy konfigurace hosta.

Doprovodné materiály ke službám kontejneru Azure:

  • Pomocí Azure Container Registry (ACR) vytvořte privátní registr kontejnerů, kde je možné prostřednictvím Azure RBAC omezit podrobný přístup, aby ke kontejnerům v privátním registru mohly přistupovat jenom autorizované služby a účty.
  • K posouzení ohrožení zabezpečení imagí v privátním Azure Container Registry použijte Defender pro kontejnery. Kromě toho můžete pomocí nástroje Microsoft Defender for Cloud integrovat kontroly imagí kontejneru jako součást pracovních postupů CI/CD.

V případě bezserverových služeb Azure přijměte podobné kontrolní mechanismy, které zajistí, že se bezpečnostní prvky posunou doleva do fáze před nasazením.

Implementace Azure a další kontext:

Pokyny pro AWS: Ke sdílení a řízení přístupu k imagím různými uživateli a rolemi v rámci organizace použijte Amazon Elastic Container Registry. A pomocí AWS IAM zajistěte, aby k vašim vlastním imagím měli přístup jenom autorizovaní uživatelé.

Definujte standardní hodnoty zabezpečené konfigurace pro image EC2 AMI, abyste eliminovali nepotřebné přihlašovací údaje, oprávnění a balíčky. Nasaďte a vynucujte standardní hodnoty konfigurací prostřednictvím vlastních imagí AMI, šablon CloudFormation a/nebo konfiguračních pravidel AWS.

Pomocí nástroje AWS Inspector můžete kontrolovat ohrožení zabezpečení virtuálních počítačů a kontejnerizovaných prostředí a zabezpečit je před škodlivou manipulací.

V případě bezserverových služeb AWS použijte AWS CodePipeline ve spojení s AWS AppConfig k přijetí podobných ovládacích prvků, které zajistí, že bezpečnostní prvky se před nasazením přesunou doleva do fáze.

Implementace AWS a další kontext:

Pokyny ke GCP: Google Cloud obsahuje ovládací prvky pro ochranu výpočetních prostředků a prostředků kontejneru Google Kubernetes Engine (GKE). Společnost Google zahrnuje chráněný virtuální počítač, který zpevní instance virtuálních počítačů. Poskytuje zabezpečení spouštění, monitoruje integritu a používá virtual Trusted Platform Module (vTPM).

Využijte google cloudovou analýzu artefaktů ke kontrole ohrožení zabezpečení v imagích kontejnerů nebo imagích operačních systémů a dalších typech artefaktů na vyžádání nebo automaticky ve vašich kanálech. Detekce hrozeb kontejneru slouží k nepřetržitému monitorování uvedených imagí uzlů Container-Optimized operačního systému. Služba vyhodnocuje všechny změny a pokusy o vzdálený přístup k detekci útoků za běhu téměř v reálném čase.

Pomocí registru artefaktů můžete nastavit zabezpečené úložiště privátních artefaktů sestavení, abyste si zachovali kontrolu nad tím, kdo může přistupovat k artefaktům, zobrazovat je nebo stahovat k artefaktům s rolemi a oprávněními nativními pro správu registru, a zajistit konzistentní dobu provozu v zabezpečené a spolehlivé infrastruktuře Společnosti Google.

V případě bezserverových služeb GCP přijměte podobné ovládací prvky, abyste zajistili, že kontrolní mechanismy zabezpečení se posunou doleva do fáze před nasazením.

Implementace GCP a další kontext:

Účastníci zabezpečení zákazníků (další informace):

DS-7: Povolení protokolování a monitorování v DevOps

ID ovládacích prvků CIS v8 NIST SP 800-53 r4 ID ID PCI-DSS v3.2.1
8.2, 8.5, 8.9, 8.11 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3, 10.6

Princip zabezpečení: Ujistěte se, že rozsah protokolování a monitorování zahrnuje neprodukční prostředí a prvky pracovního postupu CI/CD používané v DevOps (a všech dalších vývojových procesech). Ohrožení zabezpečení a hrozby, které cílí na tato prostředí, můžou v produkčním prostředí představovat významná rizika, pokud nejsou řádně monitorována. Měly by se také monitorovat události z pracovního postupu sestavení, testování a nasazení CI/CD, aby se zjistily případné odchylky v úlohách pracovního postupu CI/CD.

Pokyny k Azure: Povolte a nakonfigurujte možnosti protokolování auditu v neprodukčním prostředí a prostředí nástrojů CI/CD (jako je Azure DevOps a GitHub) používané v celém procesu DevOps.

Události vygenerované z Azure DevOps a pracovního postupu CI/CD GitHubu, včetně úloh sestavení, testování a nasazení, by se také měly monitorovat, aby bylo možné identifikovat případné neobvyklé výsledky.

Ingestujte výše uvedené protokoly a události do služby Microsoft Sentinel nebo jiných nástrojů SIEM prostřednictvím streamu protokolování nebo rozhraní API, abyste zajistili správné monitorování a třídění incidentů zabezpečení pro zpracování.

Implementace Azure a další kontext:

Pokyny pro AWS: Povolte a nakonfigurujte AWS CloudTrail pro možnosti protokolování auditu v neprodukčním prostředí a prostředí nástrojů CI/CD (například AWS CodePipeline, AWS CodeBuild, AWS CodeDeploy, AWS CodeStar), které se používají v celém procesu DevOps.

Události vygenerované z prostředí AWS CI/CD (například AWS CodePipeline, AWS CodeBuild, AWS CodeDeploy, AWS CodeStar) a pracovního postupu CI/CD GitHubu, včetně úloh sestavení, testování a nasazení, by se měly také monitorovat, aby bylo možné identifikovat případné neobvyklé výsledky.

Ingestujte výše uvedené protokoly a události do AWS CloudWatch, Microsoft Sentinelu nebo jiných nástrojů SIEM prostřednictvím streamu protokolování nebo rozhraní API, abyste zajistili, že jsou incidenty zabezpečení správně monitorované a seříděné pro zpracování.

Implementace AWS a další kontext:

Pokyny GCP: Povolte a nakonfigurujte funkce protokolování auditu v neprodukčním prostředí a v prostředí nástrojů CI/CD pro produkty, jako jsou cloudové sestavení, nasazení cloudu Google, registr artefaktů a GitHub, které je možné používat v průběhu procesu DevOps.

Události vygenerované z prostředí CI/CD GCP (například cloudové sestavení, nasazení google cloudu, registr artefaktů) a pracovního postupu CI/CD GitHubu, včetně úloh sestavení, testování a nasazení, by se měly také monitorovat, aby bylo možné identifikovat případné neobvyklé výsledky.

Ingestujte výše uvedené protokoly a události do služby Microsoft Sentinel, Google Cloud Security Command Center, Chronicle nebo jiných nástrojů SIEM prostřednictvím streamu protokolování nebo rozhraní API, abyste zajistili správné monitorování a třídění bezpečnostních incidentů pro zpracování.

Implementace GCP a další kontext:

Účastníci zabezpečení zákazníků (další informace) :