Biztonságvezérlés: DevOps-biztonság

  • Cikk

A DevOps Security a DevOps-folyamatok biztonsági tervezéséhez és műveleteihez kapcsolódó vezérlőkre terjed ki, beleértve a kritikus biztonsági ellenőrzések (például statikus alkalmazások biztonsági tesztelése, biztonságirés-kezelés) üzembe helyezését az üzembe helyezési fázis előtt a devOps-folyamat biztonságának biztosítása érdekében; Olyan gyakori témákat is tartalmaz, mint a fenyegetésmodellezés és a szoftverellátás biztonsága.

DS-1: Fenyegetésmodellezés végrehajtása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
16.10, 16.14 SA-15 6.5, 12.2

Biztonsági elv: Végezzen fenyegetésmodellezést a lehetséges fenyegetések azonosításához és a mérséklő vezérlők számbavételéhez. Győződjön meg arról, hogy a fenyegetésmodellezés a következő célokra szolgál:

  • Biztonságossá teheti az alkalmazásokat és a szolgáltatásokat az éles üzemidő szakaszában.
  • Biztonságossá teheti az összetevőket, a mögöttes CI/CD-folyamatot és a buildeléshez, teszteléshez és üzembe helyezéshez használt egyéb eszközkörnyezetet. A fenyegetésmodellezésnek legalább a következő szempontokat kell tartalmaznia:
  • Határozza meg az alkalmazás biztonsági követelményeit. Győződjön meg arról, hogy a fenyegetések modellezése megfelelően kezeli ezeket a követelményeket.
  • Elemezheti az alkalmazás összetevőit, az adatkapcsolatokat és azok kapcsolatát. Győződjön meg arról, hogy ez az elemzés az alkalmazás hatókörén kívüli felső és alsóbb rétegbeli kapcsolatokat is magában foglalja.
  • Sorolja fel azokat a lehetséges fenyegetéseket és támadási vektorokat, amelyekkel az alkalmazás összetevői, az adatkapcsolatok, valamint a felsőbb és alsóbb rétegbeli szolgáltatások is szembesülhetnek.
  • Azonosítsa azokat a vonatkozó biztonsági vezérlőket, amelyek a számba vett fenyegetések enyhítésére használhatók, és azonosítsa azokat a vezérlők hiányosságait (például biztonsági réseket), amelyek további kezelési terveket igényelhetnek.
  • Sorolja fel és tervezzen meg olyan vezérlőket, amelyek enyhíthetik az azonosított biztonsági réseket.

Azure-útmutató: A fenyegetésmodellezési folyamat irányításához használjon fenyegetésmodellezési eszközöket, például a Microsoft fenyegetésmodellező eszközt a beágyazott Azure-fenyegetésmodell-sablonnal. A STRIDE modell használatával számbavételezheti a belső és külső fenyegetéseket, és azonosíthatja az alkalmazható vezérlőket. Győződjön meg arról, hogy a fenyegetésmodellezési folyamat tartalmazza a DevOps-folyamat fenyegetési forgatókönyveit, például rosszindulatú kódinjektálást egy nem biztonságos összetevő-adattáron keresztül, helytelen hozzáférés-vezérlési szabályzattal.

Ha nem alkalmazható fenyegetésmodellezési eszköz használata, legalább egy kérdőívalapú fenyegetésmodellezési folyamatot kell használnia a fenyegetések azonosításához.

Győződjön meg arról, hogy a fenyegetésmodellezési vagy -elemzési eredmények akkor vannak rögzítve és frissítve, ha jelentős biztonsági hatással járó változás történik az alkalmazásban vagy a fenyegetési környezetben.

Azure-implementáció és további környezet:

AWS-útmutató: Veszélyforrás-modellezési eszközök, például a Microsoft fenyegetésmodellező eszköze és a beágyazott Azure-fenyegetésmodell-sablon használata a fenyegetésmodellezési folyamat irányításához. A STRIDE modell használatával számbavételezheti a belső és külső fenyegetéseket, és azonosíthatja az alkalmazható vezérlőket. Győződjön meg arról, hogy a fenyegetésmodellezési folyamat tartalmazza a DevOps-folyamat fenyegetési forgatókönyveit, például rosszindulatú kódinjektálást egy nem biztonságos összetevő-adattáron keresztül, helytelen hozzáférés-vezérlési szabályzattal.

Ha nem alkalmazható fenyegetésmodellezési eszköz használata, legalább egy kérdőívalapú fenyegetésmodellezési folyamatot kell használnia a fenyegetések azonosításához.

Győződjön meg arról, hogy a fenyegetésmodellezési vagy -elemzési eredmények akkor vannak rögzítve és frissítve, ha jelentős biztonsági hatással járó változás történik az alkalmazásban vagy a fenyegetési környezetben.

AWS-implementáció és további környezet:

GCP-útmutató: A fenyegetésmodellezési folyamat irányításához használjon fenyegetésmodellezési eszközöket, például a Microsoft fenyegetésmodellező eszközét a beágyazott Azure-fenyegetésmodell-sablonnal. A STRIDE modell használatával számbavételezheti a belső és külső fenyegetéseket, és azonosíthatja az alkalmazható vezérlőket. Győződjön meg arról, hogy a fenyegetésmodellezési folyamat tartalmazza a DevOps-folyamat fenyegetési forgatókönyveit, például rosszindulatú kódinjektálást egy nem biztonságos összetevő-adattáron keresztül, helytelen hozzáférés-vezérlési szabályzattal.

Ha nem alkalmazható fenyegetésmodellezési eszköz használata, legalább egy kérdőívalapú fenyegetésmodellezési folyamatot kell használnia a fenyegetések azonosításához.

Győződjön meg arról, hogy a fenyegetésmodellezési vagy -elemzési eredmények akkor vannak rögzítve és frissítve, ha jelentős biztonsági hatással járó változás történik az alkalmazásban vagy a fenyegetési környezetben.

GCP-implementáció és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

DS-2: A szoftverellátási lánc biztonságának biztosítása

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS ID(k) v3.2.1
16.4, 16.6, 16.11 SA-12, SA-15 6.3, 6.5

Biztonsági elv: Győződjön meg arról, hogy a vállalat SDLC-je (szoftverfejlesztési életciklusa) vagy folyamata tartalmaz egy biztonsági vezérlőkészletet, amely szabályozza azokat a belső és külső szoftverösszetevőket (beleértve a saját és a nyílt forráskódú szoftvereket is), amelyekben az alkalmazások függőségekkel rendelkeznek. A sebezhető vagy rosszindulatú összetevők környezetbe való integrálásának és üzembe helyezésének megakadályozása érdekében határozzon meg gating kritériumokat.

A szoftverellátási lánc biztonsági vezérlőinek legalább a következő szempontokat kell tartalmazniuk:

  • A szoftveres anyagjegyzék (SBOM) megfelelő kezelése a szolgáltatás-/erőforrás-fejlesztési, buildelési, integrációs és üzembehelyezési fázishoz szükséges felsőbb rétegbeli függőségek azonosításával.
  • Leltározhatja és nyomon követheti a belső és külső gyártótól származó szoftverösszetevőket az ismert biztonsági rések esetén, ha a felsőbb rétegben elérhető egy javítás.
  • A szoftverösszetevők biztonsági réseinek és kártevőinek felmérése statikus és dinamikus alkalmazástesztekkel ismeretlen biztonsági rések esetén.
  • Győződjön meg arról, hogy a biztonsági rések és a kártevők a megfelelő megközelítéssel elháríthatók. Ide tartozhat a forráskód helyi vagy felsőbb rétegbeli javítása, a funkciók kizárása és/vagy kompenzáló vezérlők alkalmazása, ha a közvetlen kockázatcsökkentés nem érhető el.

Ha az éles környezetben zárt forrású külső összetevőket használnak, előfordulhat, hogy a biztonsági helyzetük korlátozott. Érdemes megfontolnia további vezérlőket, például a hozzáférés-vezérlést, a hálózatelkülönítést és a végpontbiztonságot, hogy minimalizálja a hatást, ha rosszindulatú tevékenység vagy biztonsági rés van társítva az összetevőhöz.

Azure-útmutató: A GitHub platformon a következő képességekkel vagy eszközökkel biztosíthatja a szoftverellátási lánc biztonságát GitHub Advanced Security vagy a GitHub natív funkciójából: – A Dependency Graph használatával beolvashatja, leltározza és azonosíthatja a projekt függőségeit és a kapcsolódó biztonsági réseket az Advisory Database használatával.

  • A Dependabot használatával gondoskodhat arról, hogy a sebezhető függőség nyomon legyen követve és orvosolva legyen, és gondoskodjon arról, hogy az adattár automatikusan lépést tartson azoknak a csomagoknak és alkalmazásoknak a legújabb kiadásaival, amelyektől függ.
  • A GitHub natív kódvizsgálati funkciójának használatával beolvashatja a forráskódot a kód külső beszerzésekor.
  • A Microsoft Defender for Cloud használatával integrálhatja a tárolórendszerkép sebezhetőségi felmérését a CI/CD-munkafolyamatba. Az Azure DevOps esetében külső bővítmények használatával hasonló vezérlőket implementálhat a külső szoftverösszetevők és azok biztonsági réseinek leltározásához, elemzéséhez és javításához.

Azure-implementáció és további környezet:

AWS-útmutató: Ha AWS CI-/CD-platformokat használ, például a CodeCommit vagy a CodePipeline platformot, győződjön meg arról, hogy a szoftver ellátási láncának biztonsága a CodeGuru Reviewer használatával történik a forráskód (Java és Python esetén) CI/CD-munkafolyamatokon keresztüli vizsgálatához. Az olyan platformok, mint a CodeCommit és a CodePipeline, szintén támogatják a külső bővítményeket a külső szoftverösszetevők és azok biztonsági réseinek leltározásához, elemzéséhez és elhárításához hasonló vezérlők implementálásához.

Ha a forráskódot a GitHub platformon keresztül kezeli, gondoskodjon a szoftverellátási lánc biztonságáról a következő képességekkel vagy eszközökkel GitHub Advanced Security vagy a GitHub natív funkciójából:

  • Használja a Dependency Graphot a projekt függőségeinek és kapcsolódó biztonsági réseinek vizsgálatához, leltározásához és azonosításához a Tanácsadói adatbázison keresztül.
  • A Dependabot használatával gondoskodhat arról, hogy a sebezhető függőség nyomon legyen követve és orvosolva legyen, és gondoskodjon arról, hogy az adattár automatikusan lépést tartson azoknak a csomagoknak és alkalmazásoknak a legújabb kiadásaival, amelyektől függ.
  • A GitHub natív kódvizsgálati funkciójának használatával beolvashatja a forráskódot a kód külső beszerzésekor.
  • Ha lehetséges, a Microsoft Defender for Cloud használatával integrálhatja a tárolórendszerkép sebezhetőségi felmérését a CI/CD munkafolyamatba.

AWS-implementáció és további környezet:

GCP-útmutató: A Szoftverkézbesítési pajzs használata a szoftverellátási lánc teljes körű biztonsági elemzéséhez. Ez magában foglalja az Biztos OSS (nyílt forráskódú szoftver) szolgáltatást a hozzáféréshez, és magában foglalja a Google által ellenőrzött és tesztelt OSS-csomagokat, valamint a Google biztonságos folyamatait használó ellenőrzött Java- és Python-csomagokat. Ezeket a csomagokat rendszeresen ellenőrzik, elemzik és tesztelik a biztonsági réseket. Az ilyen képességek integrálhatók a Google Cloud Build, a Cloud Deploy, az Artifact Registry és az Artifact Analysis szolgáltatásba a CI/CD-munkafolyamatok részeként.

Ha a forráskódot a GitHub platformon keresztül kezeli, gondoskodjon a szoftverellátási lánc biztonságáról a következő képességekkel vagy eszközökkel GitHub Advanced Security vagy a GitHub natív funkciójából:

  • Használja a Dependency Graphot a projekt függőségeinek és kapcsolódó biztonsági réseinek vizsgálatához, leltározásához és azonosításához a Tanácsadói adatbázison keresztül.
  • A Dependabot használatával gondoskodhat arról, hogy a sebezhető függőség nyomon legyen követve és orvosolva legyen, és gondoskodjon arról, hogy az adattár automatikusan lépést tartson azoknak a csomagoknak és alkalmazásoknak a legújabb kiadásaival, amelyektől függ.
  • A GitHub natív kódvizsgálati funkciójának használatával beolvashatja a forráskódot a kód külső beszerzésekor.
  • Ha lehetséges, a Microsoft Defender for Cloud használatával integrálhatja a tárolórendszerkép sebezhetőségi felmérését a CI/CD munkafolyamatba.

GCP implementálása és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

DS-3: Biztonságos DevOps-infrastruktúra

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS-azonosító(k) v3.2.1
16.7 CM-2, CM-6, AC-2, AC-3, AC-6 2.2, 6.3, 7.1

Biztonsági elv: Győződjön meg arról, hogy a DevOps-infrastruktúra és -folyamat a környezetek biztonsági ajánlott eljárásait követi, beleértve a buildelési, tesztelési és éles fázisokat is. Ez általában a következő hatókörhöz tartozó biztonsági vezérlőket tartalmazza:

  • Forráskódot, beépített csomagokat és rendszerképeket, projektösszetevőket és üzleti adatokat tároló összetevő-adattárak.
  • CI/CD-folyamatokat üzemeltető kiszolgálók, szolgáltatások és eszközök.
  • CI-/CD-folyamatkonfiguráció.

Azure-útmutató: A Microsoft Cloud Security Benchmark devOps-infrastruktúra biztonsági vezérlőire való alkalmazásának részeként rangsorolja a következő vezérlőket:

  • Védje az összetevőket és a mögöttes környezetet, hogy a CI/CD-folyamatok ne legyenek rosszindulatú kód beszúrására szolgáló lehetőségek. Tekintse át például a CI/CD-folyamatot, és azonosítsa az Azure DevOps alapvető területeinek helytelen konfigurációit, például a Szervezet, a Projektek, a Felhasználók, a Folyamatok (build & kiadás), a Connections és a Build Agent szolgáltatást az olyan helytelen konfigurációk azonosításához, mint a nyílt hozzáférés, a gyenge hitelesítés, a nem biztonságos kapcsolat beállítása stb. A GitHubhoz hasonló vezérlőkkel biztosíthatja a Szervezeti jogosultsági szinteket.
  • Győződjön meg arról, hogy a DevOps-infrastruktúra folyamatosan üzembe van helyezve a fejlesztési projektekben. A DevOps-infrastruktúra megfelelőségének nyomon követése a felhőhöz készült Microsoft Defender (például megfelelőségi irányítópult, Azure Policy, Cloud Posture Management) vagy a saját megfelelőségi monitorozási eszközeinek használatával.
  • Konfigurálja az identitás-/szerepkör-engedélyeket és jogosultsági szabályzatokat a folyamat Azure AD, natív szolgáltatásaiban és CI/CD-eszközeiben, hogy a folyamatok módosításai engedélyezve legyenek.
  • Ne biztosítson állandó "állandó" emelt szintű hozzáférést az emberi fiókokhoz, például fejlesztőkhöz vagy tesztelőkhöz olyan funkciók használatával, mint az Azure által felügyelt azonosítók és az igény szerinti hozzáférés.
  • Távolítsa el a kulcsokat, a hitelesítő adatokat és a titkos kulcsokat a CI/CD-munkafolyamat-feladatokban használt kódból és szkriptekből, és tartsa őket egy kulcstárolóban vagy az Azure Key Vault.
  • Ha saját üzemeltetésű buildelési/üzembehelyezési ügynököket futtat, kövesse a Microsoft Cloud Security Benchmark vezérlőinek (például a hálózati biztonság, a testtartás és a sebezhetőség kezelése, valamint a végpontbiztonság) követését a környezet védelméhez.

Megjegyzés: Tekintse meg a naplózás és fenyegetésészlelés, a DS-7 és a Helyzet- és sebezhetőség-kezelés szakaszt, hogy olyan szolgáltatásokat használjon, mint az Azure Monitor és a Microsoft Sentinel a DevOps-infrastruktúra szabályozásának, megfelelőségének, működési naplózásának és kockázatnaplózásának engedélyezéséhez.

Azure-implementáció és további környezet:

AWS-útmutató: A Microsoft Cloud Security Benchmark alkalmazásának részeként a DevOps-infrastruktúra biztonsági vezérlőire, például a GitHubra, a CodeCommitra, a CodeArtifactra, a CodePipeline-ra, a CodeBuildre és a CodeDeploy-ra, rangsorolja a következő vezérlőket:

  • Tekintse meg ezt az útmutatót és az AWS jól felépítésű keretrendszer biztonsági pillérét a DevOps-környezetek AWS-ben való védelméhez.
  • Védje az összetevőket és a mögöttes támogató infrastruktúrát annak érdekében, hogy a CI/CD-folyamatok ne legyenek rosszindulatú kódok beszúrásának útjai.
  • Győződjön meg arról, hogy a DevOps-infrastruktúra üzembe helyezése és fenntartása folyamatosan történik a fejlesztési projektekben. A DevOps-infrastruktúra megfelelőségének nagy léptékű nyomon követése az AWS Config vagy a saját megfelelőségi ellenőrző megoldás használatával.
  • A CodeArtifact használatával biztonságosan tárolhatja és megoszthatja az alkalmazásfejlesztéshez használt szoftvercsomagokat. A CodeArtifact olyan népszerű buildelési eszközökkel és csomagkezelőkkel használható, mint a Maven, a Gradle, az npm, a yarn, a pip és a twine.
  • Konfigurálja az identitás-/szerepkör-engedélyeket és engedélyházirendeket az AWS IAM-ben, a natív szolgáltatásokban és a folyamatban lévő CI/CD-eszközökben, hogy a folyamatok módosításai engedélyezve legyenek.
  • Kulcsok, hitelesítő adatok és titkos kódok eltávolítása a CI/CD-munkafolyamat-feladatokban használt kódból és szkriptekből, és kulcstárolóban vagy AWS KMS-ben tárolva
  • Ha saját üzemeltetésű buildelési/üzembehelyezési ügynököket futtat, kövesse a Microsoft Cloud Security Benchmark vezérlőinek (például a hálózati biztonság, a testtartás és a sebezhetőség kezelése, valamint a végpontbiztonság) követését a környezet védelméhez. Az AWS Inspector használatával biztonsági réseket kereshet az EC2-ben vagy tárolóalapú környezetben buildkörnyezetként.

Megjegyzés: Tekintse meg a Naplózás és fenyegetésészlelés, a DS-7, valamint a és a Helyzet- és sebezhetőség-kezelés szakaszt, amelyek olyan szolgáltatások használatát teszik lehetővé, mint az AWS CloudTrail, a CloudWatch és a Microsoft Sentinel, amelyek lehetővé teszik a devOps-infrastruktúra szabályozását, megfelelőségét, működési naplózását és kockázatnaplózását.

AWS-implementáció és további környezet:

GCP-útmutató: A Microsoft Cloud Security Benchmark devOps-infrastruktúra biztonsági vezérlőire való alkalmazásának részeként rangsorolja a következő vezérlőket:

  • Védje az összetevőket és a mögöttes környezetet, hogy a CI/CD-folyamatok ne legyenek rosszindulatú kód beszúrására szolgáló lehetőségek. Például tekintse át a CI/CD-folyamatot, és azonosítsa az olyan szolgáltatások helytelen konfigurációit, mint a Google Cloud Build, a Cloud Deploy, az Artifact Registry, a Connections és a Build Agent, hogy azonosítsa az esetleges helytelen konfigurációkat, például a nyílt hozzáférést, a gyenge hitelesítést, a nem biztonságos kapcsolatbeállítást stb. A GitHubhoz hasonló vezérlőkkel biztosíthatja a Szervezeti jogosultsági szinteket.
  • Győződjön meg arról, hogy a DevOps-infrastruktúra folyamatosan üzembe van helyezve a fejlesztési projektekben. A DevOps-infrastruktúra megfelelőségének nagy léptékű nyomon követéséhez használja a Google Cloud Security Command Centert (például megfelelőségi irányítópult, szervezeti szabályzat, az egyéni fenyegetések rögzítése és a helytelen konfigurációk azonosítása) vagy a saját megfelelőségi monitorozási eszközeit.
  • Konfiguráljon identitás-/szerepkör-engedélyeket és jogosultsági szabályzatokat a natív Cloud Identity/AD-szolgáltatásokban, valamint a folyamatban lévő CI/CD-eszközöket, hogy a folyamatok módosításai engedélyezve legyenek.
  • Ne biztosítson állandó "állandó" emelt szintű hozzáférést az emberi fiókokhoz, például fejlesztőkhöz vagy tesztelőkhöz olyan funkciók használatával, mint a Google által felügyelt azonosítók.
  • Távolítsa el a kulcsokat, a hitelesítő adatokat és a titkos kulcsokat a CI/CD munkafolyamat-feladatokban használt kódokból és szkriptekből, és tartsa őket egy kulcstárolóban vagy a Google Secret Managerben.
  • Ha saját üzemeltetésű buildelési/üzembehelyezési ügynököket futtat, kövesse a Microsoft Cloud Security Benchmark vezérlőinek (például a hálózati biztonság, a testtartás és a sebezhetőség kezelése, valamint a végpontbiztonság) követését a környezet védelméhez.

Megjegyzés: Tekintse meg a Naplózás és fenyegetésészlelés, a DS-7 és a Testure and Vulnerability Management szakaszt olyan szolgáltatások használatához, mint az Azure Monitor és a Microsoft Sentinel vagy a Google Cloud üzemeltetési csomagja, valamint a Chronicle SIEM és a SOAR, amelyek lehetővé teszik a devOps-infrastruktúra szabályozását, megfelelőségét, működési naplózását és kockázatnaplózását.

GCP implementálása és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

DS-4: Statikus alkalmazásbiztonsági tesztelés integrálása a DevOps-folyamatba

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS-azonosító(k) v3.2.1
16.12 SA-11 6.3, 6.5

Biztonsági elv: A statikus alkalmazások biztonsági tesztelésének (SAST) intelligens tesztelése, az interaktív tesztelés, a mobilalkalmazás-tesztelés a CI/CD-munkafolyamatban a gating vezérlők része. A gating a tesztelési eredmények alapján állítható be, hogy a sebezhető csomagok ne legyenek véglegesítve az adattárba, a csomagokba építkezhessenek, vagy üzembe helyezzék őket az éles környezetben.

Azure-útmutató: Integrálja az SAST-t a folyamatba (például az infrastruktúrában kódsablonként), hogy a forráskód automatikusan beolvasható legyen a CI/CD-munkafolyamatban. Az Azure DevOps Pipeline vagy a GitHub az alábbi eszközöket és külső SAST-eszközöket integrálhatja a munkafolyamatba.

  • GitHub CodeQL forráskódelemzéshez.
  • Microsoft BinSkim Binary Analyzer for Windows és *nix bináris elemzés.
  • Az Azure DevOps Credential Scanner (Microsoft Security DevOps-bővítmény) és a GitHub natív titkos kódvizsgálata a forráskódban lévő hitelesítő adatok vizsgálatához.

Azure-implementáció és további környezet:

AWS-útmutató: Integrálja az SAST-t a folyamatba, hogy a forráskód automatikusan beolvasható legyen a CI/CD-munkafolyamatban.

Az AWS CodeCommit használata esetén használja az AWS CodeGuru reviewer for Python és Java forráskódelemzést. Az AWS Codepipeline támogatja a harmadik részből álló SAST-eszközök integrálását a kódterjesztési folyamatba.

A GitHub használata esetén az alábbi eszközök és külső SAST-eszközök integrálhatók a munkafolyamatba.

  • GitHub CodeQL forráskódelemzéshez.
  • Microsoft BinSkim Binary Analyzer for Windows és *nix bináris elemzés.
  • A GitHub natív titkos kódjának vizsgálata a forráskódban lévő hitelesítő adatok vizsgálatához.
  • AWS CodeGuru reviewer for Python and Java source code analysis.

AWS-implementáció és további környezet:

GCP-útmutató: Integrálja az SAST-t (például a Szoftverkézbesítési pajzsot, az Artifact Analysist) a folyamatba (például az infrastruktúrában kódsablonként), hogy a forráskód automatikusan beolvasható legyen a CI/CD-munkafolyamatban.

Az olyan szolgáltatások, mint a Cloud Build, a Cloud Deploy, az Artifact Registry, támogatják a Szoftverkézbesítési pajzs és az Artifact Analysis integrációját, amely képes a CI/CD-munkafolyamat forráskódjának és egyéb összetevőinek vizsgálatára.

GCP implementálása és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

DS-5: Dinamikus alkalmazásbiztonsági tesztelés integrálása a DevOps-folyamatba

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS-azonosító(k) v3.2.1
16.12 SA-11 6.3, 6.5

Biztonsági elv: Győződjön meg arról, hogy a dinamikus alkalmazásbiztonsági tesztelés (DAST) része a CI/CD munkafolyamatban található szabályozási vezérlőknek. A letiltás a tesztelési eredmények alapján állítható be, hogy a biztonsági rés ne legyen beépítve a csomagokba, vagy üzembe helyezhető az éles környezetben.

Azure-útmutató: Integrálja a DAST-ot a folyamatba, hogy a futtatókörnyezeti alkalmazás automatikusan tesztelhető legyen az Azure DevOpsban vagy a GitHubon beállított CI/CD-munkafolyamatban. Az automatizált behatolástesztnek (manuális, támogatott ellenőrzéssel) szintén a DAST részét kell képeznie.

Az Azure DevOps Pipeline vagy a GitHub támogatja a külső DAST-eszközök integrálását a CI/CD munkafolyamatba.

Azure-implementáció és további környezet:

AWS-útmutató: Integrálja a DAST-ot a folyamatba, hogy a futtatókörnyezeti alkalmazás automatikusan tesztelhető legyen az AWS CodePipeline-ban vagy a GitHubon beállított CI/CD-munkafolyamatban. Az automatizált behatolástesztnek (manuális, támogatott ellenőrzéssel) szintén a DAST részét kell képeznie.

Az AWS CodePipeline vagy a GitHub támogatja a külső DAST-eszközök integrálását a CI/CD munkafolyamatba.

AWS-implementáció és további környezet:

GCP-útmutató: Integrálja a DAST-ot (például a Cloud Web Security Scannert) a folyamatba, hogy a futtatókörnyezeti alkalmazás automatikusan tesztelhető legyen a CI/CD munkafolyamat-készletében olyan szolgáltatásokban, mint a Google Cloud Build, a Cloud Deploy vagy a GitHub. A Cloud Web Security Scanner segítségével azonosíthatja az App Engine, a Google Kubernetes Engine (GKE) és a Compute Engine által üzemeltetett számítási feladatok webalkalmazásainak biztonsági réseit. Az automatizált behatolástesztnek (manuális, támogatott ellenőrzéssel) szintén a DAST részét kell képeznie.

A Google Cloud Build, a Google Cloud Deploy, az Artifact Registry és a GitHub is támogatja a külső DAST-eszközök integrálását a CI/CD-munkafolyamatba.

GCP implementálása és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

DS-6: A számítási feladatok biztonságának kikényszerítése a DevOps teljes életciklusában

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS-azonosító(k) v3.2.1
7.5, 7.6, 7.7, 16.1, 16.7 CM-2, CM-6, AC-2, AC-3, AC-6 6.1, 6.2, 6.3

Biztonsági elv: Győződjön meg arról, hogy a számítási feladat a fejlesztési, tesztelési és üzembehelyezési szakaszban a teljes életciklus során biztonságban van. A Microsoft Cloud Security Benchmark használatával kiértékelheti azokat a vezérlőket (például a hálózati biztonságot, az identitáskezelést, a kiemelt hozzáféréseket stb.), amelyek alapértelmezés szerint védőkorlátként állíthatók be, vagy az üzembe helyezési fázis előtt balra válthatnak. Különösen győződjön meg arról, hogy a következő vezérlők vannak érvényben a DevOps-folyamatban: – Automatizálja az üzembe helyezést az Azure-beli vagy harmadik féltől származó eszközökkel a CI/CD munkafolyamatban, az infrastruktúra-kezelésben (kódként használt infrastruktúra), valamint az emberi hibák és a támadási felület csökkentése érdekében végzett teszteléssel.

  • Győződjön meg arról, hogy a virtuális gépek, a tárolórendszerképek és más összetevők biztonságban vannak a rosszindulatú manipulációktól.
  • Vizsgálja meg a számítási feladat összetevőit (más szóval tárolórendszerképeket, függőségeket, SAST- és DAST-vizsgálatokat) a CI/CD-munkafolyamatban való üzembe helyezés előtt
  • Telepítse a sebezhetőségi felmérési és fenyegetésészlelési képességet az éles környezetben, és folyamatosan használja ezeket a képességeket futásidőben.

Azure-útmutató: Útmutató Azure-beli virtuális gépekhez:

  • Az Azure Shared Image Gallery használatával megoszthatja és szabályozhatja a rendszerképekhez való hozzáférést a szervezeten belüli különböző felhasználók, szolgáltatásnevek vagy AD-csoportok számára. Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával biztosíthatja, hogy csak a jogosult felhasználók férhessenek hozzá az egyéni rendszerképekhez.
  • Határozza meg a virtuális gépek biztonságos konfigurációs alapkonfigurációit a szükségtelen hitelesítő adatok, engedélyek és csomagok kiküszöbölése érdekében. A konfigurációs alapkonfigurációkat egyéni rendszerképek, Azure Resource Manager sablonok és/vagy Azure Policy vendégkonfiguráció segítségével helyezheti üzembe és kényszerítheti.

Útmutató az Azure-tárolószolgáltatásokhoz:

  • A Azure Container Registry (ACR) használatával hozza létre a privát tárolóregisztrációs adatbázist, ahol a részletes hozzáférés az Azure RBAC-n keresztül korlátozható, így csak a jogosult szolgáltatások és fiókok férhetnek hozzá a privát beállításjegyzékben található tárolókhoz.
  • A Defender for Containers használatával felmérheti a privát Azure Container Registry lévő rendszerképeket. Emellett a Microsoft Defender for Cloud használatával integrálhatja a tárolórendszerkép-vizsgálatokat a CI/CD-munkafolyamatok részeként.

A kiszolgáló nélküli Azure-szolgáltatások esetében hasonló vezérlőket kell alkalmazni, hogy a biztonsági vezérlők az üzembe helyezés előtt "balra" lépjenek a fázisba.

Azure-implementáció és további környezet:

AWS-útmutató: Az Amazon Elastic Container Registry használatával megoszthatja és szabályozhatja a rendszerképekhez való hozzáférést a szervezet különböző felhasználói és szerepkörei számára. Az AWS IAM használatával biztosíthatja, hogy csak a jogosult felhasználók férhessenek hozzá az egyéni rendszerképekhez.

Határozza meg az EC2 AMI-rendszerképek biztonságos konfigurációs alapkonfigurációit a szükségtelen hitelesítő adatok, engedélyek és csomagok kiküszöbölése érdekében. Konfigurációk alapkonfigurációinak üzembe helyezése és kényszerítése egyéni AMI-rendszerképek, CloudFormation-sablonok és/vagy AWS-konfigurációs szabályok használatával.

Használja az AWS Inspectort a virtuális gépek és a tárolóalapú környezetek biztonsági réseinek vizsgálatához, így biztosítva őket a rosszindulatú manipulációktól.

Kiszolgáló nélküli AWS-szolgáltatások esetén az AWS CodePipeline és az AWS AppConfig együttes használatával hasonló vezérlőket alkalmazhat, hogy a biztonsági vezérlők az üzembe helyezés előtt "balra tolódnak" a fázisra.

AWS-implementáció és további környezet:

GCP-útmutató: A Google Cloud a számítási erőforrások és a Google Kubernetes Engine (GKE) tárolóerőforrásainak védelmét szolgáló vezérlőket tartalmaz. A Google tartalmaz védett virtuális gépet, amely megkeményíti a virtuálisgép-példányokat. Rendszerindítási biztonságot biztosít, figyeli az integritást, és a virtuális platformmodult (vTPM) használja.

Használja a Google Cloud Artifact Analysist a tároló- vagy operációsrendszer-rendszerképek biztonsági réseinek, valamint az igény szerinti vagy automatikusan a folyamatokban található egyéb típusú összetevők biztonsági réseinek vizsgálatához. A Tárolófenyegetés-észlelés használatával folyamatosan monitorozhatja az operációsrendszer-csomópontok Container-Optimized megadott lemezképét. A szolgáltatás kiértékeli az összes olyan módosítást és távelérési kísérletet, amely közel valós időben észleli a futtatókörnyezeti támadásokat.

Az Artifact Registry használatával biztonságos, privát buildelt összetevőtárolót állíthat be, így szabályozhatja, hogy ki férhet hozzá, tekinthet meg vagy tölthet le összetevőket a beállításjegyzék natív IAM-szerepköreivel és engedélyeivel, valamint konzisztens üzemidőt biztosíthat a Google biztonságos és megbízható infrastruktúráján.

A kiszolgáló nélküli GCP-szolgáltatások esetében hasonló vezérlőket kell alkalmazni, hogy a biztonsági vezérlők az üzembe helyezés előtt "balra" lépjenek a fázisba.

GCP implementálása és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):

DS-7: Naplózás és figyelés engedélyezése a DevOpsban

CIS-vezérlők v8-azonosító(k) NIST SP 800-53 r4 AZONOSÍTÓ(k) PCI-DSS-azonosító(k) v3.2.1
8.2, 8.5, 8.9, 8.11 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3, 10.6

Biztonsági elv: Győződjön meg arról, hogy a naplózási és monitorozási hatókör tartalmazza a DevOpsban (és bármely más fejlesztési folyamatban) használt nem éles környezeteket és CI/CD-munkafolyamat-elemeket. Az ezeket a környezeteket célzó biztonsági rések és fenyegetések jelentős kockázatokat jelenthetnek az éles környezetben, ha nem figyelik őket megfelelően. A CI/CD buildelési, tesztelési és üzembehelyezési munkafolyamat eseményeit is figyelni kell a CI/CD munkafolyamat-feladatok eltéréseinek azonosítása érdekében.

Azure-útmutató: Az auditnaplózási képességek engedélyezése és konfigurálása nem éles környezetben és CI/CD-eszközkörnyezetekben (például az Azure DevOpsban és a GitHubon) a DevOps-folyamat során.

Az Azure DevOpsból és a GitHub CI/CD-munkafolyamatból létrehozott eseményeket , beleértve a buildelési, tesztelési és üzembehelyezési feladatokat is, figyelni kell az esetleges rendellenes eredmények azonosításához.

A fenti naplók és események betöltése a Microsoft Sentinelbe vagy más SIEM-eszközökbe naplózási adatfolyamon vagy API-n keresztül, hogy a biztonsági incidensek megfelelően legyenek monitorozva és kezelve legyenek.

Azure-implementáció és további környezet:

AWS-útmutató: Az AWS CloudTrail engedélyezése és konfigurálása nem éles és CI/CD-eszközkörnyezetekben (például AWS CodePipeline, AWS CodeBuild, AWS CodeDeploy, AWS CodeStar) használt naplózási képességekhez a DevOps-folyamat során.

Az AWS CI/CD-környezetekből (például AWS CodePipeline, AWS CodeBuild, AWS CodeDeploy, AWS CodeStar) és a GitHub CI/CD-munkafolyamatból (beleértve a buildelési, tesztelési és üzembehelyezési feladatokat) létrehozott eseményeket is figyelni kell a rendellenes eredmények azonosítása érdekében.

A fenti naplók és események betöltése az AWS CloudWatchba, a Microsoft Sentinelbe vagy más SIEM-eszközökbe egy naplózási streamen vagy API-n keresztül, hogy a biztonsági incidensek megfelelően monitorozhatók és kezelhetők legyenek.

AWS-implementáció és további környezet:

GCP-útmutató: Az auditnaplózási képességek engedélyezése és konfigurálása nem éles környezetben és CI/CD-eszközkörnyezetekben olyan termékekhez, mint a Cloud Build, a Google Cloud Deploy, az Artifact Registry és a GitHub, amelyek a DevOps-folyamat során használhatók.

A GCP CI/CD-környezetekből (például Cloud Build, Google Cloud Deploy, Artifact Registry) és a GitHub CI/CD-munkafolyamatból (beleértve a buildelési, tesztelési és üzembehelyezési feladatokat) létrehozott eseményeket is figyelni kell a rendellenes eredmények azonosítása érdekében.

A fenti naplók és események betöltése a Microsoft Sentinelbe, a Google Cloud Security Command Centerbe, a Chronicle-be vagy más SIEM-eszközökbe egy naplózási streamen vagy API-n keresztül, hogy a biztonsági incidensek megfelelően monitorozhatók és kezelhetők legyenek.

GCP implementálása és további környezet:

Ügyfélbiztonsági érdekelt felek (További információ):