DevOps 환경 보안 태세 개선
소스 코드 관리 시스템과 연속 통합/지속적인 업데이트 파이프라인에 대한 사이버 공격이 증가함에 따라 DevOps 위협 행렬에서 식별된 다양한 위협으로부터 DevOps 플랫폼을 보호하는 것이 중요해졌습니다. 이러한 사이버 공격은 코드 주입, 권한 상승, 데이터 반출을 가능하게 하여 잠재적으로 광범위한 영향을 미칠 수 있습니다.
DevOps 상태 관리는 다음과 같은 클라우드용 Microsoft Defender의 기능입니다.
- 전체 소프트웨어 공급망 수명 주기의 보안 태세에 대한 인사이트를 제공합니다.
- 심층적인 평가를 위해 고급 스캐너를 사용합니다.
- 조직, 파이프라인, 리포지토리 등 다양한 리소스를 다룹니다.
- 고객은 제공된 권장 사항을 찾아 조치를 취함으로써 공격 표면을 줄일 수 있습니다.
DevOps 스캐너
결과를 제공하기 위해 DevOps 상태 관리는 DevOps 스캐너를 사용하여 보안 구성 및 액세스 제어에 대한 검사를 실행하여 소스 코드 관리 및 연속 통합/지속적인 업데이트 파이프라인의 약점을 식별합니다.
Azure DevOps 및 GitHub 스캐너는 Microsoft 내부에서 DevOps 리소스와 관련된 위험을 식별하여 공격 표면을 줄이고 기업 DevOps 시스템을 강화하는 데 사용됩니다.
DevOps 환경이 연결되면 클라우드용 Defender는 다음을 포함하여 여러 DevOps 리소스에 대해 24시간마다 되풀이 검사를 수행하도록 이러한 스캐너를 자동 구성합니다.
- 빌드
- 보안 파일
- 변수 그룹
- 서비스 연결
- 조직
- 리포지토리
DevOps 위협 행렬 위험 감소
DevOps 상태 관리는 조직이 DevOps 플랫폼에서 유해한 구성 오류를 발견하고 수정하는 데 도움을 줍니다. 이는 DevOps 위협 행렬에 정의된 다양한 위협에 대해 강화된 복원력 있는 제로 신뢰 DevOps 환경으로 이어집니다. 기본 상태 관리 제어에는 다음이 포함됩니다.
범위가 지정된 비밀 액세스: 각 파이프라인이 해당 함수에 필수적인 비밀에만 액세스할 수 있도록 하여 중요한 정보의 노출을 최소화하고 무단 액세스, 데이터 유출 및 측면 이동의 위험을 줄입니다.
자체 호스팅 실행기 및 높은 권한 제한: 자체 호스팅 실행기를 방지하고 파이프라인 권한을 기본적으로 읽기 전용으로 설정하여 무단 실행 및 잠재적인 에스컬레이션을 방지합니다.
향상된 분기 보호: 분기 보호 규칙을 적용하고 악성 코드 주입을 방지하여 코드 무결성을 유지합니다.
최적화된 권한 및 보안 리포지토리: 최소 기본 권한을 추적하고 리포지토리에 대한 비밀 푸시 보호를 사용하도록 설정하여 무단 액세스, 수정 위험을 줄입니다.
DevOps 위협 행렬에 대해 자세히 알아봅니다.
DevOps 상태 관리 권장 사항
DevOps 스캐너를 통해 소스 코드 관리 시스템 및 연속 통합/지속적인 업데이트 파이프라인 내의 보안 모범 사례와의 차이점을 찾아내면 클라우드용 Defender가 정확하고 실행 가능한 권장 사항을 도출합니다. 이러한 권장 사항에는 다음과 같은 이점이 있습니다.
- 가시성 향상: DevOps 환경의 보안 태세에 대한 포괄적인 인사이트를 확보하여 기존 취약성을 종합적으로 이해할 수 있습니다. 누락된 분기 보호 규칙, 권한 상승 위험 및 안전하지 않은 연결을 식별하여 공격을 방지합니다.
- 우선 순위 기반 작업: 심각도에 따라 결과를 필터링하여 가장 심각한 취약성을 먼저 해결함으로써 더 효과적으로 리소스를 사용하고 활동할 수 있습니다.
- 공격 표면 감소: 두드러진 보안 격차를 해결하여 공격에 취약한 표면을 상당히 최소화함으로써 잠재적인 위협에 대한 방어를 강화할 수 있습니다.
- 실시간 경고: 워크플로 자동화와 통합하여 보안 구성이 변경되면 즉시 경고를 받아 즉각적인 조치를 취하고 보안 프로토콜을 지속적으로 준수할 수 있습니다.