DevOps-omgevingen beveiligen voor Zero Trust

Het beveiligen van DevOps-omgevingen is geen keuze meer voor ontwikkelaars. Hackers verschuiven naar links, dus u moet Zero Trust-principes implementeren die expliciet verifiëren, toegang tot minimale bevoegdheden gebruiken en aannemen dat er inbreuk wordt uitgevoerd in DevOps-omgevingen.

In dit artikel worden aanbevolen procedures beschreven voor het beveiligen van uw DevOps-omgevingen met een Zero Trust-benadering om hackers te voorkomen dat ontwikkelaarsvakken in gevaar komen, releasepijplijnen met schadelijke scripts infecteren en toegang krijgen tot productiegegevens via testomgevingen.

Ons eBook Enterprise DevOps-omgevingen beveiligen bevat de volgende visualisatie van de ontwikkelaars-, DevOps-platform- en toepassingsomgevingen, samen met de mogelijke beveiligingsrisico's voor elke omgeving.

In het bovenstaande diagram ziet u hoe verbindingen tussen omgevingen en externe integraties het bedreigingslandschap uitbreiden. Deze verbindingen kunnen de mogelijkheden voor hackers vergroten om het systeem te compromitteerd.

Slechte actoren strekken zich uit over de hele onderneming om DevOps-omgevingen in gevaar te brengen, toegang te krijgen en nieuwe gevaren te ontgrendelen. Aanvallen gaan verder dan de typische breedte van schendingen van cyberbeveiliging om schadelijke code te injecteren, stelen krachtige ontwikkelaarsidentiteiten uit en stel productiecode.

Naarmate bedrijven overstappen op alomtegenwoordige scenario's met werk vanaf elke locatie, moeten ze de beveiliging van apparaten versterken. De cyberbeveiligingskantoren hebben mogelijk geen consistent inzicht in waar en hoe ontwikkelaars code beveiligen en bouwen. Aanvallers profiteren van deze zwakke punten met hacks van externe verbindingen en diefstal van ontwikkelaarsidentiteiten.

DevOps-hulpprogramma's zijn belangrijke toegangspunten voor hackers, van pijplijnautomatisering tot codevalidatie en codeopslagplaatsen. Als slechte actoren code infecteren voordat ze productiesystemen bereiken, kan het in de meeste gevallen door controlepunten voor cyberbeveiliging gaan. Om inbreuk te voorkomen, moet u ervoor zorgen dat uw ontwikkelteams betrokken zijn bij peerbeoordelingen, beveiligingscontroles met IDE-beveiligingsinvoegtoepassingen, standaarden voor veilige codering en vertakkingsbeoordeling.

Cyberbeveiligingsteams willen voorkomen dat aanvallers productieomgevingen belegeren. Omgevingen bevatten nu echter supply chain tools en producten. Opensource-hulpprogrammalekken kunnen wereldwijde risico's voor cyberbeveiliging verbeteren.

Meer informatie over ontwikkelaarsspecifieke artikelen met de volgende DevSecOps-artikelen in de sectie Ontwikkelaarsrichtlijnen van het Zero Trust Guidance Center:

• Beveilig de DevOps-platformomgeving om Zero Trust-principes te implementeren in uw DevOps-platformomgeving en markeert aanbevolen procedures voor geheim- en certificaatbeheer.
• Beveilig de ontwikkelomgeving om Zero Trust-principes in uw ontwikkelomgevingen te implementeren met aanbevolen procedures voor minimale bevoegdheden, vertakkingsbeveiliging en vertrouwende hulpprogramma's, extensies en integraties.
• Door Zero Trust-beveiliging in te sluiten in uw werkstroom voor ontwikkelaars, kunt u snel en veilig innoveren.

Volgende stappen

• Versnel en beveilig uw code met Azure DevOps met hulpprogramma's die ontwikkelaars de snelste en veiligste code bieden voor cloudervaring.
• Meld u aan voor Azure Developer CLI, een opensource-hulpprogramma dat de tijd versnelt die nodig is om aan de slag te gaan met Azure.
• Configureer Azure om de OIDC van GitHub te vertrouwen als een federatieve identiteit. Met OpenID Verbinding maken (OIDC) hebben uw GitHub Actions-werkstromen toegang tot resources in Azurezonder dat u de Azure-referenties hoeft op te slaan als GitHub-geheimen met een lange levensduur.
• Het DevOps-resourcecentrum helpt u met DevOps-procedures, Agile-methoden, Git-versiebeheer, DevOps bij Microsoft en hoe u de DevOps-voortgang van uw organisatie kunt beoordelen.
• Meer informatie over hoe de Microsoft DevSecOps-oplossing beveiliging integreert in elk aspect van de levenscyclus van softwarelevering om DevSecOps, of DevOps te beveiligen, voor apps in de cloud (en overal) met Azure en GitHub.
• Implementeer Zero Trust-principes zoals beschreven in memorandum 22-09 (ter ondersteuning van de Amerikaanse executive order 14028, Verbetering van de Cyber Security van de natie) met behulp van Microsoft Entra ID als gecentraliseerd identiteitsbeheersysteem.