Улучшение состояния безопасности среды DevOps
С увеличением кибератак на системы управления исходным кодом и конвейеров непрерывной интеграции и непрерывной доставки, защита платформ DevOps от различных угроз, определенных в Матрице угроз DevOps, имеет решающее значение. Такие кибератаки могут включать внедрение кода, эскалацию привилегий и кражу данных, что может привести к широкому влиянию.
Управление состоянием DevOps — это функция в Microsoft Defender для облака, что:
- Предоставляет аналитические сведения о безопасности всего жизненного цикла цепочки поставок программного обеспечения.
- Использует расширенные сканеры для подробных оценок.
- Охватывает различные ресурсы, от организаций, конвейеров и репозиториев.
- Позволяет клиентам снизить уровень атаки, обнаруживая и действуя по предоставленным рекомендациям.
Сканеры DevOps
Для предоставления результатов управление позы DevOps использует сканеры DevOps для выявления недостатков в управлении исходным кодом и непрерывной интеграции и непрерывной доставке конвейеров путем выполнения проверка в конфигурациях безопасности и элементах управления доступом.
Сканеры Azure DevOps и GitHub используются внутри Корпорации Майкрософт для выявления рисков, связанных с ресурсами DevOps, уменьшения поверхности атаки и укрепления корпоративных систем DevOps.
После подключения среды DevOps Defender для облака автоматически настраивает эти сканеры для выполнения повторяющихся проверок каждые 24 часа в нескольких ресурсах DevOps, в том числе:
- Сборки
- Безопасные файлы
- Группы переменных
- Подключения службы
- Организации
- Репозитории
Уменьшение рисков в матрице угроз DevOps
Управление состоянием DevOps помогает организациям обнаруживать и устранять вредоносные неправильные конфигурации на платформе DevOps. Это приводит к устойчивой среде DevOps нулевого доверия, которая усиливается в отношении ряда угроз, определенных в матрице угроз DevOps. Основными элементами управления постами являются следующие элементы управления:
Ограниченный секретный доступ: свести к минимуму воздействие конфиденциальной информации и снизить риск несанкционированного доступа, утечки данных и бокового перемещения, гарантируя, что каждый конвейер имеет доступ только к секретам, необходимым для ее функции.
Ограничение локальных модулей выполнения и высоких разрешений: предотвращение несанкционированных выполнения и потенциальных эскалаций путем предотвращения локальных запусков и обеспечения разрешений конвейера только для чтения.
Расширенная защита ветви: обеспечение целостности кода путем применения правил защиты ветви и предотвращения внедрения вредоносного кода.
Оптимизированные разрешения и безопасные репозитории: снижение риска несанкционированного доступа, изменений путем отслеживания минимальных базовых разрешений и включения защиты от принудительной отправки секретов для репозиториев.
Рекомендации по управлению состоянием DevOps
Когда сканеры DevOps выявляют отклонения от рекомендаций по обеспечению безопасности в системах управления исходным кодом и конвейерах непрерывной интеграции и непрерывной доставки, Defender для облака выводит точные и практические рекомендации. Эти рекомендации имеют следующие преимущества:
- Улучшенная видимость. Получите исчерпывающую информацию о безопасности сред DevOps, обеспечивая четкое понимание существующих уязвимостей. Определите отсутствующие правила защиты ветви, риски эскалации привилегий и небезопасные подключения, чтобы предотвратить атаки.
- Действие на основе приоритета: фильтруйте результаты по серьезности, чтобы тратить ресурсы и усилия более эффективно, устраняя наиболее критически важные уязвимости в первую очередь.
- Уменьшение поверхности атак: устранение проблем с безопасностью, чтобы значительно сократить уязвимые области атак, тем самым ужесточив защиту от потенциальных угроз.
- Уведомления в режиме реального времени: возможность интеграции с автоматизацией рабочих процессов для получения немедленных оповещений при изменении безопасных конфигураций, что позволяет выполнять запросы и обеспечивать устойчивое соответствие протоколам безопасности.