Безопасные среды DevOps для нулевого доверия
Защита сред DevOps больше не является выбором для разработчиков. Хакеры перемещаются влево, поэтому необходимо реализовать принципы нулевого доверия, которые включают явную проверку, использовать минимальный доступ к привилегиям и предполагать нарушение в средах DevOps.
В этой статье описаны рекомендации по защите сред DevOps с помощью подхода "Нулевое доверие" для предотвращения взлома хакеров в полях разработчиков, заражения конвейеров выпуска вредоносными сценариями и получения доступа к рабочим данным через тестовые среды.
Наша электронная книга "Защита корпоративных сред DevOps" включает следующую визуализацию платформы разработчика, платформы DevOps и сред приложений, а также потенциальных угроз безопасности для каждого из них.
Обратите внимание, что на приведенной выше схеме подключения между средами и внешней интеграцией расширяют ландшафт угроз. Эти подключения могут увеличить возможности злоумышленников для компрометации системы.
Плохие субъекты растягиваются по всей организации, чтобы компрометировать среды DevOps, получить доступ и разблокировать новые опасности. Атаки выходят за рамки типичных нарушений кибербезопасности, чтобы внедрить вредоносный код, предположить мощные удостоверения разработчиков и украсть рабочий код.
Поскольку компании переходят на вездесущие, рабочие и рабочие сценарии в любом месте, они должны укрепить безопасность устройств. Офисы кибербезопасности могут не иметь согласованного понимания того, где и как разработчики защищают и создают код. Злоумышленники используют эти слабые места с взломами удаленного подключения и кражами удостоверений разработчика.
Средства DevOps — это ключевые точки входа для хакеров, от автоматизации конвейера до проверки кода и репозиториев кода. Если плохие субъекты заразят код до достижения производственных систем, в большинстве случаев он может пройти через проверка точки кибербезопасности. Чтобы предотвратить компрометацию, убедитесь, что группы разработчиков участвуют в одноранговых проверках, проверка безопасности с подключаемыми модулями безопасности IDE, безопасными стандартами программирования и проверкой ветви.
Группы кибербезопасности стремятся предотвратить атаки злоумышленников в рабочих средах. Однако среды теперь включают средства и продукты цепочки поставок. Нарушение средства с открытым исходным кодом может повысить глобальные риски кибербезопасности.
Дополнительные сведения о статьях, относящихся к разработчику, см. в следующих статьях DevSecOps в разделе "Руководство разработчика" центра рекомендаций по нулю доверия:
- Защита среды платформы DevOps помогает реализовать принципы нулевого доверия в среде платформы DevOps и выделяет рекомендации по управлению секретами и сертификатами.
- Защита среды разработчика помогает реализовать принципы нулевого доверия в средах разработки с рекомендациями по наименьшей привилегии, безопасности ветви и доверия средствам, расширениям и интеграции.
- Внедрение безопасности нулевого доверия в рабочий процесс разработчика помогает быстро и безопасно внедрять инновации.
Следующие шаги
- Ускорьте и защитите код с помощью Azure DevOps с помощью средств, которые предоставляют разработчикам самый быстрый и безопасный код для облачного интерфейса.
- Зарегистрируйтесь в Azure Developer CLI, средство с открытым исходным кодом, которое ускоряет время, необходимое для начала работы в Azure.
- Настройте Azure для доверия OIDC OIDC GitHub в качестве федеративного удостоверения. OpenID Подключение (OIDC) позволяет рабочим процессам GitHub Actions получать доступ к ресурсам в Azure без необходимости хранить учетные данные Azureв виде секретов GitHub.
- Центр ресурсов DevOps помогает вам использовать методики DevOps, методы Agile, управление версиями Git, DevOps в Корпорации Майкрософт и оценку хода выполнения DevOps вашей организации.
- Узнайте, как решение Microsoft DevSecOps интегрирует безопасность в каждый аспект жизненного цикла доставки программного обеспечения, чтобы включить DevSecOps или защитить DevOps для приложений в облаке (и в любом месте) с Azure и GitHub.
- Реализуйте принципы нулевого доверия, как описано в меморандуме 22-09 (в поддержку исполнительного указа США 14028 года, улучшения кибербезопасности страны) с помощью Идентификатора Microsoft Entra в качестве централизованной системы управления удостоверениями.