Улучшение состояния безопасности среды DevOps

С увеличением кибератак на системы управления исходным кодом и конвейеров непрерывной интеграции и непрерывной доставки, защита платформ DevOps от различных угроз, определенных в Матрице угроз DevOps, имеет решающее значение. Такие кибератаки могут включать внедрение кода, эскалацию привилегий и кражу данных, что может привести к широкому влиянию.

Управление состоянием DevOps — это функция в Microsoft Defender для облака, которая:

• Предоставляет аналитические сведения о безопасности всего жизненного цикла цепочки поставок программного обеспечения.
• Использует расширенные сканеры для подробных оценок.
• Охватывает различные ресурсы, от организаций, конвейеров и репозиториев.
• Позволяет клиентам снизить уровень атаки, обнаруживая и действуя по предоставленным рекомендациям.

Сканеры DevOps

Для предоставления результатов управление состоянием DevOps использует сканеры DevOps для выявления слабых мест в управлении исходным кодом и непрерывной интеграции и непрерывной доставки конвейеров, выполняя проверки на соответствие конфигурациям безопасности и элементам управления доступом.

Сканеры Azure DevOps и GitHub используются внутри Корпорации Майкрософт для выявления рисков, связанных с ресурсами DevOps, уменьшения поверхности атаки и укрепления корпоративных систем DevOps.

После подключения среды DevOps Defender для облака автоматически настраивает эти сканеры для выполнения повторяющихся проверок каждые 24 часа в нескольких ресурсах DevOps, включая:

• Сборки
• Безопасные файлы
• Группы переменных
• Подключения к сервису
• Организации
• Репозитории

Уменьшение рисков в матрице угроз DevOps

Управление состоянием DevOps помогает организациям обнаруживать и устранять вредоносные неправильные конфигурации на платформе DevOps. Это приводит к устойчивой среде DevOps нулевого доверия, которая усиливается в отношении ряда угроз, определенных в матрице угроз DevOps. Основными элементами управления осанкой являются:

• Доступ к секретам с ограниченным доступом: Сведите к минимуму риск несанкционированного доступа, утечки данных и латерального движения, обеспечивая, чтобы каждый конвейер имел доступ только к тем секретам, которые необходимы для его функционирования.

• Ограничение самостоятельно размещаемых исполнителей и высоких разрешений: предотвращение несанкционированных запусков и потенциальной эскалации путем отказа от использования самостоятельно размещаемых исполнителей и обеспечения того, чтобы разрешения конвейера, установленные по умолчанию, были только для чтения.

• расширенная защита ветви: обеспечение целостности кода путем применения правил защиты ветви и предотвращения внедрения вредоносного кода.

• Оптимизированные разрешения и безопасные репозитории: снижение риска несанкционированного доступа, изменений путем отслеживания минимальных базовых разрешений и включения защиты от принудительной отправки секретов для репозиториев.

• Дополнительные сведения о матрице угроз DevOps.

Рекомендации по управлению позицией DevOps

Когда сканеры DevOps выявляют отклонения от рекомендаций по обеспечению безопасности в системах управления исходным кодом и конвейерах непрерывной интеграции и непрерывной доставки, Defender для облака выводит точные и практические рекомендации. Эти рекомендации имеют следующие преимущества:

• Улучшенная видимость. Получите исчерпывающее представление о положении безопасности в средах DevOps, что позволит четко осознать имеющиеся уязвимости. Определите отсутствующие правила защиты ветви, риски эскалации привилегий и небезопасные подключения, чтобы предотвратить атаки.
• действия на основе приоритета: фильтруйте результаты по серьезности, чтобы тратить ресурсы и усилия более эффективно путем решения наиболее критически важных уязвимостей в первую очередь.
• Сокращение поверхности атак: Устранение пробелов в безопасности, чтобы значительно минимизировать уязвимые поверхности атак, таким образом укрепляя защиту от потенциальных угроз.
• Уведомления в режиме реального времени: Возможность интеграции с автоматизацией рабочих процессов для получения немедленных оповещений при изменении безопасных конфигураций, что позволяет оперативно реагировать и обеспечивать устойчивое соблюдение протоколов безопасности.

Дальнейшие шаги

• Подключите репозитории GitHub к Microsoft Defender для облака.
• Подключите репозитории Azure DevOps к Microsoft Defender для облака.