Поделиться через

Управление безопасностью: безопасность DevOps

DevOps Security охватывает элементы управления, связанные с проектированием безопасности и операциями в процессах DevOps, включая развертывание критически важных проверок безопасности (таких как статическое тестирование безопасности приложений, управление уязвимостями) до этапа развертывания, чтобы обеспечить безопасность в процессе DevOps; она также содержит общие темы, такие как моделирование угроз и безопасность поставок программного обеспечения.

DS-1. Проведение моделирования угроз

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
16.10, 16.14 СА-15 6.5, 12.2

Принцип безопасности. Выполните моделирование угроз, чтобы определить потенциальные угрозы и перечислить средства управления устранением рисков. Убедитесь в том, что моделирование угроз отвечает указанным ниже целям.

  • Обеспечьте безопасность приложений и служб во время выполнения в рабочей среде.
  • Защитите артефакты, базовый конвейер CI/CD и другой инструментарий среды, используемый для сборки, тестирования и развертывания. Моделирование угроз должно включать в себя по крайней мере следующие аспекты:
  • Определите требования к безопасности приложения. Обеспечьте надлежащее выполнение этих требований при моделировании угроз.
  • Проанализируйте компоненты приложения, подключения к данным, а также их взаимосвязи. Этот анализ также включает в себя восходящие и нисходящие подключения за пределами области приложения.
  • Сформируйте список потенциальных угроз и векторов атаки, которые могут быть направлены на компоненты приложения, подключения к данным, а также вышестоящие и подчиненные службы.
  • Определите применимые средства безопасности, которые можно использовать для устранения перечисленных угроз, а также бреши в этих средствах (например, уязвимости системы безопасности), которые могут потребовать дополнительных планов действий.
  • Составьте список и спроектируйте средства контроля для устранения обнаруженных уязвимостей.

Руководство по Azure: используйте такие средства моделирования угроз, как средство моделирования угроз Microsoft с шаблоном модели угроз Azure, встроенным для поддержания вашего процесса моделирования угроз. Используйте модель STRIDE для составления списка как внутренних, так и внешних угроз, а также для определения применимых средств контроля. Процесс моделирования угроз должен включать в себя сценарии угроз в рамках процесса DevOps, такие как злонамеренное внедрение кода через незащищенный репозиторий артефактов с неправильно настроенной политикой управления доступом.

Если использование средства моделирования угроз неприменимо, следует, по крайней мере, использовать процесс моделирования угроз на основе анкеты для выявления угроз.

Результаты моделирования угроз или результаты анализа должны регистрироваться и обновляться при значительных изменениях, влияющих на безопасность, в приложении или в характере угроз.

Реализация Azure и дополнительный контекст:

Руководство по AWS. Используйте такие средства моделирования угроз, как средство моделирования угроз Майкрософт, с помощью шаблона модели угроз Azure, внедренного для управления процессом моделирования угроз. Используйте модель STRIDE для составления списка как внутренних, так и внешних угроз, а также для определения применимых средств контроля. Процесс моделирования угроз должен включать в себя сценарии угроз в рамках процесса DevOps, такие как злонамеренное внедрение кода через незащищенный репозиторий артефактов с неправильно настроенной политикой управления доступом.

Если использование средства моделирования угроз неприменимо, следует, по крайней мере, использовать процесс моделирования угроз на основе анкеты для выявления угроз.

Результаты моделирования угроз или результаты анализа должны регистрироваться и обновляться при значительных изменениях, влияющих на безопасность, в приложении или в характере угроз.

Реализация AWS и дополнительный контекст:

Руководство по GCP. Используйте такие средства моделирования угроз, как средство моделирования угроз Майкрософт, с помощью шаблона модели угроз Azure, внедренного для управления процессом моделирования угроз. Используйте модель STRIDE для составления списка как внутренних, так и внешних угроз, а также для определения применимых средств контроля. Процесс моделирования угроз должен включать в себя сценарии угроз в рамках процесса DevOps, такие как злонамеренное внедрение кода через незащищенный репозиторий артефактов с неправильно настроенной политикой управления доступом.

Если использование средства моделирования угроз неприменимо, следует, по крайней мере, использовать процесс моделирования угроз на основе анкеты для выявления угроз.

Результаты моделирования угроз или результаты анализа должны регистрироваться и обновляться при значительных изменениях, влияющих на безопасность, в приложении или в характере угроз.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

DS-2. Обеспечение безопасности цепочки поставок программного обеспечения

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
16.4, 16.6, 16.11 СА-12, СА-15 6.3, 6.5

Принцип безопасности: Убедитесь, что SDLC вашего предприятия (жизненный цикл разработки программного обеспечения) или процесс включает набор элементов управления безопасностью для управления как внутренними, так и сторонними компонентами программного обеспечения (включая как собственническое, так и программное обеспечение с открытым исходным кодом), от которых зависят ваши приложения. Определите критерии ограничения, чтобы предотвратить интеграцию уязвимых или вредоносных компонентов и их развертывание в среде.

Элементы управления безопасностью цепочки поставок программного обеспечения должны включать по крайней мере следующие аспекты:

  • Правильное управление списком материалов программного обеспечения (SBOM) путем определения внешних зависимостей, необходимых для разработки служб и ресурсов, сборки, интеграции и развертывания.
  • инвентаризация и отслеживание внутренних и сторонних программных компонентов на наличие известных уязвимостей при наличии исправления в вышестоящей системе;
  • оценка наличия уязвимостей и вредоносных программ в программных компонентах с помощью статического и динамического тестирования приложений на наличие неизвестных уязвимостей;
  • устранение уязвимостей и вредоносных программ с помощью соответствующего подхода. Это может быть локальное или вышестоящее исправление исходного кода, исключение компонентов и (или) применение компенсирующих элементов управления, если прямое устранение невозможно.

Если в рабочей среде используются компоненты сторонних производителей с закрытым исходным кодом, контроль состояния безопасности может быть ограничен. Следует рассмотреть возможность применения дополнительных средств управления, таких как управление доступом, сетевая изоляция и безопасность конечных точек, чтобы снизить влияние вредоносных действий или уязвимостей, связанных с компонентом.

Руководство по Azure: Для платформы GitHub убедитесь, что безопасность цепочки поставок программного обеспечения обеспечивается с помощью следующих возможностей или инструментов из GitHub Advanced Security или собственной функции GitHub: используйте Dependency Graph для сканирования, инвентаризации и выявления всех зависимостей вашего проекта и связанных с ними уязвимостей с помощью консультативной базы данных.

  • Используйте Dependabot, чтобы обеспечить отслеживание уязвимых зависимостей и принятие надлежащих мер, а также автоматическую синхронизацию репозитория с последними выпусками пакетов и приложений, от которых он зависит.
  • Используйте возможность сканирования машинного кода GitHub для сканирования исходного кода при внешних источниках кода.
  • Используйте Microsoft Defender для облака, чтобы интегрировать оценку уязвимостей для образа контейнера в рабочий процесс CI/CD. Для Azure DevOps можно использовать сторонние расширения для реализации аналогичных средств управления с целью инвентаризации, анализа и исправления программных компонентов сторонних разработчиков и их уязвимостей.

Реализация Azure и дополнительный контекст:

Руководство по AWS: если вы используете платформы CI/CD AWS, такие как CodeCommit или CodePipeline, обеспечьте безопасность цепочки поставок программного обеспечения, используя рецензент CodeGuru для проверки исходного кода (для Java и Python) в рамках рабочих процессов CI/CD. Такие платформы, как CodeCommit и CodePipeline, также поддерживают сторонние расширения для реализации аналогичных элементов управления инвентаризацией, анализа и исправления сторонних компонентов программного обеспечения и их уязвимостей.

Если вы управляете исходным кодом с помощью платформы GitHub, обеспечьте безопасность цепочки поставок программного обеспечения с помощью следующих возможностей или средств из собственной функции GitHub Advanced Security или GitHub:

  • Используйте граф зависимостей для сканирования, инвентаризации и выявления всех зависимостей проекта и связанных уязвимостей посредством базы данных рекомендаций.
  • Используйте Dependabot, чтобы обеспечить отслеживание уязвимых зависимостей и принятие надлежащих мер, а также автоматическую синхронизацию репозитория с последними выпусками пакетов и приложений, от которых он зависит.
  • Используйте возможность сканирования машинного кода GitHub для сканирования исходного кода при внешних источниках кода.
  • Если применимо, используйте Microsoft Defender для облака, чтобы интегрировать оценку уязвимостей для образа контейнера в рабочий процесс CI/CD.

Реализация AWS и дополнительный контекст:

Руководство по GCP. Использование щита доставки программного обеспечения для выполнения комплексного анализа безопасности цепочки поставок программного обеспечения. Это включает в себя службу Secure OSS (Программное обеспечение с открытым исходным кодом) для доступа и включения пакетов OSS, которые были проверены и протестированы Google, а также проверенные пакеты Java и Python, созданные с помощью безопасных конвейеров Google. Эти пакеты регулярно сканируются, анализируются и проверяются на наличие уязвимостей. Такие возможности можно интегрировать в Google Cloud Build, Cloud Deploy, Artifact Registry, Artifact Analysis в рамках рабочих процессов CI/CD.

Если вы управляете исходным кодом с помощью платформы GitHub, обеспечьте безопасность цепочки поставок программного обеспечения с помощью следующих возможностей или средств из собственной функции GitHub Advanced Security или GitHub:

  • Используйте граф зависимостей для сканирования, инвентаризации и выявления всех зависимостей проекта и связанных уязвимостей посредством базы данных рекомендаций.
  • Используйте Dependabot, чтобы обеспечить отслеживание уязвимых зависимостей и принятие надлежащих мер, а также автоматическую синхронизацию репозитория с последними выпусками пакетов и приложений, от которых он зависит.
  • Используйте возможность сканирования машинного кода GitHub для сканирования исходного кода при внешних источниках кода.
  • Если применимо, используйте Microsoft Defender для облака, чтобы интегрировать оценку уязвимостей для образа контейнера в рабочий процесс CI/CD.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

DS-3. Защита инфраструктуры DevOps

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
16.7 СМ-2, СМ-6, АС-2, АС-3, АС-6 2.2, 6.3, 7.1

Принцип безопасности. Убедитесь, что инфраструктура DevOps и конвейер соответствуют рекомендациям по обеспечению безопасности в разных средах, включая этапы сборки, тестирования и рабочей среды. Обычно сюда входят средства управления безопасностью для следующих областей:

  • репозитории артефактов, в которых хранятся исходный код, собранные пакеты и образы, артефакты проекта и бизнес-данные.
  • Серверы, службы и средства, на которых размещаются конвейеры CI/CD.
  • конфигурация конвейера CI/CD.

Руководство по Azure. В рамках применения Microsoft Cloud Security Benchmark к элементам управления безопасностью инфраструктуры DevOps определите приоритеты следующих элементов управления:

  • Защитите артефакты и базовую среду, чтобы конвейеры CI/CD не стали способами вставки вредоносного кода. Например, просмотрите конвейер CI/CD, чтобы определить любую неправильно настроенную конфигурацию в основных областях Azure DevOps, таких как организация, проекты, пользователи, конвейеры (сборка и выпуск), подключения и агент сборки, чтобы определить какие-либо неправильные конфигурации, такие как открытый доступ, слабая проверка подлинности, небезопасная настройка подключения и т. д. Для GitHub используйте аналогичные элементы управления для защиты уровней разрешений организации.
  • Убедитесь, что инфраструктура DevOps развертывается последовательно в проектах разработки. Отслеживайте соответствие инфраструктуры DevOps в масштабе с помощью Microsoft Defender для облака (например, панели мониторинга соответствия требованиям, политики Azure, управления облачными службами) или собственных средств мониторинга соответствия требованиям.
  • Настройте политики разрешений и прав для удостоверений и ролей в Azure AD, собственных службах и средствах CI/CD в конвейере, чтобы обеспечить авторизацию изменений в конвейерах.
  • Избегайте предоставления постоянного привилегированного доступа к учетным записям пользователей, таким как разработчики или тестировщики, используя такие функции, как управляемые идентификаторы Azure и доступ по запросу.
  • Удалите ключи, учетные данные и секреты из кода и скриптов, используемых в заданиях рабочего процесса CI/CD, и сохраните их в хранилище ключей или Azure Key Vault.
  • Если вы запускаете локальные агенты сборки и развертывания, следуйте элементам управления Microsoft Cloud Security Benchmark, включая сетевую безопасность, позы и управление уязвимостями, а также безопасность конечных точек для защиты среды.

Примечание. Дополнительные сведения см. в разделах "Ведение журнала и обнаружение угроз", DS-7 и "Управление уязвимостями" для использования таких служб, как Azure Monitor и Microsoft Sentinel для обеспечения управления, соответствия требованиям, аудита операционных операций и аудита рисков для инфраструктуры DevOps.

Реализация Azure и дополнительный контекст:

Руководство по AWS: В рамках применения Microsoft Cloud Security Benchmark к элементам управления безопасностью инфраструктуры DevOps, таким как GitHub, CodeCommit, CodeArtifact, CodePipeline, CodeBuild и CodeDeploy, приоритизируйте следующие элементы управления:

  • Ознакомьтесь с этим руководством и основой безопасности aws Well-architected Framework, чтобы защитить среды DevOps в AWS.
  • Защитите объекты и основную инфраструктуру поддержки, чтобы конвейеры CI/CD не стали каналами для вставки вредоносного кода.
  • Убедитесь, что инфраструктура DevOps развертывается и постоянно поддерживается в проектах разработки. Отслеживайте соответствие инфраструктуры DevOps в масштабе с помощью AWS Config или собственного решения проверки соответствия.
  • Используйте CodeArtifact для безопасного хранения и совместного использования пакетов программного обеспечения, используемых для разработки приложений. Вы можете использовать CodeArtifact с популярными средствами сборки и диспетчерами пакетов, такими как Maven, Gradle, npm, yarn, pip и twine.
  • Настройте разрешения идентификаций и ролей и политики разрешений в AWS IAM, родных службах и инструментах CI/CD в вашем конвейере, чтобы убедиться, что любые изменения в конвейерах авторизованы.
  • Удаление ключей, учетных данных и секретов из кода и скриптов, используемых в заданиях рабочего процесса CI/CD, и сохранение их в хранилище ключей или AWS KMS
  • Если вы запускаете локальные агенты сборки и развертывания, следуйте элементам управления Microsoft Cloud Security Benchmark, включая сетевую безопасность, позы и управление уязвимостями, а также безопасность конечных точек для защиты среды. Используйте AWS Inspector для проверки уязвимостей в среде EC2 или контейнерной среды в качестве среды сборки.

Примечание. Дополнительные сведения см. в разделах "Ведение журналов и обнаружение угроз", DS-7, "Положение" и "Управление уязвимостями" для использования таких служб, как AWS CloudTrail, CloudWatch и Microsoft Sentinel, чтобы обеспечить управление, соответствие требованиям, проведение операционного аудита и аудита рисков для вашей инфраструктуры DevOps.

Реализация AWS и дополнительный контекст:

Руководство по GCP: В процессе применения Microsoft Cloud Security Benchmark к контролям безопасности вашей инфраструктуры DevOps, уделите первоочередное внимание следующим контролям:

  • Защитите артефакты и базовую среду, чтобы конвейеры CI/CD не стали способами вставки вредоносного кода. Например, просмотрите конвейер CI/CD, чтобы определить неправильную настройку в таких службах, как Google Cloud Build, Cloud Deploy, Artifact Registry, Connections и Build Agent, и выявить любые проблемы конфигурации, такие как открытый доступ, слабая аутентификация, небезопасная настройка подключения и т. д. Для GitHub используйте аналогичные элементы управления для защиты уровней разрешений организации.
  • Убедитесь, что инфраструктура DevOps развертывается последовательно в проектах разработки. Отслеживайте соответствие инфраструктуры DevOps в масштабе с помощью Центра командной строки Google Cloud Security (например, панели мониторинга соответствия требованиям, организационной политики, записи отдельных угроз и выявления неправильных конфигураций) или собственных средств мониторинга соответствия.
  • Настройте разрешения для удостоверений/ролей и политики полномочий в родных службах Cloud Identity/AD, а также CI/CD инструментах в вашем конвейере, чтобы убедиться, что изменения в конвейерах авторизованы.
  • Избегайте предоставления постоянного привилегированного доступа к учетным записям пользователей, как разработчики или тестировщики, используя функции, такие как идентификаторы, управляемые Google.
  • Удалите ключи, учетные данные и секреты из кода и скриптов, используемых в заданиях рабочего процесса CI/CD, и сохраните их в хранилище ключей или Google Secret Manager.
  • Если вы запускаете локальные агенты сборки и развертывания, следуйте элементам управления Microsoft Cloud Security Benchmark, включая сетевую безопасность, позы и управление уязвимостями, а также безопасность конечных точек для защиты среды.

Примечание. Обратитесь к разделам "Ведение журнала и обнаружение угроз", "DS-7" и "Управление положением и уязвимостями", чтобы использовать такие службы, как Azure Monitor и Microsoft Sentinel или пакет операций Google Cloud и Chronicle SIEM и SOAR для обеспечения управления, соответствия требованиям, операционного аудита и аудита рисков для вашей инфраструктуры DevOps.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

DS-4. Интеграция статического тестирования безопасности приложений в конвейере DevOps

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
16.12 СА-11 6.3, 6.5

Принцип безопасности: Убедитесь, что нечеткое тестирование (SAST), интерактивное тестирование и тестирование мобильных приложений являются частью контрольных элементов в рабочем процессе CI/CD. Ограничение можно установить на основе результатов тестирования, чтобы предотвратить фиксацию уязвимых пакетов в репозитории, их включение в пакеты или развертывание в рабочей среде.

Руководство по Azure. Интеграция SAST в конвейер (например, в инфраструктуре в качестве шаблона кода) позволяет автоматически сканировать исходный код в рабочем процессе CI/CD. Azure DevOps Pipeline или GitHub может интегрировать приведенные ниже средства и сторонние средства SAST в рабочий процесс.

  • GitHub CodeQL для анализа исходного кода.
  • Анализатор двоичных данных Microsoft BinSkim для Windows, UNIX и Linux.
  • Сканер учетных данных Azure DevOps (расширение Microsoft Security DevOps) и встроенное сканирование секретных данных в GitHub для поиска учетных данных в исходном коде.

Реализация Azure и дополнительный контекст:

Руководство по AWS: Интегрируйте SAST в ваш конвейер, чтобы автоматически сканировать исходный код в рабочем процессе CI/CD.

При использовании AWS CodeCommit используйте рецензент AWS CodeGuru для анализа исходного кода Python и Java. AWS Codepipeline также может поддерживать интеграцию средств SAST третьей части в конвейер развертывания кода.

При использовании GitHub приведенные ниже средства и сторонние средства SAST можно интегрировать в рабочий процесс.

  • GitHub CodeQL для анализа исходного кода.
  • Анализатор двоичных данных Microsoft BinSkim для Windows, UNIX и Linux.
  • Встроенное сканирование секретов GitHub для поиска учетных данных в исходном коде.
  • Рецензент AWS CodeGuru для анализа исходного кода Python и Java.

Реализация AWS и дополнительный контекст:

Руководство по GCP: Интегрируйте SAST (например, Software Delivery Shield, Artifact Analysis) в ваш конвейер (например, в шаблон вашей инфраструктуры в виде кода), чтобы исходный код сканировался автоматически в процессе CI/CD.

Такие службы, как Cloud Build, Cloud Deploy, Artifact Registry поддерживают интеграцию с Software Delivery Shield и Artifact Analysis, которые могут сканировать исходный код и другие артефакты в рабочем процессе CI/CD.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

DS-5. Интеграция динамического тестирования безопасности приложений в конвейер DevOps

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
16.12 СА-11 6.3, 6.5

Принцип безопасности: Убедитесь, что динамическое тестирование безопасности приложений (DAST) является частью контрольных мероприятий в процессе разработки и развертывания CI/CD. Ограничение можно установить на основе результатов тестирования, чтобы предотвратить внедрение уязвимостей в пакеты или их развертывание в рабочей среде.

Руководство по Azure: Интегрируйте DAST в ваш конвейер, чтобы приложение могло автоматически тестироваться в рабочих процессах CI/CD, настроенных в Azure DevOps или GitHub. Автоматизированное тестирование на проникновение (с ручной проверкой) также должно быть частью DAST.

Azure DevOps Pipeline или GitHub поддерживает интеграцию сторонних средств DAST в рабочий процесс CI/CD.

Реализация Azure и дополнительный контекст:

Руководство по AWS: Интегрируйте DAST в ваш конвейер, чтобы приложение во время выполнения могло быть автоматически протестировано в рабочем процессе CI/CD, настроенном в AWS CodePipeline или GitHub. Автоматизированное тестирование на проникновение (с ручной проверкой) также должно быть частью DAST.

AWS CodePipeline или GitHub поддерживает интеграцию сторонних средств DAST в рабочий процесс CI/CD.

Реализация AWS и дополнительный контекст:

Руководство по GCP: Интегрируйте DAST (например, Cloud Web Security Scanner) в ваш конвейер, чтобы приложение на этапе выполнения могло автоматически тестироваться в рабочих процессах CI/CD, установленных в таких службах, как Google Cloud Build, Cloud Deploy или GitHub. Сканер облачной веб-безопасности можно использовать для выявления уязвимостей безопасности в веб-приложениях рабочей нагрузки, размещенных в подсистеме приложений, подсистеме Google Kubernetes (GKE) и вычислительной подсистеме. Автоматизированное тестирование на проникновение (с ручной проверкой) также должно быть частью DAST.

Google Cloud Build, Google Cloud Deploy, Artifact Registry и GitHub также поддерживают интеграцию сторонних средств DAST в рабочий процесс CI/CD.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

DS-6. Обеспечение безопасности рабочей нагрузки в течение всего жизненного цикла DevOps

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
7.5, 7.6, 7.7, 16.1, 16.7 СМ-2, СМ-6, АС-2, АС-3, АС-6 6.1, 6.2, 6.3

Принцип безопасности. Обеспечение безопасности рабочей нагрузки на протяжении всего жизненного цикла в процессе разработки, тестирования и развертывания. Используйте Microsoft Cloud Security Benchmark для оценки мер контроля (таких как безопасность сети, управление удостоверениями, привилегированный доступ и т. д.), которые можно задать как защитные ограждения по умолчанию или учесть заранее, перед этапом развертывания. В частности, убедитесь, что в процессе DevOps существуют следующие элементы управления: автоматизация развертывания с помощью Azure или сторонних средств в рабочем процессе CI/CD, управлении инфраструктурой (инфраструктура как код) и тестированием, чтобы уменьшить человеческую ошибку и поверхность атаки.

  • Обеспечьте защиту виртуальных машин, образов контейнеров и других артефактов от вредоносных действий.
  • Проверяйте артефакты рабочей нагрузки (иными словами, образы контейнеров, зависимости, проверки SAST и DAST) перед развертыванием в рабочем процессе CI/CD.
  • Разверните функции оценки уязвимостей и обнаружения угроз в рабочей среде и постоянно используйте эти функции во время выполнения.

Руководство по Azure. Руководство по виртуальным машинам Azure:

  • Используя Общую коллекцию образов Azure, вы можете делиться своими образами с другими пользователями, субъектами-службами или группами AD в вашей организации и управлять доступом к этим образам. Используйте управление доступом на основе ролей Azure (Azure RBAC), чтобы доступ к пользовательским образам был только у полномочных пользователей.
  • Определите защищенные конфигурационные базы для виртуальных машин, чтобы исключить ненужные учетные данные, разрешения и пакеты. Развертывание и применение базовых показателей конфигурации с помощью пользовательских образов, шаблонов Azure Resource Manager и (или) гостевой конфигурации политики Azure.

Руководство по службам контейнеров Azure:

  • Используйте реестр контейнеров Azure (ACR), чтобы создать частный реестр контейнеров, где подробный доступ может быть ограничен с помощью Azure RBAC, поэтому доступ к контейнерам в частном реестре может получить только авторизованные службы и учетные записи.
  • Используйте Defender для контейнеров для оценки уязвимостей образов в частном реестре контейнеров Azure. Кроме того, вы можете использовать Microsoft Defender for Cloud для интеграции сканирования образов контейнеров в ваши рабочие процессы CI/CD.

Для бессерверных служб Azure примените аналогичные меры, чтобы обеспечить смещение контроля безопасности на этапе перед развертыванием.

Реализация Azure и дополнительный контекст:

Руководство по AWS. Использование Реестра контейнеров Amazon Elastic для совместного использования и управления доступом к изображениям различными пользователями и ролями в организации. Используйте AWS IAM, чтобы доступ к вашим пользовательским образам получали только авторизованные пользователи.

Определите базовые показатели безопасной конфигурации для образов EC2 AMI, чтобы исключить ненужные учетные данные, разрешения и пакеты. Развертывание и применение базовых показателей конфигураций с помощью пользовательских образов AMI, шаблонов CloudFormation и (или) правил конфигурации AWS.

Используйте AWS Inspector для сканирования уязвимостей виртуальных машин и контейнерных сред, что обеспечивает их защиту от вредоносных манипуляций.

Для бессерверных служб AWS используйте AWS CodePipeline вместе с AWS AppConfig для внедрения аналогичных элементов управления, чтобы обеспечить переход элементов управления безопасностью влево на этап до развертывания.

Реализация AWS и дополнительный контекст:

Руководство по GCP: Google Cloud включает элементы управления для защиты вычислительных ресурсов и ресурсов контейнеров Google Kubernetes Engine (GKE). Google включает Shielded VM, который усиливает защиту экземпляров виртуальных машин. Он обеспечивает безопасность загрузки, отслеживает целостность и использует модуль виртуальной доверенной платформы (vTPM).

Используйте Google Cloud Artifact Analysis для проверки уязвимостей в образах контейнеров или ОС и других типов артефактов по запросу или автоматически в конвейерах. Используйте функцию обнаружения угроз в контейнерах для непрерывного мониторинга состояния образов узлов ОС Container-Optimized. Служба оценивает все изменения и попытки удаленного доступа, чтобы обнаруживать атаки во время выполнения почти в реальном времени.

Используйте реестр артефактов, чтобы настроить безопасное хранилище артефактов частной сборки, чтобы обеспечить контроль над доступом, просмотром или скачиванием артефактов с помощью ролей и разрешений IAM на основе реестра, а также для обеспечения согласованной работы в безопасной и надежной инфраструктуре Google.

Для бессерверных служб GCP применяют аналогичные элементы управления, чтобы обеспечить управление безопасностью "shift-left" на этап до развертывания.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):

DS-7. Включение ведения журнала и мониторинга в DevOps

Контрольные меры CIS v8 идентификатор(ы) NIST SP 800-53 r4 Идентификатор(ы) идентификаторы PCI-DSS версии 3.2.1
8.2, 8.5, 8.9, 8.11 AU-3, AU-6, AU-12, SI-4 10.1, 10.2, 10.3, 10.6

Принцип безопасности. Убедитесь, что область ведения журнала и мониторинга включает непроизводственные среды и элементы рабочего процесса CI/CD, используемые в DevOps (и любые другие процессы разработки). Уязвимости и угрозы, направленные на эти среды, могут привести к серьезным рискам в рабочей среде, если не отслеживать их должным образом. Для обнаружения отклонений в заданиях рабочего процесса CI/CD необходимо также отслеживать события сборки, тестирования и развертывания в рамках рабочего процесса CI/CD.

Руководство по Azure. Включение и настройка возможностей ведения журнала аудита в средах, не относящихся к рабочей среде и CI/CD (например, Azure DevOps и GitHub), используемых во время процесса DevOps.

События, созданные из Azure DevOps и рабочего процесса CI/CD GitHub, включая задания сборки, тестирования и развертывания, также следует отслеживать, чтобы определить любые аномальные результаты.

Интеграция приведенных выше журналов и событий в Microsoft Sentinel или другие средства SIEM с помощью потока ведения журнала или API, чтобы гарантировать надлежащее отслеживание и обработку инцидентов безопасности.

Реализация Azure и дополнительный контекст:

Руководство по AWS: Включите и настройте AWS CloudTrail для ведения журналов аудита в нерабочих средах инструментов CI/CD (например, AWS CodePipeline, AWS CodeBuild, AWS CodeDeploy, AWS CodeStar), используемых во время процесса DevOps.

События, созданные из сред CI/CD AWS (например, AWS CodePipeline, AWS CodeBuild, AWS CodeDeploy, AWS CodeStar) и рабочего процесса CI/CD GitHub, включая задания сборки, тестирования и развертывания, также должны отслеживаться для выявления любых аномальных результатов.

Загрузка приведенных выше журналов и событий в AWS CloudWatch, Microsoft Sentinel или другие средства SIEM через поток ведения журнала или API для обеспечения правильного отслеживания и триажа инцидентов безопасности.

Реализация AWS и дополнительный контекст:

Руководство по GCP. Включение и настройка возможностей ведения журнала аудита в непроизводственных средах и средах средств CI/CD для таких продуктов, как Cloud Build, Google Cloud Deploy, Artifact Registry и GitHub, которые можно использовать во время процесса DevOps.

События, созданные из сред CI/CD GCP (например, Cloud Build, Google Cloud Deploy, Artifact Registry) и рабочего процесса CI/CD GitHub, включая задания сборки, тестирования и развертывания, также должны отслеживаться для выявления любых аномальных результатов.

Загрузите приведенные выше журналы и события в Microsoft Sentinel, Центр команд безопасности Google Cloud, Chronicle или другие средства SIEM с помощью потока журналирования или API, чтобы обеспечить правильное отслеживание и обработку инцидентов безопасности.

Реализация GCP и дополнительный контекст:

Заинтересованные лица по безопасности клиентов (дополнительные сведения):