Поделиться через


Применение принципов нулевого доверия к приложениям IaaS в Amazon Web Services

Примечание.

Предстоящее присоединение команды Azure FastTrack к Livestream , как они обсуждают эту статью. 16 октября 2024 г. | 10:00 – 11:30 (UTC-07:00) Тихоокеанское время (США и Канада). Зарегистрируйтесь здесь.

В этой статье приведены инструкции по применению принципов нулевого доверия к приложениям IaaS в Amazon Web Services (AWS):

Принцип нулевого доверия Определение Встречалась
Прямая проверка Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных. Безопасность в DevOps (DevSecOps), используя расширенную безопасность GitHub и DevOps, сканирует и защищает инфраструктуру как код.
Использование доступа с минимальными привилегиями Ограничьте доступ пользователей с помощью технологий JIT/JEA, а также адаптивных политик на основе рисков и средств защиты данных.
  • Управление разрешениями Microsoft Entra обнаруживает, правильного размера и отслеживает неиспользуемые и чрезмерные разрешения.
  • управление привилегированными пользователями (PIM), служба в Microsoft Entra ID P2 позволяет управлять, контролировать и отслеживать доступ к важным ресурсам в организации.
  • Назначьте пользователям управление доступом на основе ролей (RBAC) ресурсам на уровне репозитория, уровне группы или организации.
Предполагайте наличие бреши в системе безопасности Минимизируйте радиус поражения и возможность доступа к сегменту. Используйте сквозное шифрование и аналитику для обеспечения видимости, обнаружения угроз и усиления защиты.
  • Microsoft Defender для облака и Microsoft Defender для конечной точки (Microsoft 365) постоянно сканируют среду для угроз и уязвимостей.
  • Microsoft Sentinel анализирует собранные данные, тенденцию поведения сущностей, аномалий и многоэтапных угроз на разных предприятиях для обнаружения подозрительных действий и может реагировать на автоматизацию.

Дополнительные сведения о применении принципов нулевого доверия в среде IaaS Azure см. в обзоре принципов применения нулевого доверия к Azure IaaS.

Компоненты AWS и AWS

AWS является одним из общедоступных поставщиков облачных решений, доступных на рынке, а также Microsoft Azure, Google Cloud Platform и других. Обычно у компаний есть многооблачная архитектура, состоящая из нескольких поставщиков облачных служб. В этой статье мы рассмотрим архитектуру с несколькими облаками, где:

  • Azure и AWS интегрированы для выполнения рабочих нагрузок и ИТ-бизнес-решений.
  • Вы защищаете рабочую нагрузку AWS IaaS с помощью продуктов Майкрософт.

Виртуальные машины AWS, называемые Amazon Elastic Compute Cloud (Amazon EC2), выполняются поверх виртуальной сети AWS под названием Amazon Virtual Private Cloud (Amazon VPC). Пользователи и администраторы облака настраивают Amazon VPC в своей среде AWS и добавляют виртуальные машины Amazon EC2.

AWS CloudTrail регистрирует действия учетной записи AWS в среде AWS. Amazon EC2, Amazon VPC и AWS CloudTrail распространены в средах AWS. Сбор журналов из этих служб является важным для понимания того, что происходит в вашей среде AWS, и действий, которые необходимо предпринять для предотвращения или устранения атак.

Amazon GuardDuty — это служба обнаружения угроз, которая помогает защитить рабочие нагрузки AWS, отслеживая среду AWS для вредоносных действий и несанкционированного поведения.

В этой статье вы узнаете, как интегрировать мониторинг и ведение журнала этих ресурсов и служб AWS с решениями для мониторинга Azure и стеком безопасности Майкрософт.

Эталонная архитектура

На следующей схеме архитектуры показаны общие службы и ресурсы, необходимые для выполнения рабочей нагрузки IaaS в среде AWS. На схеме также показаны службы Azure, необходимые для приема журналов и данных из среды AWS в Azure, а также для обеспечения мониторинга угроз и защиты.

Схема эталонной архитектуры для защиты приложений IaaS в Amazon Web Services (AWS).

На схеме показано прием журналов в Azure для следующих ресурсов и служб в среде AWS:

  • Amazon Elastic Compute Cloud (Amazon EC2)
  • Amazon Virtual Private Cloud
  • Amazon Web Services CloudTrail (AWS CloudTrail)
  • Amazon GuardDuty

Для приема журналов в Azure для ресурсов и служб в среде AWS необходимо определить Amazon Simple Storage Service (Amazon S3) и Amazon Simple Queue Service (SQS).

Журналы и данные обрабатываются в Log Analytics в Azure Monitor.

Следующие продукты Майкрософт используют прием данных для мониторинга:

  • Microsoft Defender для облака
  • Microsoft Sentinel
  • Microsoft Defender для конечной точки;

Примечание.

Вам не нужно записывать журналы во все продукты Майкрософт, перечисленные для мониторинга ресурсов и служб AWS. Использование всех продуктов Майкрософт вместе, однако, обеспечивает большую выгоду от приема журналов AWS и данных в Azure.

В этой статье описана схема архитектуры и описано, как:

  • Установите и настройте продукты Майкрософт для приема журналов из ресурсов AWS.
  • Настройте метрики для данных безопасности, которые необходимо отслеживать.
  • Улучшайте общую безопасность и защитите рабочую нагрузку AWS.
  • Безопасная инфраструктура в виде кода.

Шаг 1. Установка и подключение продуктов Майкрософт к приему журналов и данных

В этом разделе описано, как установить и подключить продукты Майкрософт в указанной архитектуре для приема журналов из служб и ресурсов AWS и Amazon. Чтобы выполнить явное подтверждение нулевого доверия, необходимо установить продукты Майкрософт и подключиться к вашей среде AWS, чтобы предпринять упреждающие действия перед атакой.

Шаги Задача
а Установите агент подключенного компьютера Azure к виртуальным машинам Amazon Elastic Compute Cloud (Amazon EC2) для приема данных операционной системы и входа в Azure.
Б Установите агент Azure Monitor на виртуальные машины Amazon EC2 для отправки журналов в рабочую область Log Analytics.
C Подключите учетную запись AWS к Microsoft Defender для облака.
D Подключите Microsoft Sentinel к AWS к приему данных журнала AWS.
E Используйте соединители AWS для извлечения журналов служб AWS в Microsoft Sentinel.

А. Установка агента подключенной машины Azure к виртуальным машинам Amazon EC2 для приема данных операционной системы и журналов в Azure

Серверы с поддержкой Azure Arc позволяют управлять физическими серверами Windows и Linux и виртуальными машинами, размещенными за пределами Azure, в корпоративной сети или другом поставщике облачных служб. В целях Azure Arc компьютеры, размещенные за пределами Azure, считаются гибридными компьютерами. Чтобы подключить виртуальные машины Amazon EC2 (также называемые гибридными машинами) к Azure, установите агент подключенного компьютера Azure на каждом компьютере.

Дополнительные сведения см. в статье "Подключение гибридных компьютеров к Azure".

B. Установка агента Azure Monitor на виртуальных машинах Amazon EC2 для отправки журналов в рабочую область Log Analytics

Azure Monitor обеспечивает полный мониторинг ресурсов и приложений, работающих в Azure и других облаках, включая AWS. Azure Monitor собирает, анализирует и применяет данные телеметрии из облачных и локальных сред. Аналитика виртуальных машин в Azure Monitor использует серверы с поддержкой Azure Arc для обеспечения согласованного взаимодействия между виртуальными машинами Azure и виртуальными машинами Amazon EC2. Вы можете просматривать виртуальные машины Amazon EC2 прямо рядом с виртуальными машинами Azure. Вы можете подключить виртуальные машины Amazon EC2 с помощью идентичных методов. Это включает использование стандартных конструкций Azure, таких как Политика Azure и применение тегов.

При включении аналитики виртуальных машин для компьютера устанавливается агент Azure Monitor (AMA). AMA собирает данные мониторинга с виртуальных машин Amazon EC2 и поставляет их в Azure Monitor для использования функциями, аналитическими сведениями и другими службами, такими как Microsoft Sentinel и Microsoft Defender для облака.

Внимание

Log Analytics — это средство в портал Azure, которое вы используете для редактирования и выполнения запросов журналов к данным в хранилище журналов Azure Monitor. Log Analytics устанавливается автоматически.

На виртуальных машинах Amazon EC2 может быть установлен устаревший агент Log Analytics. Этот агент будет устарел в сентябре 2024 года. Корпорация Майкрософт рекомендует установить новый агент Azure Monitor.

Агент Log Analytics или агент Azure Monitor для Windows и Linux требуется:

  • Упреждающее отслеживание операционной системы и рабочих нагрузок, выполняемых на компьютере.
  • Управление компьютером с помощью модулей Runbook службы автоматизации или решений, таких как управление обновлениями.
  • Используйте другие службы Azure, например Microsoft Defender для облака.

При сборе журналов и данных сведения хранятся в рабочей области Log Analytics. Если вы собираете данные из ресурсов Azure в подписке, вам потребуется рабочая область Log Analytics.

Книги Azure Monitor — это средство визуализации, доступное в портал Azure. Книги объединяют текст, запросы аналитики, метрики и параметры в подробные интерактивные отчеты. Настройка книг помогает использовать аналитику для соблюдения принципа нарушения нулевого доверия.

Книги рассматриваются в следующей статье в разделе "Мониторинг" в журналах Microsoft Sentinel из Amazon Virtual Private Cloud Cloud (Amazon VPC), AWS CloudTrail и Amazon GuardDuty.

Дополнительные сведения см. в разделе:

C. Подключение учетной записи AWS к Microsoft Defender для облака

Microsoft Defender для облака — это служба управления posture Cloud Security (CSPM) и платформа защиты от облачных рабочих нагрузок (CWPP) для всех ресурсов Azure, локальных и многооблачных ресурсов, включая AWS. Defender для облака удовлетворяет три важные потребности в управлении безопасностью ресурсов и рабочих нагрузок в облачной и локальной среде:

Microsoft Defender для серверов — это один из платных планов, предоставляемых Microsoft Defender для облака. Defender для серверов расширяет защиту на компьютерах Windows и Linux, работающих в Azure, AWS, Google Cloud Platform и локальной среде. Defender для серверов интегрируется с Microsoft Defender для конечной точки для предоставления обнаружение и нейтрализация атак на конечные точки (EDR) и других функций защиты от угроз.

Дополнительные сведения см. в разделе:

Примечание.

Если вы еще не развернули AMA на серверах, вы можете развернуть агент Azure Monitor на серверах при включении Defender для серверов.

D. Подключение Microsoft Sentinel к AWS к приему данных журнала AWS

Microsoft Sentinel — это масштабируемое облачное решение, которое предоставляет следующие службы:

  • SIEM
  • Оркестрация, автоматизация и реагирование системы безопасности (SOAR)

Microsoft Sentinel предоставляет аналитику безопасности и аналитику угроз на предприятии. Используя Microsoft Sentinel, вы получаете единое решение для обнаружения атак, отображения угроз, их упреждающего поиска и реагирования на них.

Инструкции по настройке см. в разделе "Подключение Microsoft Sentinel".

Е. Использование соединителей AWS для извлечения журналов служб AWS в Microsoft Sentinel

Чтобы извлечь журналы службы AWS в Microsoft Sentinel, необходимо использовать соединитель AWS Microsoft Sentinel. Соединитель работает путем предоставления Microsoft Sentinel доступа к журналам ресурсов AWS. Настройка соединителя устанавливает отношение доверия между AWS и Microsoft Sentinel. В AWS создается роль, которая предоставляет разрешение Microsoft Sentinel для доступа к журналам AWS.

Соединитель AWS доступен в двух версиях: новый соединитель Amazon Simple Storage Service (Amazon S3), который отправляет журналы, извлекая их из контейнера Amazon S3 и устаревшего соединителя для управления CloudTrail и журналов данных. Соединитель Amazon S3 может получать журналы из Amazon Virtual Private Cloud Cloud (Amazon VPC), AWS CloudTrail и Amazon GuardDuty. Соединитель Amazon S3 находится в предварительной версии. Рекомендуется использовать соединитель Amazon S3.

Сведения о приеме журналов из Amazon VPC, AWS CloudTrail и Amazon GuardDuty с помощью соединителя Amazon S3 см. в статье "Подключение Microsoft Sentinel к AWS".

Примечание.

Корпорация Майкрософт рекомендует использовать скрипт автоматической установки для развертывания соединителя Amazon S3. Если вы предпочитаете выполнять каждый шаг вручную, следуйте инструкциям по настройке вручную, чтобы подключить Microsoft Sentinel к AWS.

Шаг 2. Настройка метрик для данных безопасности

Теперь, когда Azure использует журналы из ресурсов AWS, вы можете создавать правила обнаружения угроз в среде и отслеживать оповещения. В этой статье описывается, как собирать журналы и данные и отслеживать подозрительные действия. Предполагается, что принцип нарушения нулевого доверия достигается путем мониторинга среды для угроз и уязвимостей.

Шаги Задача
а Сбор журналов Amazon Elastic Compute Cloud (Amazon EC2) в Azure Monitor.
Б Просмотр оповещений и рекомендаций для Amazon EC2 и управление ими и управление и Microsoft Defender для облака ми.
C Интеграция Microsoft Defender для конечной точки с Defender для облака.
D Мониторинг данных Amazon EC2 в Microsoft Sentinel.
E Отслеживайте журналы Microsoft Sentinel из Amazon Virtual Private Cloud Cloud (Amazon VPC), AWS CloudTrail и Amazon GuardDuty.
F Используйте Microsoft Sentinel, встроенные в правила обнаружения, чтобы создавать и исследовать правила обнаружения угроз в вашей среде.

А. Сбор журналов Amazon Elastic Compute Cloud (Amazon EC2) в Azure Monitor

Агент подключенного компьютера Azure, установленный на виртуальных машинах Amazon EC2, позволяет отслеживать ресурсы AWS, как если бы они были ресурсами Azure. Например, политики Azure можно использовать для управления обновлениями виртуальных машин Amazon EC2 и управления ими.

Агент Azure Monitor (AMA), установленный на виртуальных машинах Amazon EC2, собирает данные мониторинга и передает его в Azure Monitor. Эти журналы становятся входными данными для Microsoft Sentinel и Defender для облака.

Сведения о сборе журналов с виртуальных машин Amazon EC2 см. в статье о создании правил сбора данных.

B. Просмотр оповещений системы безопасности и рекомендаций для Amazon EC2 и управление ими и управление и Microsoft Defender для облака ми

Microsoft Defender для облака использует журналы ресурсов для создания оповещений и рекомендаций системы безопасности. Defender для облака могут предоставлять оповещения, чтобы предупредить вас о возможных угрозах на виртуальных машинах Amazon EC2. Оповещения определяются по серьезности. Каждое оповещение содержит подробные сведения о затрагиваемых ресурсах, проблемах и рекомендациях по исправлению.

В портал Azure есть два способа просмотра рекомендаций. На странице обзора Defender для облака вы просматриваете рекомендации по улучшению среды. На странице инвентаризации активов Defender для облака рекомендации отображаются в соответствии с затронутым ресурсом.

Просмотр оповещений и рекомендаций Amazon EC2 и управление ими:

Примечание.

Microsoft Cloud Security Benchmark (MCSB) включает в себя коллекцию рекомендаций по безопасности с высоким уровнем влияния, которые можно использовать для защиты облачных служб в одной или многооблачной среде. Корпорация Майкрософт рекомендует использовать тесты безопасности, чтобы быстро защитить облачные развертывания. Дополнительные сведения о MCSB.

C. Интеграция Microsoft Defender для конечной точки с Defender для облака

Защита конечных точек с помощью интегрированного решения обнаружение и нейтрализация атак на конечные точки Defender для облака Microsoft Defender для конечной точки. Microsoft Defender для конечной точки защищает компьютеры Windows и Linux от размещения в Azure, локальной среде или среде с несколькими облаками. Microsoft Defender для конечной точки — это комплексное облачное решение для обеспечения безопасности конечных точек. Основные функции:

  • Управление уязвимостями и оценка уязвимостей на основе рисков
  • Сокращение направлений атак
  • Защита на основе поведения и безопасность в облаке
  • Обнаружение и нейтрализация атак на конечные точки (EDR)
  • Автоматическое исследование и исправление
  • Управляемые службы охоты

Дополнительные сведения см. в разделе "Включение интеграции Microsoft Defender для конечной точки".

D. Мониторинг данных Amazon EC2 в Microsoft Sentinel

После установки агента подключенной машины Azure и AMA операционные системы Amazon EC2 начинают отправлять журналы в таблицы Azure Log Analytics, которые автоматически доступны Microsoft Sentinel.

На следующем рисунке показано, как журналы операционной системы Amazon EC2 обрабатываются Microsoft Sentinel. Агент подключенного компьютера Azure делает виртуальные машины Amazon EC2 частью Azure. События Безопасность Windows через соединитель данных AMA собирают данные из виртуальных машин Amazon EC2.

Схема журналов операционной системы, принятых Microsoft Sentinel.

Примечание.

Вам не нужен Microsoft Sentinel для приема журналов из Amazon EC2, но вам потребуется ранее настроенная рабочая область Log Analytics.

Пошаговые инструкции см. в разделе Amazon EC2 Sentinel Ingestion с помощью Arc и AMA, который является документом в GitHub. Документ GitHub обращается к установке AMA, который можно пропустить, так как вы установили AMA ранее в этом руководстве по решению.

Е. Мониторинг журналов Microsoft Sentinel из Amazon Virtual Private Cloud Cloud (Amazon VPC), AWS CloudTrail и Amazon GuardDuty

Ранее вы подключили Microsoft Sentinel к AWS с помощью соединителя Amazon Simple Storage Service (Amazon S3). Контейнер Amazon S3 отправляет журналы в рабочую область Log Analytics, базовое средство, используемое для их запроса. В рабочей области создаются следующие таблицы:

  • Журналы AWSCloudTrail — AWS CloudTrail содержат все события данных и управления учетной записью AWS.
  • AWSGuardDuty — Amazon GuardDuty Результаты представляют потенциальную проблему безопасности, обнаруженную в вашей сети. Amazon GuardDuty создает поиск всякий раз, когда обнаруживает непредвиденное и потенциально вредоносное действие в вашей среде AWS.
  • AWSVPCFlow — журналы потоков Amazon Virtual Cloud (Amazon VPC) позволяют записывать IP-трафик из сетевых интерфейсов Amazon VPC и из нее.

Журналы потоков Amazon VPC, AWS CloudTrail и Amazon GuardDuty можно запросить в Microsoft Sentinel. Ниже приведены примеры запросов для каждой службы и соответствующей таблицы в Log Analytics:

Для журналов Amazon GuardDuty:

AWSGuardDuty | Where Серьезность > 7 | суммирование count() by ActivityType

Для журналов потоков Amazon VPC:

AWSVPCFlow | Where Action == "REJECT" | where Type == "Ipv4" | принять 10

Для журналов AWS CloudTrail:

AWSCloudTrail | where EventName == "CreateUser" | суммирование count() по AWSRegion

В Microsoft Sentinel вы используете книгу Amazon S3 для анализа дополнительных сведений.

Для AWS CloudTrail можно проанализировать:

  • Поток данных с течением времени
  • Идентификаторы учетных записей
  • Список источников событий

Для Amazon GuardDuty можно проанализировать:

  • Amazon GuardDuty по карте
  • Amazon GuardDuty по регионам
  • Amazon GuardDuty по IP-адресу

F. Использование Microsoft Sentinel, встроенных в правила обнаружения, для создания и изучения правил обнаружения угроз в вашей среде

Теперь, когда вы подключили источники данных к Microsoft Sentinel, используйте встроенные шаблоны правил обнаружения Microsoft Sentinels для создания и изучения правил обнаружения угроз в вашей среде. Microsoft Sentinel предоставляет встроенные шаблоны для создания правил обнаружения угроз.

Команда экспертов по безопасности и аналитиков майкрософт разрабатывает шаблоны правил на основе известных угроз, распространенных векторов атак и подозрительных цепочек эскалации действий. Правила, созданные из этих шаблонов, автоматически выполняют поиск в вашей среде для любых действий, которые выглядят подозрительными. Множество шаблонов для поиска действий можно настроить или отфильтровать их в соответствии с вашими потребностями. Оповещения, созданные этими правилами, создают инциденты, которые можно назначать и исследовать в вашей среде.

Дополнительные сведения см. в статье об обнаружении угроз со встроенными правилами аналитики в Microsoft Sentinel.

Шаг 3. Улучшение общего состояния безопасности

В этом разделе описано, как Управление разрешениями Microsoft Entra помогает отслеживать неиспользуемые и избыточные разрешения. Пошаговые инструкции по настройке, подключению и просмотру ключевых данных. Принцип доступа к наименее привилегированным пользователям нуль-доверия достигается путем управления, контроля и мониторинга доступа к ресурсам.

Шаги Задача
а Настройка управления разрешениями и управление привилегированными пользователями.
Б Подключение учетной записи AWS.
C Просмотр ключевых статистических данных и данных.

Настройка управления разрешениями

Управление разрешениями — это решение для управления правами облачной инфраструктуры (CIEM), которое обнаруживает автоматически правильные размеры и постоянно отслеживает неиспользуемые и избыточные разрешения в многооблачной инфраструктуре.

Управление разрешениями углубляет стратегии безопасности нулевого доверия, расширяя принцип доступа с минимальными привилегиями, позволяя клиентам:

  • Получать исчерпывающие сведения о том, что делает какое удостоверение, где и когда.
  • Автоматизация доступа по крайней мере привилегий. Используйте аналитику доступа, чтобы убедиться, что удостоверения имеют правильные разрешения в нужное время.
  • Объединение политик доступа на платформах IaaS: реализация согласованных политик безопасности в облачной инфраструктуре.

Управление разрешениями содержит сводку ключевых статистических данных и данных для AWS и Azure. Данные включают метрики, связанные с избегаемым риском. Эти метрики позволяют администратору управления разрешениями определять области, в которых риски, связанные с принципом доступа "Нулевое доверие", могут быть сокращены.

Данные можно передавать в Microsoft Sentinel для дальнейшего анализа и автоматизации.

Сведения о реализации задач см. в статье:

Шаг 4. Защита инфраструктуры в виде кода

В этом разделе рассматриваются основные аспекты DevSecOps, сканирование и защита инфраструктуры в виде кода. Для инфраструктуры как кода, команды безопасности и DevOps должны отслеживать неправильно настроенные конфигурации, которые могут привести к уязвимостям в развертываниях инфраструктуры.

Реализуя непрерывные проверки в Azure Resource Manager (ARM), Bicep или шаблоны Terraform, вы предотвращаете нарушения и эксплойты в начале разработки, когда они менее дорогостоящи для исправления. Вы также хотите обеспечить жесткий контроль над администраторами и группами учетных записей служб в идентификаторе Microsoft Entra и средстве DevOps.

Вы реализуете принцип доступа с наименьшими привилегиями для нулевого доверия:

  • Проведение надежных проверок конфигураций инфраструктуры с минимальными привилегиями доступа к удостоверениям и настройке сети.
  • Назначение пользователям управления доступом на основе ролей (RBAC) ресурсам на уровне репозитория, уровне группы или организации.

Необходимые условия:

  • Репозитории кода находятся в Azure DevOps или GitHub
  • Конвейеры размещаются в Azure DevOps или GitHub
Шаги Задача
а Включите DevSecOps для инфраструктуры в виде кода (IaC).
Б Реализуйте инструменты RBAC для DevOps.
C Включите расширенную безопасность GitHub.
D Просмотр результатов сканирования кода и секретов.

А. Включение DevSecOps для IaC

Defender для DevOps обеспечивает видимость безопасности среды с несколькими конвейерами независимо от того, находятся ли код и конвейеры в Azure DevOps или GitHub. Он имеет дополнительное преимущество реализации одной панели стекла, где команды безопасности и DevOps могут видеть результаты сканирования всех своих репозиториев на одной панели мониторинга и настроить процесс запроса на вытягивание для устранения любых проблем.

Дополнительные сведения см. в разделе:

B. Реализация средств RBAC для DevOps

Вам необходимо управлять и реализовывать методики управления звуком для вашей команды, такие как разрешения управления доступом на основе ролей. Если не зеркалировать эту модель в среде автоматизации DevOps, вы оставляет открытым черный ход для угроз безопасности. Рассмотрим пример, когда у разработчика нет доступа через шаблоны ARM. Разработчик может по-прежнему иметь достаточные разрешения для изменения кода приложения или инфраструктуры в качестве кода и запуска рабочего процесса автоматизации. Разработчик может опосредованно (через DevOps) получить доступ и внести необратимые изменения в шаблоны ARM.

При развертывании облачных решений для развертываний инфраструктуры безопасность всегда должна быть самой важной задачей. Корпорация Майкрософт защищает базовую облачную инфраструктуру. Вы настраиваете безопасность в Azure DevOps или GitHub.

Чтобы настроить безопасность:

  • В Azure DevOps можно использовать группы безопасности, политики и параметры на уровне организации или коллекции, проекта или объекта.
  • В GitHub можно назначить пользователям доступ к ресурсам, предоставив им роли на уровне репозитория, уровне группы или организации.

C. Включение GitHub Advanced Security

Для упреждающего обеспечения безопасности сред важно постоянно отслеживать и укреплять безопасность DevOps. GitHub Advanced Security автоматизирует проверки в конвейере, чтобы искать открытые секреты, уязвимости зависимостей и многое другое. GitHub предоставляет дополнительные функции безопасности клиентам по лицензии Advanced Security.

По умолчанию GitHub Advanced Security включен для общедоступных репозиториев. Для частных репозиториев необходимо использовать лицензирование GitHub Advanced Security. После включения можно приступить к использованию множества функций, которые входят в набор расширенной безопасности GitHub:

  • Проверка кода
  • Проверка зависимостей
  • Сканирование секретов
  • Управление доступом
  • Оповещения об уязвимостях
  • Журнал аудита
  • Правила защиты ветвей
  • Проверки запросов на включение изменений

С помощью этих функций вы можете обеспечить безопасность и соответствие кода отраслевым стандартам. Вы также можете создавать автоматизированные рабочие процессы, чтобы быстро обнаруживать и устранять любые проблемы безопасности в коде. Кроме того, можно использовать правила защиты ветви для предотвращения несанкционированных изменений в базе кода.

Дополнительные сведения см. в разделе "Включение расширенной безопасности GitHub".

D. Просмотр результатов сканирования кода и секретов

Defender для DevOps, доступная в Defender для облака, позволяет командам безопасности управлять безопасностью DevOps в нескольких средах конвейера. Defender для DevOps использует центральную консоль, чтобы команды по безопасности могли обеспечить защиту приложений и ресурсов из кода в облако в средах с несколькими конвейерами, таких как GitHub и Azure DevOps.

Defender для DevOps предоставляет результаты безопасности в виде заметок в запросах на вытягивание (PR). Операторы безопасности могут включать заметки pr в Microsoft Defender для облака. Проблемы, предоставляемые разработчиками, могут быть устранены. Этот процесс может предотвратить и устранить потенциальные уязвимости системы безопасности и неправильно настроить их перед вводом в рабочую стадию. Заметки pr можно настроить в Azure DevOps. Заметки pr можно получить в GitHub, если вы являетесь клиентом расширенной безопасности GitHub.

Дополнительные сведения см. в разделе:

Следующие шаги

Дополнительные сведения о службах Azure, рассмотренных в этой статье:

Дополнительные сведения о службах и ресурсах AWS и Amazon, рассмотренных в этой статье: