Verbessern des Sicherheitsstatus der DevOps-Umgebung

Mit einer Zunahme von Cyberangriffen auf Quellcodeverwaltungssysteme und kontinuierlichen Integrations-/kontinuierlichen Bereitstellungspipelines ist die Sicherung von DevOps-Plattformen gegen die Vielzahl von Bedrohungen, die in der DevOps-Bedrohungsmatrix identifiziert werden, von entscheidender Bedeutung. Solche Cyberangriffe können Codeinjektion, Rechteausweitung und Datenexfiltration ermöglichen, was potenziell zu umfangreichen Auswirkungen führt.

Die DevOps-Haltungsverwaltung ist ein Feature in Microsoft Defender for Cloud, das:

  • Einblicke in den Sicherheitsstatus des gesamten Lebenszyklus der Software-Logistikkette bietet.
  • Erweiterte Scanner für eingehende Bewertungen verwendet.
  • Deckt verschiedene Ressourcen aus Organisationen, Pipelines und Repositorys ab.
  • Ermöglicht Kunden, ihre Angriffsfläche zu reduzieren, indem sie die bereitgestellten Empfehlungen aufdecken und handeln.

DevOps-Scanner

Um Erkenntnisse bereitzustellen, verwendet DevOps Posture Management DevOps-Scanner, um Schwachstellen bei der Quellcodeverwaltung und kontinuierlichen Integrations-/Continous Delivery Pipelines zu identifizieren, indem Sie Überprüfungen auf die Sicherheitskonfigurationen und Zugriffskontrollen durchführen.

Azure DevOps- und GitHub-Scanner werden intern in Microsoft verwendet, um Risiken im Zusammenhang mit DevOps-Ressourcen zu identifizieren, die Angriffsfläche zu reduzieren und Die DevOps-Systeme des Unternehmens zu stärken.

Sobald eine DevOps-Umgebung verbunden ist, konfiguriert Defender for Cloud diese Scanner automatisch, um wiederkehrende Scans alle 24 Stunden über mehrere DevOps-Ressourcen hinweg durchzuführen, einschließlich:

  • Builds
  • Sichere Dateien
  • Variablengruppen
  • Dienstverbindungen
  • Organisationen
  • Repositorys

Risikominderung der DevOps-Bedrohungsmatrix

DevOps-Statusverwaltung unterstützt Organisationen bei der Ermittlung und Behebung schädlicher Fehlkonfigurationen in der DevOps-Plattform. Dies führt zu einer robusten, Zero-Trust DevOps-Umgebung, die gegen eine Reihe von Bedrohungen gestärkt wird, die in der DevOps-Bedrohungsmatrix definiert sind. Zu den primären Steuerungssteuerelementen für die Haltungsverwaltung gehören:

  • Bereichsbezogener geheimer Zugriff: Minimieren Sie die Gefährdung vertraulicher Informationen und verringern Sie das Risiko nicht autorisierter Zugriffe, Datenlecks und lateraler Bewegungen, indem Sie sicherstellen, dass jede Pipeline nur Zugriff auf die geheimen Schlüssel hat, die für ihre Funktion unerlässlich sind.

  • Einschränkung von selbst gehosteten Runnern und hohen Berechtigungen: Verhindern Sie nicht autorisierte Ausführungen und potenzielle Eskalationen, indem Sie selbst gehostete Läufer vermeiden und sicherstellen, dass Pipelineberechtigungen standardmäßig schreibgeschützt sind.

  • Erweiterter Branch-Schutz: Bewahren Sie die Integrität des Codes, indem Sie Branch-Schutzregeln erzwingen und schädliche Codeeinschleusungen verhindern.

  • Optimierte Berechtigungen und sichere Repositorys: Verringern Sie das Risiko nicht autorisierten Zugriffs und Änderungen, indem Sie Mindestgrundberechtigungen nachverfolgen und den geheimen Push-Schutz für Repositorys aktivieren.

  • Erfahren Sie mehr über die DevOps-Bedrohungsmatrix.

Empfehlungen zur DevOps-Statusverwaltung

Wenn die DevOps-Scanner Abweichungen von den bewährten Methoden der Sicherheit innerhalb von Quellcodeverwaltungssystemen und kontinuierlichen Integrations-/Continous Delivery-Pipelines erkennen, gibt Defender für Cloud präzise und umsetzbare Empfehlungen aus. Diese Empfehlungen haben die folgenden Vorteile:

  • Verbesserte Sichtbarkeit: Erhalten Sie umfassende Einblicke in den Sicherheitsstatus von DevOps-Umgebungen, um ein abgerundetes Verständnis aller vorhandenen Sicherheitsrisiken sicherzustellen. Identifizieren Sie fehlende Branch-Schutzregeln, Risiken der Rechteausweitung und unsichere Verbindungen, um Angriffe zu verhindern.
  • Prioritätsbasierte Aktion: Filtern Sie Ergebnisse nach Schweregrad, um Ressourcen und Anstrengungen effektiver auszugeben, indem Sie zuerst die wichtigsten Sicherheitsrisiken behandeln.
  • Verringerung der Angriffsfläche: Es wurden Sicherheitslücken hervorgehoben, um anfällige Angriffsflächen erheblich zu minimieren und so die Abwehr potenzieller Bedrohungen zu erhärten.
  • Echtzeitbenachrichtigungen: Die Möglichkeit, in Workflowautomatisierungen zu integrieren, um sofortige Warnungen zu erhalten, wenn sich sichere Konfigurationen ändern, sodass schnelle Maßnahmen ergriffen und die dauerhafte Einhaltung von Sicherheitsprotokollen sichergestellt werden.

Nächste Schritte