Melhorar a postura de segurança do ambiente de DevOps
Com um aumento dos ataques cibernéticos em sistemas de gerenciamento de código-fonte e em pipelines de integração contínua/entrega contínua, é crucial proteger as plataformas de DevOps contra a ampla gama de ameaças identificadas na Matriz de ameaças de DevOps. Esses ataques cibernéticos podem permitir a injeção de código, a elevação de privilégio e a exfiltração dos dados, potencialmente resultando em um amplo impacto.
O gerenciamento da postura de DevOps é um recurso do Microsoft Defender para Nuvem que:
- Fornece insights sobre a postura de segurança de todo o ciclo de vida da cadeia de fornecimento de software.
- Usa verificadores avançados para oferecer avaliações detalhadas.
- Abrange vários recursos, de organizações e pipelines a repositórios.
- Permite que os clientes reduzam a superfície de ataque descobrindo as recomendações fornecidas e tomando medidas com base nelas.
Verificadores de DevOps
Para fornecer conclusões, o gerenciamento da postura de DevOps usa verificadores de DevOps para identificar os pontos fracos no gerenciamento de código-fonte e nos pipelines de integração contínua/entrega contínua executando verificações em relação às configurações de segurança e aos controles de acesso.
Os verificadores do Azure DevOps e do GitHub são usados internamente na Microsoft para identificar os riscos associados aos recursos de DevOps, reduzindo a superfície de ataque e reforçando os sistemas de DevOps corporativos.
Depois que um ambiente de DevOps é conectado, o Defender para Nuvem configura automaticamente esses verificadores para realizar verificações recorrentes a cada 24 horas em vários recursos de DevOps, incluindo:
- Compilações
- Arquivos seguros
- Grupos de Variáveis
- Conexões de Serviço
- Organizações
- Repositórios
Redução de risco da matriz de ameaças de DevOps
O gerenciamento da postura de DevOps auxilia as organizações na descoberta e na correção de configurações incorretas prejudiciais na plataforma de DevOps. Isso resulta em um ambiente de DevOps resiliente e de confiança zero, que é reforçado em relação a uma série de ameaças definidas na matriz de ameaças de DevOps. Os principais controles de gerenciamento da postura incluem:
Acesso aos segredos com escopo: minimize a exposição de informações confidenciais e reduza o risco de acesso não autorizado, vazamentos de dados e movimentações laterais, garantindo que cada pipeline tenha acesso apenas aos segredos essenciais à respectiva função.
Restrição de executores auto-hospedados e permissões elevadas: impeça execuções não autorizadas e possíveis elevações, evitando o uso de executores auto-hospedados e garantindo que as permissões de pipeline sejam somente leitura por padrão.
Proteção aprimorada de branch: mantenha a integridade do código impondo regras de proteção de branch e impedindo injeções de código mal-intencionadas.
Permissões otimizadas e repositórios seguros: reduza o risco de acesso não autorizado, modificações por meio do acompanhamento das permissões base mínimas e habilitação da proteção contra push de segredos nos repositórios.
Saiba mais sobre a matriz de ameaças de DevOps.
Recomendações de gerenciamento da postura de DevOps
Quando os verificadores de DevOps descobrem desvios das melhores práticas de segurança em sistemas de gerenciamento de código-fonte e em pipelines de integração contínua/entrega contínua, o Defender para Nuvem gera recomendações precisas e acionáveis. Essas recomendações trazem os seguintes benefícios:
- Visibilidade aprimorada: obtenha insights abrangentes sobre a postura de segurança dos ambientes de DevOps, garantindo uma ampla compreensão das vulnerabilidades existentes. Identifique regras de proteção de branch ausentes, riscos de elevação de privilégio e conexões não seguras para evitar ataques.
- Ação baseada em prioridade: filtre os resultados por gravidade para gastar recursos e esforços com mais eficiência, resolvendo as vulnerabilidades mais críticas primeiro.
- Redução da superfície de ataque: resolva as lacunas de segurança realçadas para minimizar consideravelmente as superfícies de ataque vulneráveis, reforçando as defesas contra possíveis ameaças.
- Notificações em tempo real: capacidade de integração a automações de fluxo de trabalho para receber alertas imediatos quando as configurações seguras forem alteradas, permitindo a ação imediata e garantindo a conformidade prolongada com os protocolos de segurança.