如何打赢一场 DevOps 阻击战

云在快速发展,开发人员在快速进步,而攻击者也一直在“推陈出新”。

  • 如何跟上形势并确保云部署的安全?
  • 云系统与本地系统的安全做法有何不同?
  • 如何确保多个独立开发团队之间的一致性?
微软已经发现,使用安全基准可以帮助你快速保护云部署,并使你能够快速降低组织面临的风险。Azure 安全基准 (Azure Security Benchmark,简称ABS) 包含一系列安全建议,可用于帮助保护在 Azure 中使用的服务,它包括安全控制和服务基线两个方面。Azure 安全基准侧重于以云为中心的控制领域,这些控制措施与众所周知的安全基准一致,例如:Internet 安全中心 (CIS) 控制措施、美国国家标准与技术研究院 (NIST) ,以及支付卡行业数据安全标准 (PCI-DSS) 所描述的基准。
【如何打赢一场 DevOps 阻击战】今天,我们重点来谈一谈安全控制之 DevOps 安全性。DevOps 安全性涵盖 DevOps 过程中与安全工程和操作相关的控制,包括部署关键安全检查 (如静态应用程序安全测试、在部署阶段之前漏洞管理) ,确保整个 DevOps 的安全性,还包括常见主题,如:威胁建模和软件供应链安全性等等。
执行威胁建模 识别潜在的威胁,确保威胁建模具有以下用途:在生产运行时阶段保护你的应用程序和服务,以及保护用于生成、测试和部署的项目、底层 CI/CD 管道和其他工具环境。
确保软件供应链安全 确保你的企业的软件开发生命周期(Software Development Lifecycle)或流程包含一组安全控制,来控制内部和第三方软件组件 ,包括与应用程序具有依赖关系的专利软件和开源软件。定义限制标准,以防止恶意组件被集成和部署到你的环境中。
确安全 DevOps 基础结构 确保 DevOps 基础结构和管道遵循跨环境(包括生成、测试和生产阶段)的安全性最佳实践。通常包括以下范围的安全控制:
  • 用于存储源代码、生成的 packages 和图像、项目和业务数据的项目存储库
  • 承载 CI/CD 管道的服务器、服务和工具
  • CI/CD 管道配置
将静态或动态应用程序安全测试集成到 DevOps 管道中 确保静态或动态应用程序安全测试是 CI/CD 工作流程中门控控制的一部分。可以根据测试结果设置门控,防止易受攻击的 packages 提交到存储库、构建到 packages 中或部署到生产中。
在 DevOps 生命周期内强制实施工作负载的安全性 确保工作负载在开发、测试和部署阶段的整个生命周期中得到保护。使用 Azure 安全基准来评估控制,例如:网络安全、身份管理、特权访问等等,这些控制可以在默认情况下被设置为护栏,或在部署阶段之前进行向左移位。
在 DevOps 中启用日志记录和监视 确保你的日志记录和监控范围包括 DevOps(和任何其他开发过程)中使用的非生产环境和 CI/CD 工作流元素。针对这些环境的漏洞和威胁如果没有得到适当的监控,可能会给您的生产环境带来重大风险。还应监视来自 CI/CD 构建、测试和部署工作流的事件,以识别 CI/CD 工作流作业中的偏差。
点击查看更详细的操作指南

    推荐阅读