雲在快速發展,開發人員在快速進步,而攻擊者也一直在“推陳出新”。
- 如何跟上形勢並確保雲部署的安全?
- 雲系統與本地系統的安全做法有何不同?
- 如何確保多個獨立開發團隊之間的一致性?
微軟已經發現,使用安全基準可以幫助你快速保護雲部署,並使你能夠快速降低組織面臨的風險。Azure 安全基準 (Azure Security Benchmark,簡稱ABS) 包含一系列安全建議,可用於幫助保護在 Azure 中使用的服務,它包括安全控制和服務基線兩個方面。Azure 安全基準側重於以云為中心的控制領域,這些控制措施與眾所周知的安全基準一致,例如:Internet 安全中心 (CIS) 控制措施、美國國家標準與技術研究院 (NIST) ,以及支付卡行業資料安全標準 (PCI-DSS) 所描述的基準。
今天,我們重點來談一談安全控制之 DevOps 安全性。DevOps 安全性涵蓋 DevOps 過程中與安全工程和操作相關的控制,包括部署關鍵安全檢查 (如靜態應用程式安全測試、在部署階段之前漏洞管理) ,確保整個 DevOps 的安全性,還包括常見主題,如:威脅建模和軟體供應鏈安全性等等。
執行威脅建模
識別潛在的威脅,確保威脅建模具有以下用途:在生產執行時階段保護你的應用程式和服務,以及保護用於生成、測試和部署的專案、底層 CI/CD 管道和其他工具環境。
確保軟體供應鏈安全
確保你的企業的軟體開發生命週期(Software Development Lifecycle)或流程包含一組安全控制,來控制內部和第三方軟體元件 ,包括與應用程式具有依賴關係的專利軟體和開源軟體。定義限制標準,以防止惡意元件被整合和部署到你的環境中。
確安全 DevOps 基礎結構
確保 DevOps 基礎結構和管道遵循跨環境(包括生成、測試和生產階段)的安全性最佳實踐。通常包括以下範圍的安全控制:
- 用於儲存原始碼、生成的 packages 和影像、專案和業務資料的專案儲存庫
- 承載 CI/CD 管道的伺服器、服務和工具
- CI/CD 管道配置
將靜態或動態應用程式安全測試整合到 DevOps 管道中
確保靜態或動態應用程式安全測試是 CI/CD 工作流程中門控控制的一部分。可以根據測試結果設定門控,防止易受攻擊的 packages 提交到儲存庫、構建到 packages 中或部署到生產中。
在 DevOps 生命週期內強制實施工作負載的安全性
確保工作負載在開發、測試和部署階段的整個生命週期中得到保護。使用 Azure 安全基準來評估控制,例如:網路安全、身份管理、特權訪問等等,這些控制可以在預設情況下被設定為護欄,或在部署階段之前進行向左移位。
在 DevOps 中啟用日誌記錄和監視
確保你的日誌記錄和監控範圍包括 DevOps(和任何其他開發過程)中使用的非生產環境和 CI/CD 工作流元素。針對這些環境的漏洞和威脅如果沒有得到適當的監控,可能會給您的生產環境帶來重大風險。還應監視來自 CI/CD 構建、測試和部署工作流的事件,以識別 CI/CD 工作流作業中的偏差。