ソース コード管理システムや継続的インテグレーション/継続的デリバリー パイプラインに対するサイバー攻撃が増加する中、DevOps 脅威マトリックスで特定された多様な脅威に対して DevOps プラットフォームを保護することは極めて重要です。 このようなサイバー攻撃により、コードインジェクション、特権エスカレーション、およびデータ流出が可能になり、広範な影響を及ぼす可能性があります。
Microsoft Defender for Cloud での DevOps 体制管理の特徴は次のとおりです。
- ソフトウェア サプライ チェーンライフサイクル全体のセキュリティ体制に関する分析情報を提供します。
- 詳細な評価に高度なスキャナーを使用します。
- 組織、パイプライン、リポジトリからのさまざまなリソースについて説明します。
- 提供されている推奨事項を明らかにして対処することで、顧客が攻撃対象領域を減らすことができます。
DevOps スキャナー
結果を提供するために、DevOps ポスチャ管理では、DevOps スキャナーを使用して、セキュリティ構成とアクセス制御に対するチェックを実行することで、ソース コード管理と継続的インテグレーション/継続的デリバリー パイプラインの弱点を特定します。
Azure DevOps と GitHub スキャナーは、DevOps リソースに関連するリスクを特定し、攻撃対象領域を減らし、企業の DevOps システムを強化するために、Microsoft 内で内部的に使用されます。
DevOps 環境が接続されると、Defender for Cloud はこれらのスキャナーを自動構成して、次のような複数の DevOps リソースにわたって 24 時間ごとに定期的なスキャンを実行します。
- ビルド
- ファイルのセキュリティ保護
- 変数グループ
- サービス接続
- 組織
- リポジトリ
DevOps 脅威マトリックスのリスク削減
DevOps ポスチャ管理は、組織が DevOps プラットフォームで有害な構成ミスを検出して修復するのを支援します。 これにより、回復力のあるゼロトラスト DevOps 環境が実現され、DevOps 脅威マトリックスで定義されているさまざまな脅威に対して強化されます。 姿勢管理の主要なコントロールには、次のものが含まれます。
スコープシークレットアクセス: 機密情報の漏洩を最小限に抑え、各パイプラインがその機能に不可欠なシークレットにのみアクセスできるようにすることで、不正アクセス、データ漏洩、横移動のリスクを軽減します。
セルフホステッド ランナーと高いアクセス許可の制限: セルフホステッド ランナーを回避し、パイプラインのアクセス許可が既定で読み取り専用であることを確認することで、未承認の実行と潜在的なエスカレーションを防ぎます。
ブランチ保護の強化: ブランチ保護規則を適用し、悪意のあるコードインジェクションを防ぐことで、コードの整合性を維持します。
最適化されたアクセス許可とセキュリティで保護されたリポジトリ: 最小限の基本アクセス許可を追跡することで、不正アクセスや変更のリスクを軽減し、リポジトリのシークレット プッシュ保護を有効にします。
DevOps 脅威マトリックスの詳細について説明します。
DevOps ポーズ管理に関する推奨事項
DevOps スキャナーがソース コード管理システムと継続的インテグレーション/継続的デリバリー パイプライン内のセキュリティのベスト プラクティスからの逸脱を明らかにすると、Defender for Cloud は正確で実用的な推奨事項を出力します。 これらの推奨事項には、次の利点があります。
- 可視性の強化: DevOps 環境のセキュリティ体制に関する包括的な分析情報を取得し、既存の脆弱性を十分に理解できるようにします。 不足しているブランチ保護規則、特権の昇格リスク、および安全性の低い接続を特定して、攻撃を防ぎます。
- 優先度ベースのアクション: 重要度で結果をフィルター処理し、最も重大な脆弱性に最初に対処することで、リソースと作業をより効果的に費やします。
- 攻撃面の縮小: 脆弱な攻撃対象領域を大幅に最小限に抑えるために、強調表示されたセキュリティ ギャップに対処し、潜在的な脅威に対する防御を強化します。
- リアルタイム通知: ワークフロー自動化と統合して、セキュリティで保護された構成が変更されたときにすぐにアラートを受け取ることができ、迅速なアクションが可能になり、セキュリティ プロトコルへの継続的なコンプライアンスが確保されます。