Beveiligingsbeheer: DevOps-beveiliging

DevOps Security omvat de controles met betrekking tot de beveiligingstechniek en -bewerkingen in de DevOps-processen, waaronder de implementatie van kritieke beveiligingscontroles (zoals statische toepassingsbeveiligingstests, beveiligingsbeheer) voorafgaand aan de implementatiefase om de beveiliging tijdens het DevOps-proces te garanderen; het bevat ook algemene onderwerpen zoals threat modeling en beveiliging van softwarelevering.

DS-1: Threat Modeling uitvoeren

Beveiligingsprincipe: Voer bedreigingsmodellering uit om de mogelijke bedreigingen te identificeren en de besturingselementen voor beperkende maatregelen op te sommen. Zorg ervoor dat uw threat modeling de volgende doeleinden heeft:

• Beveilig uw toepassingen en services in de runtimefase van de productie.
• Beveilig de artefacten, onderliggende CI/CD-pijplijn en andere hulpprogrammaomgevingen die worden gebruikt voor het bouwen, testen en implementeren. De bedreigingsmodellering moet ten minste de volgende aspecten bevatten:
• Definieer de beveiligingsvereisten van de toepassing. Zorg ervoor dat deze vereisten adequaat worden aangepakt in de threat modeling.
• Toepassingsonderdelen, gegevensverbindingen en hun relatie analyseren. Zorg ervoor dat deze analyse ook de upstream- en downstreamverbindingen bevat buiten uw toepassingsbereik.
• Vermeld de mogelijke bedreigingen en aanvalsvectoren waarop uw toepassingsonderdelen, gegevensverbindingen en upstream- en downstreamservices mogelijk worden blootgesteld.
• Identificeer de toepasselijke beveiligingscontroles die kunnen worden gebruikt om de bedreigingen te beperken en identificeer eventuele hiaten in besturingselementen (bijvoorbeeld beveiligingsproblemen) waarvoor mogelijk aanvullende behandelplannen nodig zijn.
• Inventariseer en ontwerp de besturingselementen die de geïdentificeerde beveiligingsproblemen kunnen beperken.
  

Azure-richtlijnen: Gebruik hulpprogramma's voor bedreigingsmodellering, zoals het hulpprogramma voor bedreigingsmodellering van Microsoft, met de azure-sjabloon voor bedreigingsmodellen die zijn ingesloten om uw threat modeling-proces te stimuleren. Gebruik het STRIDE-model om de bedreigingen van zowel intern als extern te inventariseren en de toepasselijke besturingselementen te identificeren. Zorg ervoor dat het bedreigingsmodelleringsproces de bedreigingsscenario's in het DevOps-proces bevat, zoals schadelijke code-injectie via een onveilige opslagplaats voor artefacten met onjuist geconfigureerd toegangsbeheerbeleid.

Als het gebruik van een hulpprogramma voor bedreigingsmodellering niet van toepassing is, moet u ten minste een proces voor bedreigingsmodellering op basis van vragenlijsten gebruiken om de bedreigingen te identificeren.

Zorg ervoor dat de resultaten van bedreigingsmodellering of -analyse worden vastgelegd en bijgewerkt wanneer er een grote wijziging van de beveiligingsimpact in uw toepassing of in het bedreigingslandschap is.

Azure-implementatie en aanvullende context:

• Overzicht van threat modeling
• Analyse van toepassingsrisico's (inclusief STRIDE + methode op basis van vragenlijsten)
• Azure-sjabloon - Microsoft Security Threat Model Stencil

AWS-richtlijnen: Gebruik hulpprogramma's voor bedreigingsmodellering, zoals het Hulpprogramma voor bedreigingsmodellering van Microsoft, met de Azure Threat Model-sjabloon die is ingesloten om uw threat modeling-proces te stimuleren. Gebruik het STRIDE-model om de bedreigingen van zowel intern als extern te inventariseren en de toepasselijke besturingselementen te identificeren. Zorg ervoor dat het bedreigingsmodelleringsproces de bedreigingsscenario's in het DevOps-proces bevat, zoals schadelijke code-injectie via een onveilige opslagplaats voor artefacten met onjuist geconfigureerd toegangsbeheerbeleid.

Als het gebruik van een hulpprogramma voor bedreigingsmodellering niet van toepassing is, moet u ten minste een proces voor bedreigingsmodellering op basis van vragenlijsten gebruiken om de bedreigingen te identificeren.

Zorg ervoor dat de resultaten van bedreigingsmodellering of -analyse worden vastgelegd en bijgewerkt wanneer er een grote wijziging van de beveiligingsimpact in uw toepassing of in het bedreigingslandschap is.

AWS-implementatie en aanvullende context:

• Microsoft Threat Modellering Tool
• Bedreigingsmodellering voor AWS benaderen
• Analyse van toepassingsrisico's (inclusief STRIDE + methode op basis van vragenlijsten)

GCP-richtlijnen: Gebruik hulpprogramma's voor bedreigingsmodellering, zoals het hulpprogramma voor bedreigingsmodellering van Microsoft, met de azure-sjabloon voor bedreigingsmodellering die is ingesloten om uw threat modeling-proces te stimuleren. Gebruik het STRIDE-model om de bedreigingen van zowel intern als extern te inventariseren en de toepasselijke besturingselementen te identificeren. Zorg ervoor dat het bedreigingsmodelleringsproces de bedreigingsscenario's in het DevOps-proces bevat, zoals schadelijke code-injectie via een onveilige opslagplaats voor artefacten met onjuist geconfigureerd toegangsbeheerbeleid.

Als het gebruik van een hulpprogramma voor bedreigingsmodellering niet van toepassing is, moet u ten minste een proces voor bedreigingsmodellering op basis van vragenlijsten gebruiken om de bedreigingen te identificeren.

Zorg ervoor dat de resultaten van bedreigingsmodellering of -analyse worden vastgelegd en bijgewerkt wanneer er een grote wijziging van de beveiligingsimpact in uw toepassing of in het bedreigingslandschap is.

GCP-implementatie en aanvullende context:

• Microsoft Threat Modellering Tool
• Analyse van toepassingsrisico's

Belanghebbenden voor klantbeveiliging (meer informatie):

• Beleid en standaarden
• Toepassingsbeveiliging en DevSecOps
• Postuurbeheer

DS-2: De beveiliging van de softwareleveringsketen garanderen

Beveiligingsprincipe: Zorg ervoor dat de SDLC van uw onderneming (Software Development Lifecycle) of het proces een set beveiligingscontroles bevat voor de interne en externe softwareonderdelen (inclusief bedrijfseigen en opensource-software) waar uw toepassingen afhankelijkheden hebben. Definieer criteria voor gating om te voorkomen dat kwetsbare of schadelijke onderdelen worden geïntegreerd en geïmplementeerd in de omgeving.

De beveiligingsmaatregelen voor de toeleveringsketen van software moeten ten minste de volgende aspecten bevatten:

• Beheer een Software Bill of Materials (SBOM) op de juiste manier door de upstream-afhankelijkheden te identificeren die vereist zijn voor de ontwikkeling van services/resources, build, integratie en implementatie.
• Inventariseer en volg de interne en externe softwareonderdelen voor bekende beveiligingsproblemen wanneer er een oplossing beschikbaar is in de upstream.
• Evalueer de beveiligingsproblemen en malware in de softwareonderdelen met behulp van statische en dynamische toepassingstests voor onbekende beveiligingsproblemen.
• Zorg ervoor dat de beveiligingsproblemen en malware worden beperkt met behulp van de juiste aanpak. Dit kan bestaan uit lokale of upstream-oplossingen voor broncode, uitsluiting van functies en/of het toepassen van compenserende besturingselementen als de directe beperking niet beschikbaar is.

Als gesloten brononderdelen van derden worden gebruikt in uw productieomgeving, hebt u mogelijk beperkte zichtbaarheid van de beveiligingspostuur. Overweeg aanvullende besturingselementen zoals toegangsbeheer, netwerkisolatie en eindpuntbeveiliging om de impact te minimaliseren als er sprake is van schadelijke activiteiten of beveiligingsproblemen die aan het onderdeel zijn gekoppeld.

Azure-richtlijnen: Zorg ervoor dat de beveiliging van de softwareleveringsketen op het GitHub-platform gewaarborgd is via de volgende mogelijkheden of hulpprogramma's van GitHub Advanced Security of de ingebouwde functionaliteit van GitHub: gebruik Dependency Graph om alle afhankelijkheden en gerelateerde kwetsbaarheden van uw project te scannen, inventariseren en identificeren via de Adviesdatabase.

• Gebruik Dependabot om ervoor te zorgen dat de kwetsbare afhankelijkheid wordt bijgehouden en hersteld, en zorg ervoor dat uw opslagplaats automatisch bijhoudt met de nieuwste releases van de pakketten en toepassingen waarvan deze afhankelijk is.
• Gebruik de systeemeigen codescanfunctie van GitHub om de broncode te scannen wanneer u de code extern opgeeft.
• Gebruik Microsoft Defender voor Cloud om evaluatie van beveiligingsproblemen voor uw containerinstallatiekopie te integreren in de CI/CD-werkstroom. Voor Azure DevOps kunt u extensies van derden gebruiken om vergelijkbare besturingselementen te implementeren voor inventarisatie, analyse en herstel van de softwareonderdelen van derden en hun beveiligingsproblemen.

Azure-implementatie en aanvullende context:

• GitHub-afhankelijkheidsgrafiek
• GitHub Dependabot
• Kwetsbare containerafbeeldingen identificeren in uw CI/CD-werkstromen
• Azure DevOps Marketplace : beveiliging van toeleveringsketens

AWS-richtlijnen: Als u AWS CI/CD-platformen zoals CodeCommit of CodePipeline gebruikt, moet u de beveiliging van de softwareleveringsketen controleren met CodeGuru Reviewer om de broncode (voor Java en Python) te scannen via de CI/CD-werkstromen. Platformen zoals CodeCommit en CodePipeline ondersteunen ook extensies van derden om vergelijkbare controles te implementeren voor inventarisatie, analyse en herstel van de softwareonderdelen van derden en hun beveiligingsproblemen.

Als u uw broncode beheert via het GitHub-platform, moet u de beveiliging van de softwareleveringsketen controleren via de volgende mogelijkheden of hulpprogramma's van gitHub Advanced Security of de systeemeigen functie van GitHub:

• Gebruik Dependency Graph om alle afhankelijkheden en gerelateerde beveiligingsproblemen van uw project te scannen, inventariseren en identificeren via adviesdatabase.
• Gebruik Dependabot om ervoor te zorgen dat de kwetsbare afhankelijkheid wordt bijgehouden en hersteld, en zorg ervoor dat uw opslagplaats automatisch bijhoudt met de nieuwste releases van de pakketten en toepassingen waarvan deze afhankelijk is.
• Gebruik de systeemeigen codescanfunctie van GitHub om de broncode te scannen wanneer u de code extern opgeeft.
• Gebruik, indien van toepassing, Microsoft Defender voor Cloud om evaluatie van beveiligingsproblemen voor uw containerinstallatiekopie te integreren in de CI/CD-werkstroom.

AWS-implementatie en aanvullende context:

• GitHub-afhankelijkheidsgrafiek
• GitHub Dependabot
• DevOps in AWS
• Softwarefactuur van materialen

GCP-richtlijnen: Software Delivery Shield gebruiken om end-to-end beveiligingsanalyses uit te voeren op de toeleveringsketen van software. Dit omvat de Assured OSS-service (Open Source Software) voor toegang en het opnemen van de OSS-pakketten die zijn geverifieerd en getest door Google, evenals gevalideerde Java- en Python-pakketten die zijn gebouwd met behulp van de beveiligde pijplijnen van Google. Deze pakketten worden regelmatig gescand, geanalyseerd en getest op beveiligingsproblemen. Dergelijke mogelijkheden kunnen worden geïntegreerd in Google Cloud Build, Cloud Deploy, Artifact Registry, Artifact Analysis als onderdeel van de CI/CD-werkstromen.

Als u uw broncode beheert via het GitHub-platform, moet u de beveiliging van de softwareleveringsketen controleren via de volgende mogelijkheden of hulpprogramma's van gitHub Advanced Security of de systeemeigen functie van GitHub:

• Gebruik Dependency Graph om alle afhankelijkheden en gerelateerde beveiligingsproblemen van uw project te scannen, inventariseren en identificeren via adviesdatabase.
• Gebruik Dependabot om ervoor te zorgen dat de kwetsbare afhankelijkheid wordt bijgehouden en hersteld, en zorg ervoor dat uw opslagplaats automatisch bijhoudt met de nieuwste releases van de pakketten en toepassingen waarvan deze afhankelijk is.
• Gebruik de systeemeigen codescanfunctie van GitHub om de broncode te scannen wanneer u de code extern opgeeft.
• Gebruik, indien van toepassing, Microsoft Defender voor Cloud om evaluatie van beveiligingsproblemen voor uw containerinstallatiekopie te integreren in de CI/CD-werkstroom.

GCP-implementatie en aanvullende context:

• Beveiliging van de toeleveringsketen van Google Cloud Software
• Schild voor softwarelevering
• Beveiliging van softwareleveringsketen

Belanghebbenden voor klantbeveiliging (meer informatie):

• Toepassingsbeveiliging en DevSecOps
• Postuurbeheer

DS-3: Beveiligde DevOps-infrastructuur

Beveiligingsprincipe: zorg ervoor dat de DevOps-infrastructuur en -pijplijn de best practices voor beveiliging volgen in omgevingen, waaronder uw build-, test- en productiefasen. Dit omvat doorgaans de beveiligingscontroles voor het volgende bereik:

• Artefactopslagplaatsen die broncode, ingebouwde pakketten en installatiekopieën, projectartefacten en bedrijfsgegevens opslaan.
• Servers, services en hulpprogramma's die CI/CD-pijplijnen hosten.
• Configuratie van CI/CD-pijplijn.
  

Azure-richtlijnen: Als onderdeel van het toepassen van de Microsoft Cloud Security Benchmark op de beveiligingsmaatregelen van uw DevOps-infrastructuur, geeft u prioriteit aan de volgende besturingselementen:

• Beveilig artefacten en de onderliggende omgeving om ervoor te zorgen dat de CI/CD-pijplijnen geen mogelijkheden worden om schadelijke code in te voegen. Controleer bijvoorbeeld uw CI/CD-pijplijn om onjuiste configuratie te identificeren in kerngebieden van Azure DevOps, zoals Organisatie, Projecten, Gebruikers, Pijplijnen (Build & Release), Verbindingen en Build Agent om onjuiste configuraties te identificeren, zoals open toegang, zwakke verificatie, onveilige verbinding instellen, enzovoort. Gebruik voor GitHub vergelijkbare beheeropties om de organisatiebevoegdheden te beveiligen.
• Zorg ervoor dat uw DevOps-infrastructuur consistent wordt geïmplementeerd in ontwikkelingsprojecten. Houd de naleving van uw DevOps-infrastructuur op schaal bij met behulp van Microsoft Defender for Cloud (zoals Compliancedashboard, Azure Policy, Cloud Posture Management) of uw eigen hulpprogramma's voor nalevingscontrole.
• Configureer identiteits-/rolmachtigingen en rechtenbeleid in Azure AD, systeemeigen services en CI/CD-hulpprogramma's in uw pijplijn om ervoor te zorgen dat wijzigingen in de pijplijnen zijn geautoriseerd.
• Vermijd permanente bevoegde toegang tot gebruikersaccounts, zoals ontwikkelaars of testers, door gebruik te maken van functies zoals door Azure beheerde identificaties en Just-in-Time-toegang.
• Verwijder sleutels, referenties en geheimen uit code en scripts die worden gebruikt in CI/CD-werkstroomtaken en bewaar ze in een sleutelarchief of Azure Key Vault.
• Als u zelfgehoste build-/implementatieagents uitvoert, volgt u de Microsoft Cloud Security Benchmark-besturingselementen, waaronder netwerkbeveiliging, status- en kwetsbaarheidsbeheer en eindpuntbeveiliging, om uw omgeving te beveiligen.

Opmerking: Raadpleeg de secties Logboekregistratie en detectie van bedreigingen, DS-7 en de secties Postuur- en Beveiligingsproblemenbeheer voor het gebruik van services zoals Azure Monitor en Microsoft Sentinel om governance, naleving, operationele controle en risicocontrole voor uw DevOps-infrastructuur mogelijk te maken.

Azure-implementatie en aanvullende context:

• Overzicht van DevSecOps-besturingselementen : beveiligde pijplijnen
• Uw GitHub-organisatie beveiligen
• Azure DevOps-pijplijn: beveiligingsoverwegingen voor door Microsoft gehoste agents

AWS-richtlijnen: Als onderdeel van het toepassen van de Microsoft Cloud Security Benchmark op de beveiligingscontroles van uw DevOps-infrastructuur, zoals GitHub, CodeCommit, CodeArtifact, CodePipeline, CodeBuild en CodeDeploy, geeft u prioriteit aan de volgende besturingselementen:

• Raadpleeg deze richtlijnen en de beveiligingspijler awS Well-architected Framework om uw DevOps-omgevingen in AWS te beveiligen.
• Beveilig artefacten en de onderliggende ondersteunende infrastructuur om ervoor te zorgen dat de CI/CD-pijplijnen geen mogelijkheden worden om schadelijke code in te voegen.
• Zorg ervoor dat uw DevOps-infrastructuur consistent wordt geïmplementeerd en consistent wordt uitgevoerd in ontwikkelingsprojecten. Houd de naleving van uw DevOps-infrastructuur op schaal bij met behulp van AWS-configuratie of uw eigen compliancecontroleoplossing.
• Gebruik CodeArtifact om softwarepakketten die worden gebruikt voor het ontwikkelen van toepassingen veilig op te slaan en te delen. U kunt CodeArtifact gebruiken met populaire buildhulpprogramma's en pakketbeheerders zoals Maven, Gradle, npm, yarn, pip en twine.
• Configureer identiteits-/rolmachtigingen en machtigingsbeleid in AWS IAM, systeemeigen services en CI/CD-hulpprogramma's in uw pijplijn om ervoor te zorgen dat wijzigingen in de pijplijnen zijn geautoriseerd.
• Sleutels, referenties en geheimen verwijderen uit code en scripts die worden gebruikt in CI/CD-werkstroomtaken en deze bewaren in het sleutelarchief of AWS KMS
• Als u zelfgehoste build-/implementatieagents uitvoert, volgt u de Microsoft Cloud Security Benchmark-besturingselementen, waaronder netwerkbeveiliging, status- en kwetsbaarheidsbeheer en eindpuntbeveiliging, om uw omgeving te beveiligen. Gebruik AWS Inspector voor het scannen op kwetsbaarheden in de EC2- of containeromgeving die wordt gebruikt als buildomgeving.

Opmerking: Raadpleeg de secties Logboekregistratie en bedreigingsdetectie, DS-7 en de secties Postuur- en Beveiligingsbeheer voor het gebruik van services zoals AWS CloudTrail, CloudWatch en Microsoft Sentinel om governance, naleving, operationele controle en risicocontrole voor uw DevOps-infrastructuur mogelijk te maken.

AWS-implementatie en aanvullende context:

• AWS Well-architected Framework - beveiligingspijler

GCP-richtlijnen: Als onderdeel van het toepassen van de Microsoft Cloud Security Benchmark op de beveiligingsmaatregelen van uw DevOps-infrastructuur, geeft u prioriteit aan de volgende besturingselementen:

• Beveilig artefacten en de onderliggende omgeving om ervoor te zorgen dat de CI/CD-pijplijnen geen mogelijkheden worden om schadelijke code in te voegen. Controleer bijvoorbeeld uw CI/CD-pijplijn om onjuiste configuratie te identificeren in services zoals Google Cloud Build, Cloud Deploy, Artifact Registry, Connections en Build Agent om onjuiste configuraties te identificeren, zoals open toegang, zwakke verificatie, onveilige verbinding instellen enzovoort. Gebruik voor GitHub vergelijkbare beheeropties om de organisatiebevoegdheden te beveiligen.
• Zorg ervoor dat uw DevOps-infrastructuur consistent wordt geïmplementeerd in ontwikkelingsprojecten. Houd de naleving van uw DevOps-infrastructuur op schaal bij met behulp van Google Cloud Security Command Center (zoals nalevingsdashboard, organisatiebeleid, record van afzonderlijke bedreigingen en onjuiste configuraties identificeren) of uw eigen hulpprogramma's voor nalevingscontrole.
• Configureer identiteits-/rolmachtigingen en rechtenbeleid in cloudidentiteits-/AD-systeemeigen services en CI/CD-hulpprogramma's in uw pijplijn om ervoor te zorgen dat wijzigingen in de pijplijnen werden geautoriseerd.
• Vermijd permanente bevoegde toegang tot gebruikersaccounts, zoals ontwikkelaars of testers, door gebruik te maken van functies zoals door Google beheerde identiteiten.
• Verwijder sleutels, referenties en geheimen uit code en scripts die worden gebruikt in CI/CD-werkstroomtaken en bewaar ze in een sleutelarchief of Google Secret Manager.
• Als u zelfgehoste build-/implementatieagents uitvoert, volgt u de Microsoft Cloud Security Benchmark-besturingselementen, waaronder netwerkbeveiliging, status- en kwetsbaarheidsbeheer en eindpuntbeveiliging, om uw omgeving te beveiligen.

Opmerking: Raadpleeg de secties Logboekregistratie en bedreigingsdetectie, DS-7 en postuur- en beveiligingsproblemenbeheer voor het gebruik van services zoals Azure Monitor en Microsoft Sentinel of de Operations Suite van Google Cloud en Chronicle SIEM en SOAR om governance, naleving, operationele controle en risicocontrole voor uw DevOps-infrastructuur mogelijk te maken.

GCP-implementatie en aanvullende context:

• De beveiligde afbeeldingspijplijn maken
• Een beveiligde CI/CD-pijplijn implementeren

Belanghebbenden voor klantbeveiliging (meer informatie):

• Toepassingsbeveiliging en DevSecOps
• Postuurbeheer
• Infrastructuur- en eindpuntbeveiliging
• Beveiligingsarchitectuur

DS-4: Statische toepassingsbeveiligingstests integreren in DevOps-pijplijn

Beveiligingsprincipe: Zorg ervoor dat SAST(Static Application Security Testing) fuzzy testen, interactieve tests, mobiele toepassingen testen, deel uitmaken van de gating-besturingselementen in de CI/CD-werkstroom. De gating kan worden ingesteld op basis van de testresultaten om te voorkomen dat kwetsbare pakketten worden doorgevoerd in de opslagplaats, inbouwen in de pakketten of worden geïmplementeerd in de productie.

Azure-richtlijnen: SAST integreren in uw pijplijn (bijvoorbeeld in uw infrastructuur als codesjabloon), zodat de broncode automatisch kan worden gescand in uw CI/CD-werkstroom. Azure DevOps Pipeline of GitHub kan de onderstaande hulpprogramma's en SAST-hulpprogramma's van derden integreren in de werkstroom.

• GitHub CodeQL voor broncodeanalyse.
• Microsoft BinSkim Binary Analyzer voor Windows en *nix binaire analyse.
• Azure DevOps Credential Scanner (Microsoft Security DevOps-extensie) en de native geheimenscanner van GitHub voor het detecteren van inloggegevens in de broncode.

Azure-implementatie en aanvullende context:

• GitHub CodeQL
• BinSkim binaire analysator
• Azure DevOps-referentiescan
• voor het scannen van geheimen in GitHub

AWS-richtlijnen: SAST integreren in uw pijplijn, zodat de broncode automatisch kan worden gescand in uw CI/CD-werkstroom.

Als u AWS CodeCommit gebruikt, gebruikt u AWS CodeGuru Reviewer voor Python- en Java-broncodeanalyse. AWS Codepipeline kan ook ondersteuning bieden voor integratie van SAST-hulpprogramma's van derden in de pijplijn voor code-implementatie.

Als u GitHub gebruikt, kunnen de onderstaande hulpprogramma's en SAST-hulpprogramma's van derden worden geïntegreerd in de werkstroom.

• GitHub CodeQL voor broncodeanalyse.
• Microsoft BinSkim Binary Analyzer voor Windows en *nix binaire analyse.
• GitHub biedt ondersteuning voor het native scannen van geheimen voor het scannen van referenties in de broncode.
• AWS CodeGuru Reviewer voor Python- en Java-broncodeanalyse.

AWS-implementatie en aanvullende context:

• End-to-end AWS DevSecOps CI/CD-pijplijn bouwen met opensource-SCA-, SAST- en DAST-hulpprogramma's

GCP-richtlijnen: SAST (zoals Software Delivery Shield, Artifact Analysis) integreren in uw pijplijn (bijvoorbeeld in uw infrastructuur als codesjabloon), zodat de broncode automatisch kan worden gescand in uw CI/CD-werkstroom.

Services zoals Cloud Build, Cloud Deploy, Artifact Registry ondersteunen de integratie met Software Delivery Shield en Artifact Analysis waarmee broncode en andere artefacten in de CI/CD-werkstroom kunnen worden gescand.

GCP-implementatie en aanvullende context:

• Het gebruik van op aanvraag scannen in uw Cloud Build-pijplijn
• Overzicht van Software Delivery Shield

Belanghebbenden voor klantbeveiliging (meer informatie):

• Toepassingsbeveiliging en DevSecOps
• Postuurbeheer

DS-5: Dynamische toepassingsbeveiligingstests integreren in DevOps-pijplijn

Beveiligingsprincipe: Zorg ervoor dat dynamisch applicatiebeveiligingstesten (DAST) deel uitmaakt van de goedkeuringscontrole in de CI/CD-workflow. De instellingen voor toegangscontrole kunnen worden ingesteld op basis van de testresultaten om te voorkomen dat kwetsbaarheden in de pakketten worden ingebouwd of uitgerold in de productie.

Azure-richtlijnen: INTEGREER DAST in uw pijplijn, zodat de runtimetoepassing automatisch kan worden getest in uw CI/CD-werkstroom die is ingesteld in Azure DevOps of GitHub. De geautomatiseerde penetratietests (met handmatige ondersteunde validatie) moeten ook deel uitmaken van de DAST.

Azure DevOps Pipeline of GitHub ondersteunt de integratie van DAST-hulpprogramma's van derden in de CI/CD-werkstroom.

Azure-implementatie en aanvullende context:

• DAST-hulpprogramma's in Azure DevOps Marketplace

AWS-richtlijnen: INTEGREER DAST in uw pijplijn, zodat de runtimetoepassing automatisch kan worden getest in uw CI/CD-werkstroom die is ingesteld in AWS CodePipeline of GitHub. De geautomatiseerde penetratietests (met handmatige ondersteunde validatie) moeten ook deel uitmaken van de DAST.

AWS CodePipeline of GitHub ondersteunt integratie van DAST-hulpprogramma's van derden in de CI/CD-werkstroom.

AWS-implementatie en aanvullende context:

• End-to-end AWS DevSecOps CI/CD-pijplijn bouwen met opensource-SCA-, SAST- en DAST-hulpprogramma's

GCP-richtlijnen: DAST (zoals Cloud Web Security Scanner) integreren in uw pijplijn, zodat de runtimetoepassing automatisch kan worden getest in uw CI/CD-werkstroom die is ingesteld in de services zoals Google Cloud Build, Cloud Deploy of GitHub. Cloud Web Security Scanner kan worden gebruikt om beveiligingsproblemen in uw workloadwebtoepassingen te identificeren die worden gehost op App Engine, Google Kubernetes Engine (GKE) en Compute Engine. De geautomatiseerde penetratietests (met handmatige ondersteunde validatie) moeten ook deel uitmaken van de DAST.

Google Cloud Build, Google Cloud Deploy, Artifact Registry en GitHub ondersteunen ook de integratie van DAST-hulpprogramma's van derden in de CI/CD-werkstroom.

GCP-implementatie en aanvullende context:

• Overzicht van Web Security Scanner
• DevOps-technologie: Doorlopend testen

Belanghebbenden voor klantbeveiliging (meer informatie):

• Toepassingsbeveiliging en DevSecOps
• Postuurbeheer

DS-6: Beveiliging van workload afdwingen gedurende de devOps-levenscyclus

Beveiligingsprincipe: Zorg ervoor dat de workload gedurende de hele levenscyclus wordt beveiligd in de ontwikkelings-, test- en implementatiefase. Gebruik Microsoft Cloud Security Benchmark om de besturingselementen (zoals netwerkbeveiliging, identiteitsbeheer, bevoegde toegang enzovoort) te evalueren die standaard als kader kunnen worden ingesteld of naar links kunnen worden verplaatst voordat de implementatiefase wordt uitgevoerd. Zorg er met name voor dat de volgende besturingselementen aanwezig zijn in uw DevOps-proces:- Automatiseer de implementatie met behulp van Azure of hulpprogramma's van derden in de CI/CD-werkstroom, infrastructuurbeheer (infrastructuur als code) en test om menselijke fouten en kwetsbaarheid voor aanvallen te verminderen.

• Zorg ervoor dat VM's, containerinstallatiekopieën en andere artefacten beveiligd zijn tegen schadelijke manipulatie.
• Scan de workloadartefacten (met andere woorden: containerafbeeldingen, afhankelijkheden, SAST- en DAST-scans) vóór de uitrol in de CI/CD-workflow.
• Implementeer de mogelijkheid voor evaluatie van beveiligingsproblemen en detectie van bedreigingen in de productieomgeving en gebruik deze mogelijkheden continu in de runtime.
  

Azure-richtlijnen: richtlijnen voor Azure-VM's:

• Gebruik azure Shared Image Gallery om de toegang tot uw afbeeldingen te delen en te beheren door verschillende gebruikers, service-principals of AD-groepen binnen uw organisatie. Gebruik op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot uw aangepaste installatiekopieën.
• Definieer de beveiligde configuratiebasislijnen voor de VM's om overbodige referenties, machtigingen en pakketten te elimineren. Implementeer en dwing configuratiebasislijnen af via aangepaste installatiekopieën, Azure Resource Manager-sjablonen en/of Azure Policy-gastconfiguratie.

Richtlijnen voor Azure-containerservices:

• Gebruik Azure Container Registry (ACR) om uw privécontainerregister te maken waar gedetailleerde toegang kan worden beperkt via Azure RBAC, zodat alleen geautoriseerde services en accounts toegang hebben tot de containers in het privéregister.
• Gebruik Defender for Containers voor het beoordelen van beveiligingsrisico's van de afbeeldingen in uw persoonlijke Azure Container Registry. Daarnaast kunt u Microsoft Defender voor Cloud gebruiken om de scans van containerinstallatiekopieën te integreren als onderdeel van uw CI/CD-werkstromen.

Voor serverloze Azure-services moet u vergelijkbare besturingselementen gebruiken om ervoor te zorgen dat beveiligingsmaatregelen vroegtijdig in de ontwikkelingsfase, vóór de daadwerkelijke implementatie, worden geïmplementeerd.

Azure-implementatie en aanvullende context:

• Overzicht van de gedeelde afbeeldingsgalerie
• Aanbevelingen voor evaluatie van beveiligingsproblemen in Microsoft Defender for Cloud implementeren
• Beveiligingsoverwegingen voor Azure Container
• Azure Defender voor containerregisters

AWS-richtlijnen: Gebruik Amazon Elastic Container Registry om de toegang tot uw afbeeldingen te beheren en te delen door verschillende gebruikers en rollen binnen uw organisatie. En gebruik AWS IAM om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot uw aangepaste installatiekopieën.

Definieer de veilige configuratiebasislijnen voor de EC2 AMI-installatiekopieën om overbodige referenties, machtigingen en pakketten te elimineren. Implementeer en dwing configuratiebasislijnen af via aangepaste AMI-installatiekopieën, CloudFormation-sjablonen en/of AWS-configuratieregels.

Gebruik AWS Inspector voor het scannen van beveiligingsproblemen van VM's en in containers geplaatste omgevingen, waardoor ze worden beveiligd tegen schadelijke manipulatie.

Voor serverloze AWS-services gebruikt u AWS CodePipeline in combinatie met AWS AppConfig om vergelijkbare besturingselementen te gebruiken om ervoor te zorgen dat beveiligingsbesturingselementen 'naar links' gaan naar de fase voorafgaand aan de implementatie.

AWS-implementatie en aanvullende context:

• AWS ECR-afbeeldingen scannen
• AWS-inspecteur
• AWS AppConfig

GCP-richtlijnen: Google Cloud bevat besturingselementen voor het beveiligen van uw rekenresources en GKE-containerresources (Google Kubernetes Engine). Google bevat afgeschermde VM's, waarmee de VM-exemplaren worden beschermd. Het biedt opstartbeveiliging, bewaakt integriteit en maakt gebruik van de Virtual Trusted Platform Module (vTPM).

Gebruik Google Cloud Artifact Analysis om beveiligingsproblemen in container- of besturingssysteeminstallatiekopieën en ander type artefacten op aanvraag of automatisch in uw pijplijnen te scannen. Gebruik Container Threat Detection om voortdurend de gespecificeerde OS-node-installatiekopieën van Container-Optimized te bewaken. De service evalueert alle wijzigingen en externe toegangspogingen om runtimeaanvallen in bijna realtime te detecteren.

Gebruik Artifact Registry om beveiligde opslag voor privé-buildartefacten in te stellen om controle te houden over wie artefacten kan openen, weergeven of downloaden met systeemeigen IAM-rollen en -machtigingen, en om consistente uptime te krijgen op de veilige en betrouwbare infrastructuur van Google.

Voor serverloze GCP-services dienen vergelijkbare besturingselementen te worden gebruikt om ervoor te zorgen dat beveiligingscontroles 'shift-left' verschuiven naar de fase voorafgaand aan de implementatie.

GCP-implementatie en aanvullende context:

• Artefactregister
• Toepassingsbeveiliging en DevSecOps
• Postuurbeheer
• Beveiligingsarchitectuur

Belanghebbenden voor klantbeveiliging (meer informatie):

• Toepassingsbeveiliging en DevSecOps
• Postuurbeheer
• Beveiligingsarchitectuur

DS-7: Logboekregistratie en bewaking inSchakelen in DevOps

Beveiligingsprincipe: zorg ervoor dat uw logboekregistratie- en bewakingsbereik niet-productieomgevingen en CI/CD-werkstroomelementen bevat die worden gebruikt in DevOps (en andere ontwikkelingsprocessen). De beveiligingsproblemen en bedreigingen die gericht zijn op deze omgevingen, kunnen aanzienlijke risico's voor uw productieomgeving veroorzaken als ze niet goed worden bewaakt. De gebeurtenissen van de CI/CD-build-, test- en implementatiewerkstroom moeten ook worden bewaakt om eventuele afwijkingen in de CI/CD-werkstroomtaken te identificeren.

Azure-richtlijnen: De mogelijkheden voor auditlogboekregistratie inschakelen en configureren in niet-productie- en CI/CD-hulpprogramma's (zoals Azure DevOps en GitHub) die in het DevOps-proces worden gebruikt.

De gebeurtenissen die zijn gegenereerd op basis van Azure DevOps en de GitHub CI/CD-werkstroom, inclusief de build-, test- en implementatietaken, moeten ook worden bewaakt om afwijkende resultaten te identificeren.

Neem de bovenstaande logboeken en gebeurtenissen op in Microsoft Sentinel of andere SIEM-hulpprogramma's via een logboekstream of API om ervoor te zorgen dat de beveiligingsincidenten correct worden bewaakt en gesorteerd voor verwerking.

Azure-implementatie en aanvullende context:

• Azure DevOps - auditstreaming
• GitHub-logboekregistratie

AWS-richtlijnen: AWS CloudTrail inschakelen en configureren voor mogelijkheden voor auditlogboekregistratie in niet-productie- en CI/CD-hulpprogramma's (zoals AWS CodePipeline, AWS CodeBuild, AWS CodeDeploy, AWS CodeStar) die in het DevOps-proces worden gebruikt.

De gebeurtenissen die zijn gegenereerd vanuit de AWS CI/CD-omgevingen (zoals AWS CodePipeline, AWS CodeBuild, AWS CodeDeploy, AWS CodeStar) en de GitHub CI/CD-werkstroom, inclusief de build-, test- en implementatietaken, moeten ook worden bewaakt om afwijkende resultaten te identificeren.

Neem de bovenstaande logboeken en gebeurtenissen op in AWS CloudWatch, Microsoft Sentinel of andere SIEM-hulpprogramma's via een logboekstream of API om ervoor te zorgen dat de beveiligingsincidenten correct worden bewaakt en gesorteerd voor verwerking.

AWS-implementatie en aanvullende context:

• Microsoft Sentinel verbinden met Amazon Web Services om logboekgegevens van AWS-service op te nemen
• GitHub-logboekregistratie

GCP-richtlijnen: de mogelijkheden voor auditlogboekregistratie inschakelen en configureren in niet-productie- en CI/CD-hulpprogramma's voor producten zoals Cloud Build, Google Cloud Deploy, Artifact Registry en GitHub, die tijdens het DevOps-proces kunnen worden gebruikt.

De gebeurtenissen die zijn gegenereerd op basis van de GCP CI/CD-omgevingen (zoals Cloud Build, Google Cloud Deploy, Artifact Registry) en de GitHub CI/CD-werkstroom, inclusief de build-, test- en implementatietaken, moeten ook worden bewaakt om afwijkende resultaten te identificeren.

Neem de bovenstaande logboeken en gebeurtenissen op in Microsoft Sentinel, Google Cloud Security Command Center, Chronicle of andere SIEM-hulpprogramma's via een logboekstream of API om ervoor te zorgen dat de beveiligingsincidenten correct worden bewaakt en gesorteerd voor verwerking.

GCP-implementatie en aanvullende context:

• Aanbevolen producten voor CI/CD
• Inleiding tot de operations suite van Google Cloud
• Aanbevolen procedures voor cloudlogboekregistratie
• Google Cloud-gegevens opnemen in Chronicle

Belanghebbenden voor klantbeveiliging (meer informatie):

• Beveiligingsbewerkingen
• Toepassingsbeveiliging en DevSecOps
• Incidentvoorbereiding