Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Sichern von DevOps-Umgebungen ist keine Wahl mehr für Entwickler. Schlechte Akteure verschieben sich nach links, sodass Sie Zero Trust-Prinzipien implementieren müssen, die explizit überprüfen, den geringsten Zugriff verwenden und Sicherheitsverletzungen in DevOps-Umgebungen annehmen.
In diesem Artikel werden bewährte Methoden zum Sichern Ihrer DevOps-Umgebungen mit einem Zero Trust-Ansatz beschrieben, um zu verhindern, dass schlechte Akteure Entwicklerfelder kompromittieren, Releasepipelinen mit böswilligen Skripts infizieren und Zugriff auf Produktionsdaten über Testumgebungen erhalten.
Unser eBook zum Sichern von Enterprise DevOps-Umgebungen bietet die folgende Visualisierung der Entwickler-, DevOps-Plattform- und Anwendungsumgebungen sowie die potenziellen Sicherheitsbedrohungen für jeden.
Beachten Sie im vorherigen Diagramm, wie Verbindungen zwischen Umgebungen und externen Integrationen die Bedrohungslandschaft erweitern. Diese Verbindungen können die Chancen für schlechte Akteure erhöhen, das System zu kompromittieren.
Schlechte Akteure erstrecken sich über Unternehmen hinweg, um DevOps-Umgebungen zu kompromittieren, Zugriff zu erhalten und neue Gefahren freizuschalten. Angriffe gehen über die typische Bandbreite von Cybersicherheitsverletzungen hinaus, um bösartigen Code einzuordnen, leistungsstarke Entwickleridentitäten anzunehmen und Produktionscode zu stehlen.
Wenn Unternehmen zu überall verfügbaren Szenarien wechseln, müssen sie die Gerätesicherheit stärken. Cybersicherheitsbüros fehlen möglicherweise an konsistentem Verständnis darüber, wo und wie Entwickler Code sichern und erstellen. Schlechte Akteure nutzen diese Schwächen mit Remoteverbindungshacks und Entwickleridentitätsdiebstahl.
DevOps-Tools sind wichtige Einstiegspunkte für schlechte Akteure, von der Pipelineautomatisierung bis hin zur Codevalidierung und Coderepositorys. Wenn schlechte Akteure Code infizieren, bevor sie Produktionssysteme erreicht, können sie in den meisten Fällen durch Cybersicherheitsprüfpunkte passieren. Um Sicherheitsrisiken zu verhindern, stellen Sie sicher, dass Ihre Entwicklungsteams an Peer-Reviews, Sicherheitsüberprüfungen mit IDE-Sicherheits-Plug-ins, sicheren Codierungsstandards und Branch-Reviews beteiligt sind.
Cybersicherheitsteams sollen verhindern, dass schlechte Akteure Produktionsumgebungen belagern. Umgebungen umfassen jedoch jetzt Lieferkettentools und -produkte. Open Source-Toolverletzung kann globale Cybersicherheitsrisiken verstärken.
Erfahren Sie mehr über entwicklerbezogene Artikel mit den folgenden DevSecOps-Artikeln im Leitfaden für Entwickler im Zero Trust Guidance Center:
- Das Sichern der DevOps-Plattformumgebung hilft Ihnen, Zero Trust-Prinzipien in Ihrer DevOps-Plattformumgebung zu implementieren und bewährte Methoden für die geheime und Zertifikatverwaltung hervorzuheben.
- Die Sicherheit der Entwicklerumgebung hilft Ihnen, Zero Trust-Prinzipien in Ihren Entwicklungsumgebungen mit bewährten Methoden für geringste Berechtigungen, Verzweigungssicherheit und vertrauenswürdige Tools, Erweiterungen und Integrationen zu implementieren.
- Wenn Sie Zero Trust-Sicherheit in Ihren Entwicklerworkflow einbetten , können Sie schnell und sicher innovationen.
Nächste Schritte
- Beschleunigen und sichern Sie Ihren Code mit Azure DevOps mit Tools, mit denen Entwickler den schnellsten und sichersten Code für die Cloudumgebung erhalten.
- Registrieren Sie sich für die Azure Developer CLI, ein Open-Source-Tool, das die Zeit beschleunigt, die für die ersten Schritte in Azure benötigt wird.
- Konfigurieren Sie Azure, um GitHubs OIDC als vertrauenswürdige Verbundidentität einzurichten. OpenID Connect (OIDC) ermöglicht Ihren GitHub Actions-Workflows den Zugriff auf Ressourcen in Azure, ohne die Azure-Anmeldeinformationen als langlebige GitHub-Geheimnisse zu speichern.
- Das DevOps-Ressourcencenter hilft Ihnen bei DevOps-Methoden, Agile-Methoden, Git-Versionssteuerung, DevOps bei Microsoft und wie Sie den DevOps-Fortschritt Ihrer Organisation bewerten können.
- Erfahren Sie, wie die Microsoft DevSecOps-Lösung Sicherheit in jeden Aspekt des Softwarebereitstellungslebenszyklus integriert, um DevSecOps oder sichere DevOps für Apps in der Cloud (und überall) mit Azure und GitHub zu ermöglichen.