Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
DevOps Güvenliği, DevOps sürecinde güvenliği sağlamak için dağıtım aşamasından önce kritik güvenlik denetimlerinin (statik uygulama güvenlik testi, güvenlik açığı yönetimi gibi) dağıtımı dahil olmak üzere DevOps süreçlerindeki güvenlik mühendisliği ve işlemleriyle ilgili denetimleri kapsar; ayrıca tehdit modelleme ve yazılım tedarik güvenliği gibi yaygın konuları içerir.
DS-1: Tehdit modellemesi gerçekleştirme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 tanımlayıcıları | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 16.10, 16.14 | SA-15 Serisi | 6.5, 12.2 |
Güvenlik İlkesi: Olası tehditleri belirlemek ve azaltma denetimlerini listelemek için tehdit modellemesi gerçekleştirin. Tehdit modellemenizin aşağıdaki amaçlara hizmetdiğinden emin olun:
- Uygulama ve hizmetlerinizin güvenliğini üretim çalışma zamanı aşamasında sağlayın.
- Derleme, test ve dağıtım için kullanılan yapıtların, temel alınan CI/CD işlem hattının ve diğer araç ortamının güvenliğini sağlayın.
Tehdit modellemesi en azından aşağıdaki özellikleri içermelidir:
- Uygulamanın güvenlik gereksinimlerini tanımlayın. Tehdit modellemesinde bu gereksinimlerin yeterli şekilde ele alındığından emin olun.
- Uygulama bileşenlerini, veri bağlantılarını ve bunların ilişkilerini analiz edin. Bu analizin uygulama kapsamınızın dışındaki yukarı ve aşağı akış bağlantılarını da içerdiğinden emin olun.
- Uygulama bileşenlerinizin, veri bağlantılarınızın, yukarı ve aşağı akış hizmetlerinizin maruz kalabileceği olası tehditleri ve saldırı vektörlerini listeleyin.
- Numaralandırılan tehditleri azaltmak ve ek işlem planları gerektirebilecek denetim boşluklarını (örneğin güvenlik açıkları) belirlemek için kullanılabilecek geçerli güvenlik denetimlerini belirleyin.
- Tanımlanan güvenlik açıklarını azaltabilecek denetimleri numaralandırın ve tasarlayın.
Azure Kılavuzu: Tehdit modelleme işleminizi yönlendirmek için Azure tehdit modeli şablonu eklenmiş Microsoft tehdit modelleme aracı gibi tehdit modelleme araçlarını kullanın. Hem iç hem de dış tehditleri listelemek ve uygulanabilir denetimleri belirlemek için STRIDE modelini kullanın. Tehdit modelleme işleminin, yanlış yapılandırılmış erişim denetimi ilkesine sahip güvenli olmayan bir yapıt deposu aracılığıyla kötü amaçlı kod ekleme gibi DevOps işlemindeki tehdit senaryolarını içerdiğinden emin olun.
Tehdit modelleme aracı kullanmak uygun değilse, tehditleri tanımlamak için en azından anket tabanlı bir tehdit modelleme işlemi kullanmanız gerekir.
Uygulamanızda veya tehdit alanında önemli bir güvenlik etkisi değişikliği olduğunda tehdit modelleme veya analiz sonuçlarının kaydedildiğinden ve güncelleştirildiğinden emin olun.
Uygulama ve ek bağlam:
- Tehdit Modellemeye Genel Bakış
- Uygulama tehdit analizi (STRIDE + anket tabanlı yöntem dahil)
- Azure Şablonu - Microsoft Güvenlik Tehdit Modeli Kalıbı
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
DS-2: Yazılım tedarik zinciri güvenliğini sağlama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 tanımlayıcıları | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 16.4, 16.6, 16.11 | SA-12, SA-15 | 6.3, 6.5 |
Güvenlik İlkesi: Kuruluşunuzun SDLC'sinin (Yazılım Geliştirme Yaşam Döngüsü) veya işleminin, uygulamalarınızın bağımlılıkları olan şirket içi ve üçüncü taraf yazılım bileşenlerini (hem özel hem de açık kaynak yazılım dahil) idare etmek için bir dizi güvenlik denetimi içerdiğinden emin olun. Güvenlik açığı olan veya kötü amaçlı bileşenlerin ortama entegre edilmesini ve dağıtılmasını önlemek için geçit ölçütlerini tanımlayın.
Yazılım tedarik zinciri güvenlik denetimleri en azından aşağıdaki özellikleri içermelidir:
- Geliştirme, derleme, tümleştirme ve dağıtım aşamasında gereken yukarı akış bağımlılıklarını belirleyin.
- Yukarı akışta bir düzeltme olduğunda bilinen güvenlik açığı için şirket içi ve üçüncü taraf yazılım bileşenlerini envantere alın ve izleyin.
- Bilinmeyen güvenlik açıkları için statik ve dinamik uygulama testi kullanarak yazılım bileşenlerindeki güvenlik açıklarını ve kötü amaçlı yazılımları değerlendirin.
- Uygun yaklaşımı kullanarak güvenlik açıklarının ve kötü amaçlı yazılımların azaltıldığından emin olun. Bu, kaynak kodu yerel veya üst akış düzeltmesi, özellik dışlaması ve/veya doğrudan bir hafifletme mevcut değilse telafi edici kontroller uygulamayı içerebilir.
Kapalı kaynak üçüncü taraf bileşenleri üretim ortamınızda kullanılıyorsa güvenlik duruşuyla ilgili görünürlüğünüz sınırlı olabilir. Bileşenle ilişkili kötü amaçlı bir etkinlik veya güvenlik açığı varsa etkiyi en aza indirmek için erişim denetimi, ağ yalıtımı ve uç nokta güvenliği gibi ek denetimleri göz önünde bulundurmalısınız.
Azure Kılavuzu: GitHub platformu için, GitHub Advanced Security'nin veya GitHub'ın yerel özelliğindeki aşağıdaki özellik veya araçlar aracılığıyla yazılım tedarik zinciri güvenliğini sağlayın:
- Danışmanlık Veritabanı aracılığıyla projenizin tüm bağımlılıklarını ve ilgili güvenlik açıklarını taramak, envanterini oluşturmak ve tanımlamak için Bağımlılık Grafiği'ni kullanın.
- Güvenlik açığı olan bağımlılığın izlendiğinden ve düzeltildiğinden emin olmak ve deponuzun bağlı olduğu paketlerin ve uygulamaların en son sürümlerine otomatik olarak yetişdiğinden emin olmak için Dependabot'ı kullanın.
- Kodu dış koddan kaynaklarken kaynak kodu taramak için GitHub yerel kod tarama özelliğini kullanın.
- Kapsayıcı görüntünüz için güvenlik açığı değerlendirmesini CI/CD iş akışıyla tümleştirmek için Azure Bulut için Defender kullanın.
Azure DevOps için üçüncü taraf uzantılarını kullanarak envantere benzer denetimler uygulayabilir, üçüncü taraf yazılım bileşenlerini ve bunların güvenlik açıklarını analiz edebilir ve düzeltebilirsiniz.
Uygulama ve ek bağlam:
- GitHub Bağımlılık Grafiği
- GitHub Dependabot
- CI/CD iş akışlarınızda güvenlik açığı bulunan kapsayıcı görüntülerini belirleme
- Azure DevOps Market – tedarik zinciri güvenliği
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
DS-3: DevOps altyapısının güvenliğini sağlama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 tanımlayıcıları | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 16.7 | CM-2, CM-6, AC-2, AC-3, AC-6 | 2.2, 6.3, 7.1 |
Güvenlik İlkesi: DevOps altyapısının ve işlem hattının derleme, test ve üretim aşamalarınız dahil olmak üzere ortamlardaki en iyi güvenlik uygulamalarını izlediğinden emin olun. Bu genellikle aşağıdaki kapsam için güvenlik denetimlerini içerir:
- Kaynak kodu, oluşturulan paketler ve görüntüler, proje yapıtları ve iş verilerini depolayan yapıt depoları.
- CI/CD işlem hatlarını barındıran sunucular, hizmetler ve araçlar.
- CI/CD işlem hattı yapılandırması.
Azure Kılavuzu: Azure Güvenlik Karşılaştırması'nı DevOps altyapı güvenlik denetimlerinize uygulamanın bir parçası olarak aşağıdaki denetimlerin önceliğini belirleyin:
- CI/CD işlem hatlarının kötü amaçlı kod ekleme yollarına dönüşmemesi için artifaktları ve temel ortamı koruyun. Örneğin, Azure DevOps'un Kuruluş, Projeler, Kullanıcılar, İşlem Hatları (Derleme ve Yayın), Bağlantılar ve Derleme Aracısı gibi temel alanlarında açık erişim, zayıf kimlik doğrulaması, güvenli olmayan bağlantı kurulumu gibi yanlış yapılandırmaları belirlemek için CI/CD işlem hattınızı gözden geçirin. GitHub'da, Kuruluş izin düzeylerinin güvenliğini sağlamak için benzer denetimleri kullanın
- İşlem hatlarındaki değişikliklerin yetkilendirildiğinden emin olmak için Azure AD'de kimlik/rol izinlerini ve yetkilendirme ilkelerini, yerel hizmetleri ve işlem hattınızdaki CI/CD araçlarını yapılandırın.
- Azure tarafından yönetilen kimlikler, tam zamanında erişim gibi özellikleri kullanarak geliştiriciler veya test ediciler gibi insan hesaplarına "sürekli ayrıcalıklı erişim" sağlamaktan kaçının.
- CI/CD iş akışı işlerinde kullanılan kod ve betiklerden anahtarları, kimlik bilgilerini ve gizli dizileri kaldırın ve bunları anahtar deposunda veya Azure Key Vault'ta tutun.
- Kendi sunucularınızda barındırılan derleme/dağıtım aracıları çalıştırıyorsanız, ortamınızı güvenceye almak için Azure Güvenlik Karşılaştırması denetimlerini, ağ güvenliği, güvenlik durumu ve güvenlik açığı yönetimi ile uç nokta güvenliği dahil olmak üzere izleyin.
Uygulama ve ek bağlam:
- DevSecOps denetimlerine genel bakış – güvenli işlem hatları
- GitHub kuruluşunuzun güvenliğini sağlama
- Azure DevOps işlem hattı – Microsoft tarafından barındırılan aracı güvenlik konuları
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
DS-4: Statik uygulama güvenlik testlerini DevOps işlem hattıyla tümleştirme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 tanımlayıcıları | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 16.12 | SA-11 | 6.3, 6.5 |
Güvenlik İlkesi: Statik uygulama güvenlik testinin (SAST), CI/CD iş akışındaki gating denetimlerinin bir parçası olduğundan emin olun. Güvenlik açığı bulunan paketlerin depo içine yüklenmesini, paketlerde oluşturulmasını veya üretime dağıtılmasını önlemek için geçit kontrolü test sonuçlarına göre ayarlanabilir.
Azure Kılavuzu: Kaynak kodun CI/CD iş akışınızda otomatik olarak taranabilmesi için SAST'i işlem hattınızla tümleştirin. Azure DevOps İşlem Hattı veya GitHub, aşağıdaki araçları ve üçüncü taraf SAST araçlarını iş akışıyla tümleştirebilir.
- Kaynak kodu analizi için GitHub CodeQL.
- Windows ve *nix sistemleri için Microsoft BinSkim İkili Dosya Analizcisi.
- Kaynak kodda kimlik bilgisi taraması için Azure DevOps Kimlik Bilgisi Tarayıcısı ve GitHub yerel gizli dizi taraması.
Uygulama ve ek bağlam:
- CodeQL GitHub
- BinSkim İkili Çözümleyicisi
- Azure DevOps Kimlik Bilgisi Taraması
- GitHub gizli bilgi taraması
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
DS-5: Dinamik uygulama güvenliği testlerini DevOps işlem hattıyla tümleştirme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 tanımlayıcıları | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 16.12 | SA-11 | 6.3, 6.5 |
Güvenlik İlkesi: Dinamik uygulama güvenlik testlerinin (DAST) CI/CD iş akışındaki belirleyici kontrollerin bir parçası olduğundan emin olun. Gating, güvenlik açığının paketlerin içine yerleşmesini veya üretim ortamına dağıtılmasını önlemek için test sonuçlarına göre ayarlanabilir.
Azure Kılavuzu: Çalışma zamanı uygulamasının Azure DevOps veya GitHub'daki CI/CD iş akışı kümenizde otomatik olarak test edilebilmesi için DAST'yi işlem hattınızla tümleştirin. Otomatik sızma testi (el ile yardımlı doğrulama ile) da DAST'ın bir parçası olmalıdır.
Azure DevOps Pipeline veya GitHub, üçüncü taraf DAST araçlarının CI/CD iş akışıyla tümleştirilmesini destekler.
Uygulama ve ek bağlam:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
DS-6: DevOps yaşam döngüsü boyunca iş yükünün güvenliğini zorunlu kılma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 tanımlayıcıları | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 7.5, 7.6, 7.7, 16.1, 16.7 | CM-2, CM-6, AC-2, AC-3, AC-6 | 6.1, 6.2, 6.3 |
Güvenlik İlkesi: geliştirme, test ve dağıtım aşamasında iş yükünün tüm yaşam döngüsü boyunca güvenli olduğundan emin olun. Azure Güvenlik Karşılaştırması'nı kullanarak, varsayılan olarak koruma olarak ayarlanabilen veya dağıtım aşamasından önce sola kaydırılan denetimleri (ağ güvenliği, kimlik yönetimi, ayrıcalıklı erişim vb.) değerlendirin. Özellikle DevOps işleminizde aşağıdaki denetimlerin olduğundan emin olun:
- CI/CD iş akışında Azure veya üçüncü taraf araçlarını kullanarak, altyapı yönetimini (kod olarak altyapı) ve insan hatasını ve saldırı yüzeyini azaltmak için test ederek dağıtımı otomatikleştirin.
- VM'lerin, kapsayıcı görüntülerinin ve diğer yapıtların kötü amaçlı işlemeye karşı güvenli olduğundan emin olun.
- CI/CD iş akışındaki dağıtımdan önce iş yükü yapıtlarını (başka bir deyişle kapsayıcı görüntüleri, bağımlılıklar, SAST ve DAST taramaları) tarayın
- Güvenlik açığı değerlendirmesi ve tehdit algılama özelliğini üretim ortamına dağıtın ve bu özellikleri çalışma zamanında sürekli kullanın.
Azure Kılavuzu: Azure VM'leri için rehberlik:
- Kuruluşunuzdaki farklı kullanıcılar, hizmet sorumluları veya AD grupları tarafından görüntülerinize erişimi paylaşmak ve denetlemek için Azure Paylaşılan Görüntü Galerisi kullanın. Özel görüntülerinize yalnızca yetkili kullanıcıların erişebildiğinden emin olmak için Azure rol tabanlı erişim denetimini (Azure RBAC) kullanın.
- Gereksiz kimlik bilgilerini, izinleri ve paketleri ortadan kaldırmak için VM'ler için güvenli yapılandırma temellerini tanımlayın. Özel görüntüler, Azure Resource Manager şablonu ve/veya Azure İlkesi'nin konuk yapılandırmasını kullanarak yapılandırma temelini dağıtmak ve zorunlu kılmak.
Azure kapsayıcı hizmetleri için yönergeler:
- Azure RBAC aracılığıyla ayrıntılı erişimin kısıtlanabileceği özel kapsayıcı kayıt defterinizi oluşturmak için Azure Container Registry'yi (ACR) kullanın; böylece özel kayıt defterindeki kapsayıcılara yalnızca yetkili hizmetler ve hesaplar erişebilir.
- Özel Azure Container Registry'nizdeki görüntülerin güvenlik açığı değerlendirmesi için Azure Container Registry için Defender kullanın. Azure Defender for Cloud'u kullanarak CI/CD iş akışlarınızın bir parçası olarak kapsayıcı görüntülerinin taramasını entegre edebilirsiniz.
Azure sunucusuz hizmetler için, güvenlik denetimlerinin dağıtımdan önce aşamaya kaydırıldığından emin olmak için benzer denetimleri benimseyin.
Uygulama ve ek bağlam:
- Paylaşılan Görüntü Galerisi genel bakış
- Azure Bulut için Defender güvenlik açığı değerlendirme önerilerini uygulama
- Azure Kapsayıcısı için güvenlikle ilgili dikkat edilmesi gerekenler
- Kapsayıcı kayıt defterleri için Azure Defender
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
DS-7: DevOps'ta kayıt yapmayı ve izlemeyi aktif hale getirme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 tanımlayıcıları | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 8.2, 8.5, 8.9, 8.11 | AU-3, AU-6, AU-12, SI-4 | 10.1, 10.2, 10.3, 10.6 |
Güvenlik İlkesi: Günlük ve izleme kapsamınızın üretim dışı ortamları ve DevOps'ta (ve diğer geliştirme süreçlerinde) kullanılan CI/CD iş akışı öğelerini içerdiğine emin olun. Bu ortamları hedefleyen güvenlik açıkları ve tehditler, düzgün izlenmediği takdirde üretim ortamınızda önemli risklere neden olabilir. CI/CD derleme, test ve dağıtım iş akışındaki olaylar da CI/CD iş akışı işlerindeki sapmaları belirlemek için izlenmelidir.
Azure Kılavuzu: DevOps işlemi boyunca kullanılan üretim dışı ve CI/CD araç ortamlarında (Azure DevOps ve GitHub gibi) denetim günlüğü özelliklerini etkinleştirin ve yapılandırın.
Derleme, test ve dağıtım işleri için Azure DevOps ve GitHub CI/CD'den gelen olaylar da CI/CD işlerindeki özel durum sonuçlarını belirlemek için izlenmelidir.
Güvenlik olaylarının düzgün şekilde izlendiğinden ve işlenmek üzere önceliklendirildiğinden emin olmak için günlük akışı veya API aracılığıyla yukarıdaki günlükleri ve olayları Azure Sentinel'e veya diğer SIEM araçlarına alın.
İş yükünüz için günlük ve izleme denetimlerinizi uygularken Azure Güvenlik Kılavuzu - Günlük ve Tehdit Algılama kılavuzunu takip edin.
Uygulama ve ek bağlam:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):