DevSecOps は、プロセス、自動化、ガバナンスを組み合わせて 1 つの統合された運用モデルを実現します。ツールは重要な役割を果たしますが、成功するかどうかは、まさに、チームがそれらを開発環境とクラウド環境全体でどのように適用するかにかかっています。そのため、DevSecOps は技術であると同時に、考え方も重要となります。
プラットフォーム レベルでは、CNAPP は DevSecOps チームが基盤とする統合されたバックボーンを提供します。これは、態勢管理、コードとしてのインフラストラクチャ (IaC) スキャン、ワークロード保護、
コンテナー セキュリティ、露出管理、ID ガバナンスを、継続的なセキュリティ モデルに結び付けます。
DevSecOps 戦略の基本的なコンポーネントは次のとおりです:
- 安全なコーディング プラクティス。開発者は、承認済みのライブラリ、安全なリポジトリ、リスクを発生源で軽減する統合開発環境の保護を使用して、設計によって組み込まれたセキュリティを用いて構築します。
- 自動化と CI/CD の統合。 コード スキャン、依存関係の分析、成果物の署名、ポリシーの検証を含むセキュリティ チェックが、パイプライン内で継続的に実行されます。
- ID およびアクセス管理。 リポジトリ、パイプライン、クラウド リソース、サービス アカウント全体にわたる最小特権アクセスが、ID の悪用と横断移動を削減します。
- コンプライアンスとガバナンス。Policy as Code (コードとしてのポリシー) は、国際標準化機構 (ISO)、System and Organization Controls (SOC)、National Institute of Standards and Technology (NIST) などのフレームワークに準拠した標準を適用し、監査対応性をサポートします。
- 継続的な監視。展開後の制御により、脆弱性、構成ドリフト、ランタイムの脅威を検出します。
- コラボレーションと文化。セキュリティは、開発、運用、セキュリティの各チームにまたがる共有責任になります。
DevSecOps には、強力な ID ガバナンス、クラウド態勢の規範、および人と機械の両方による開発を保護する制御が必要です。
パイプライン全体の ID ガバナンスが基盤です。サービス アカウント、エージェント、自動化スクリプトは、多くの場合、昇格されたアクセス許可を保持します。最小特権の適用がないと、これらの ID は高価値のターゲットになります。DevSecOps では、ロールベースの
アクセス制御、ジャストインタイム アクセス、継続的な資格情報の監視を、リポジトリ、パイプライン、クラウド リソース全体にわたって適用します。シークレットは、コードに埋め込むのではなく、管理された資格情報コンテナーに保存されます。アクセス ポリシーは、アプリケーション コードと同様にバージョン管理され、レビューされます。
クラウド態勢制御は、インフラストラクチャが定義されたセキュリティ ベースラインに準拠し続けるように確保します。コードとしてのインフラストラクチャ テンプレートは、展開前にポリシーに照らして評価されます。展開後は、継続的な態勢監視により、マルチクラウド環境全体で、構成ドリフト、過剰なアクセス許可、公への露出、安全でないネットワーク ルールを検出します。
安全なリポジトリと統合開発環境の保護により、最も早いステージでリスクを軽減します。リポジトリの保護により、露出されたシークレットや脆弱な依存関係がマージ前にブロックされます。統合開発環境の拡張機能は、開発者がコードを記述している間にリアルタイムのセキュリティ フィードバックを明らかにし、その後の修復作業を削減します。
AI の時代において、DevSecOps は
モデルとデータセットのサプライ チェーン セキュリティにも対応します。チームは、トレーニング データ ソースを検証し、成果物の署名を通じてモデルの整合性を確認し、モデル レジストリでの改ざんを監視します。ガバナンスは、AI 生成のコードにも及び、自動化されたレビューとポリシー チェックによって、生成された出力がセキュリティ標準を満たすことを確認します。
Microsoft Security をフォロー