Übersicht über Observability

Die Observability spielt eine Rolle in der gesamten Lieferkette für Container, indem Sie Sichtbarkeit, Überwachung und Kontrolle über die verschiedenen Phasen bereitstellen, von der Übernahme bis hin zum Build bis hin zur Bereitstellung und Ausführung. Es ist entscheidend, den Lebenszyklus der containerisierten Anwendung zu verstehen, die verschiedenen Phasen der Lieferkette, die es durchläuft, die Komponenten, von denen sie abhängt, sowie von den Akteuren, die an ihrer Erstellung teilnehmen. Mit Observability können Unternehmen Lücken in der Sicherheit ihrer Container-Lieferkette identifizieren, kritische Fragen während der Reaktion auf Vorfälle beantworten und sogar verhindern, dass unsichere Container in der Produktion bereitgestellt werden.

Als kritische Komponente des CssC-Frameworks (Containers Secure Supply Chain) von Microsoft identifiziert Observability eine Reihe bewährter Methoden und Richtlinien für containerisierte Anwendungen. In diesem Artikel erfahren Sie mehr über hintergrund, Ziele und Ziele für die Observierbarkeit der container sicheren Lieferkette.

Hintergrund

In den heutigen Unternehmensumgebungen werden containerisierte Anwendungen mithilfe einer Vielzahl von Tools erstellt und bereitgestellt, die von verschiedenen Teams verwaltet werden. Observability-Daten aus diesen Tools sind häufig isoliert und machen es schwierig, den Lebenszyklus einer containerisierten Anwendung nachzuverfolgen. Dieser Mangel an Sichtbarkeit macht es schwierig, Lücken in der Lieferkettensicherheit zu erkennen und potenzielle Sicherheitsprobleme zu erkennen.

Die Observability-Komponente des CSSC-Frameworks empfiehlt eine Reihe bewährter Methoden und Richtlinien zum Erfassen wesentlicher Daten aus den verschiedenen Phasen der Container-Lieferkette. Diese Daten können verwendet werden, um die allgemeinen Schritte im Lebenszyklus einer containerisierten Anwendung festzulegen und Anomalien zu erkennen, die Indikatoren für Kompromittierung (IoC) sein können.

Empfohlene Praktiken

Microsoft empfiehlt die Implementierung der Observability in jeder Phase der Container-Lieferkette. Observability-Daten aus jeder Phase sollten in ein einzelnes System integriert werden, das eine ganzheitliche Sicht auf die Lieferkette bietet. Künstliche Intelligenz kann Daten aus verschiedenen Phasen korrelieren und Muster identifizieren, die verwendet werden können, um Anomalien zu erkennen und Sicherheitsvorfälle zu verhindern.

Die Observability sollte durch detaillierte Berichterstellungs- und Warnfunktionen erweitert werden. Die Berichterstellung hilft Teams dabei, ihren aktuellen Sicherheitsstatus zu verstehen und Verbesserungen vorzunehmen und gleichzeitig die Complianceanforderungen zu erfüllen. Rechtzeitiges Warnen für verdächtiges Verhalten kann Sicherheitsvorfälle verhindern und die Auswirkungen einer Verletzung verringern.

Microsoft empfiehlt mindestens die Erfassung der folgenden Observability-Daten:

• Quellen, Versionen und Sicherheitsrisikostatus externer Containerimages, die verwendet werden können, um das Risiko externer Abhängigkeiten zu bewerten.
• Die Aktivitäten der Benutzer für die Anforderung und Genehmigung der Verwendung externer Bilder, die potenzielle interne Bedrohungen identifizieren können.
• Datums- und Uhrzeiten von Sicherheitsrisiken und Schadsoftwareüberprüfungen, um sicherzustellen, dass sie regelmäßig ausgeführt werden und veraltete Daten vermeiden.
• Verwendung externer Images in den Build- und Bereitstellungspipelinen zur Quantifizierung des Risikos externer Abhängigkeiten.
• Builddetails wie den Quellcodespeicherort, die Buildumgebung und die Buildartefakte, um sicherzustellen, dass die Builds kompatibel sind.
• Bereitstellungsdetails wie die Bereitstellungsumgebung, die Bereitstellungsartefakte und die Bereitstellungskonfiguration, um sicherzustellen, dass die Bereitstellungen kompatibel sind
• Laufzeitdetails wie die Laufzeitumgebung, die Laufzeitartefakte, die Laufzeitkonfiguration und das Laufzeitverhalten, um keine Abweichung vom erwarteten Verhalten sicherzustellen.

Die oben genannten Observability-Daten können mit anderen Daten aus Sicherheitsinformations- und Ereignisverwaltungssystemen (SIEM) korreliert werden, z. B. Firewallprotokolle, Netzwerkdatenverkehr und Benutzeraktivitäten, um Muster zu erkennen und potenzielle Sicherheitsvorfälle zu identifizieren.

Sicherheitsziele für die Beobachtbarkeit

Die Implementierung der Observierbarkeit innerhalb jeder Phase ist entscheidend für die Identifizierung von Lücken und das Verhindern von Sicherheitsvorfällen in der Lieferkette für Container. Die Observability-Komponente des CSSC-Frameworks soll die folgenden Sicherheitsziele erfüllen.

Erkennen von Bedrohungen und bösartigem Verhalten

Angriffe auf Software-Lieferketten werden immer häufiger und anspruchsvoller. Aktuelle Überwachungstools sind auf Überwachungssysteme innerhalb einer einzigen Lieferkettenstufe beschränkt, die den Gesamtkontext des Containerlebenszyklus ignoriert. Unternehmen können sich auf regelmäßige oder manuelle Prüfungen verlassen, die bei der Identifizierung laufender Bedrohungen oder sich schnell entwickelnder Angriffsmuster weniger effektiv sind.

Durch die Implementierung der End-to-End-Observability in der Lieferkette für Container können Sicherheitsteams einen ganzheitlichen Überblick über die Lieferkette erhalten und potenzielle Bedrohungen und böswilliges Verhalten erkennen.

Vereinfachen der Compliance

Cloudnative Anwendungen werden auf globaler Ebene bereitgestellt und bestehen aus einer großen Anzahl von Ressourcen. Die eingeschränkte Sichtbarkeit, in der Container bereitgestellt werden, welche Quellen verwendet werden und was der Sicherheitsstatus ist, macht es schwierig, Complianceanforderungen zu erfüllen. Der Mangel an Bestand verhindert auch, dass Unternehmen schnell die Auswirkungen kritischer Sicherheitsrisiken quantifizieren und Maßnahmen ergreifen können.

Das Erfassen von Observability-Daten in jeder Phase der Lieferkette für Container kann Unternehmen dabei helfen, einen umfassenden Bestand ihrer Containerressourcen zu erstellen und Abhängigkeitsdiagramm zu erstellen, die verwendet werden können, um Risiken schnell zu bewerten und Complianceberichte zu liefern.

Unterstützen der Reaktion auf Vorfälle

Der Mangel an Beobachtbarkeit kann die Reaktion auf Vorfälle behindern, indem die Erkennung verzögert, die Sichtbarkeit eingeschränkt wird, manuelle Arbeitsauslastungen erhöht und die Effizienz und Effektivität von Reaktionsmaßnahmen reduziert werden. Ohne die vollständige Ansicht der End-to-End-Lieferkette für Container fehlen Vorfall-Responder möglicherweise kritische Informationen, wodurch es schwierig wird, den Schweregrad des Vorfalls zu bewerten und eine effektive Reaktionsstrategie zu formulieren.

Das Korrelieren von Observability-Daten aus den verschiedenen Phasen der Lieferkette für Container kann dazu beitragen, dass Vorfallsantworter bessere Entscheidungen treffen und schneller auf Sicherheitsvorfälle reagieren.

Empfohlene Tools

Microsoft bietet eine Reihe von Tools und Diensten, die zur Implementierung der Observierbarkeit in der Container-Lieferkette verwendet werden können.

Überwachungs- und Diagnoseprotokolle für Azure Container Registry (ACR) bieten einen detaillierten Überwachungs- und Aktivitätspfad aller Vorgänge, die für die Registrierung ausgeführt werden. Protokolle und Moniringdaten können analiziiert und mit anderen Observability-Daten in Azure Monitor korreliert werden.

Microsoft Defender für DevOps bietet einen einheitlichen Einblick in den DevOps-Sicherheitsstatus für Teams mit Azure DevOps und GitHub. Defender für DevOps hilft Ihnen bei der Ermittlung von Bereitstellungsfehlern, verfügbar gemachten geheimen Schlüsseln und Kommentieren von Pullanforderungen in GitHub und Azure DevOps mit Sicherheitsinformationen.

Nächste Schritte

• Einführung in das Framework für sichere Lieferketten von Containern
• Übersicht über die Erwerbsphase
• Übersicht über die Katalogphase
• Übersicht über die Buildphase
• Übersicht über die Bereitstellungsphase
• Übersicht über die Ausführungsphase