Effektive Bitbucket-Sicherung einfach gemacht mit HYCU
Bitbucket = Die Kronjuwelen Ihrer Umgebung
Bitbucket ist wie andere Git Repositories von grundlegender Bedeutung für Ihre Softwareentwicklung. Aber in Wirklichkeit ist es so viel mehr. Für viele Unternehmen ist Bitbucket die Quelle Ihrer IP und aller Konfigurationen, die für den Betrieb Ihrer Infrastruktur entscheidend sind. Hier sind einige zentrale Anwendungsfälle:
- Versionskontrolle: Bitbucket bietet ein robustes Versionskontrollsystem, das es Teams ermöglicht, Änderungen zu verfolgen, effizient zusammenzuarbeiten und bei Bedarf zu früheren Versionen zurückzukehren.
- Zusammenarbeit: Sie ermöglichen es mehreren Entwicklern, gleichzeitig an demselben Projekt zu arbeiten, Änderungen zusammenzuführen und Konflikte zu lösen.
- Codeüberprüfung: Funktionen wie Pull-Requests erleichtern Code-Review-Prozesse, verbessern die Codequalität und den Wissensaustausch.
- CI/CD-Integration: Sie lassen sich nahtlos in CI/CD-Pipelines integrieren und automatisieren Build-, Test- und Bereitstellungsprozesse.
Grafik, die zeigt, warum Bitbucket so kritisch ist
Bedrohungen für Ihre IP, Ihren Quellcode und Ihre Konfigurationen
Die in Bitbucket gespeicherten Daten und Konfigurationen sind der Motor Ihrer Organisation. Es geht um die Speicherung und Verwaltung Ihres Quellcodes und der meisten Ihrer DevOps- und Infrastrukturkonfigurationen. Was glauben Sie zum Beispiel, wo Ihre YAML-Dateien für Ihre Lambda-Funktionen gespeichert sind? Oder Ihre Terraform-Vorlagen? Der Verlust oder die Beschädigung Ihrer Daten in Bitbucket kann:
- Ihre IP und Ihren Quellcode gefährden.
- Erzwingen Sie, dass Ihr Unternehmen die Konfigurationen Ihrer gesamten Infrastruktur und Ihres Anwendungslebenszyklus neu erstellt.
- Beeinträchtigen Sie die Kundenerfahrung
- Zerstören Sie die Produktivität der Entwickler.
Gängige Szenarien, die zu Datenverlusten in Bitbucket führen
Sie können diese Szenarien nach versehentlichem Datenverlust, Fehlkonfigurationen und wie immer nach Murphys Gesetz kategorisieren.
Versehentlicher Datenverlust. Dies ist das bei weitem häufigste Szenario, das in Ihrem Unternehmen mit ziemlicher Sicherheit eintreten wird. Ob es sich um einen Administrator oder einen Benutzer handelt, Menschen machen Fehler. Hier sind einige Beispiele:
- Versehentliches Löschen (damit können Sie immer rechnen)
- Überschreiben
- Fehlkonfigurationen
Cyber-Angriffe oder Insider-Bedrohungen. Ihre Git-Repos, ob Bitbucket oder Github, sind die Kronjuwelen Ihres Unternehmens. Das macht sie zu einem lukrativen Ziel für Cyberkriminelle, die Lösegeld erpressen, Daten durchsickern lassen oder Spionage betreiben wollen. Hier sind einige aktuelle Beispiele dafür:
- Einschleusen von bösartigem Code direkt in offengelegte Bibliotheken
- Angriffe auf Git-Repositories zum Diebstahl Ihrer API-Schlüssel, Passwörter und kryptografischen Schlüssel.
- Bösartige Beiträge/Commits. Das Team von Checkmarx Zero hat im Juli 2023 verdächtige Commits in mehreren Repos entdeckt.
- Betrügerische Pull Requests einreichen
Empfehlungen: Gewährleistung von Sicherheit, Compliance und Geschäftskontinuität von Bitbucket auf Mieterebene
Da die meisten Unternehmen Bitbucket in der Atlassian Cloud verwenden, kann es verwirrend sein, den Umfang Ihrer Verantwortung zu verstehen. In einem anderen Artikel fassen wir den Verantwortungsbereich zwischen einem Anbieter (Atlassian Cloud) und dem Mieter (Ihrer Organisation) zusammen. Hier finden Sie eine Checkliste mit den grundlegenden Maßnahmen Ihrer Organisation bei der Nutzung von Bitbucket oder einem anderen Cloud-Repository.
- Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für alle Benutzer und verwenden Sie Single-Sign-On (SSO)
- Implementieren Sie Least Privilege Policies für die Zugriffsrechte.
- Beschränken und überwachen Sie den Zugriff/die Berechtigungen, insbesondere wenn Ihr Unternehmen Auftragnehmer oder Drittentwickler einsetzt. Erfahren Sie, wie Atlassian Guard Unternehmen dabei unterstützen will.
- Aktivieren Sie Regeln zum Schutz von Zweigen und richten Sie Einschränkungen für Zweige ein.
- Vermeiden Sie die Speicherung von API-Schlüsseln, Passwörtern und Token in Bitbucket
- Überprüfen Sie den Merge-Prozess und die Beiträge.
- Regelmäßig nach geklonten Repositories suchen.
- Automatisieren Sie Backups mit einer täglichen Backup-Häufigkeit (mindestens)
- Bewahren Sie Offsite-Kopien Ihres Repositorys über Ihre Backups in einem unveränderlichen Speicher auf (z.B. Amazon S3-Bucket mit aktiviertem Object-Lock)
- Testen Sie regelmäßig die Wiederherstellung von Repositories, um einen Cyber-Event zu simulieren.
Wenn Sie mehr darüber erfahren möchten, wie Sie Ihre Git-Repositories sichern und schützen können, sehen Sie sich diese On-Demand-Diskussion zwischen HYCU-Produktverantwortlichen an: GitHub Security: Kombinieren Sie Datenschutz mit Ihrem DevOps-Workflow
Andy Fernandez ist Direktor für Produktmanagement bei HYCU, einem Unternehmen von Atlassian Ventures. Andys gesamte Karriere konzentriert sich auf die Datensicherung und Notfallwiederherstellung für kritische Anwendungen. Zuvor hatte er Produkt- und GTM-Positionen bei Zerto und Veeam inne. Jetzt konzentriert sich Andy darauf, sicherzustellen, dass Unternehmen kritische SaaS- und Cloud-Anwendungen über ITSM und DevOps schützen. Wenn er nicht gerade an der Datensicherung arbeitet, besucht Andy gerne Live-Konzerte, erkundet die lokalen Feinschmeckerlokale und geht an den Strand.
Erhalten Sie die neuesten Erkenntnisse und Updates
Vielen Dank für das Absenden des Formulars!
Die Datei sollte sich in einer neuen Registerkarte öffnen. Sollte dies nicht der Fall sein, klicken Sie auf die Schaltfläche unten, um sie direkt herunterzuladen.
Vielen Dank für das Absenden des Formulars!
Das Webinar-Video ist jetzt unten verfügbar.