Blog

May 29, 2023

So schützen Sie Ihre CI/CD-Pipeline

Kontinuierliche Integration und kontinuierliche Bereitstellung/Bereitstellung (CI/CD) von Container Security haben App-Entwickler überzeugt, und Cybersicherheitsteams in Unternehmen sind am Haken, um CI/CD-Pipelines zu schützen. OWASPs

Containersicherheit

Kontinuierliche Integration und kontinuierliche Bereitstellung/Bereitstellung (CI/CD) haben App-Entwickler überzeugt, und Cybersicherheitsteams in Unternehmen sind für den Schutz der CI/CD-Pipelines zuständig. Die zehn größten CI/CD-Sicherheitsrisiken von OWASP verdeutlichen, worauf Sie achten sollten.

Von: Trend Micro 29. August 2023 Lesezeit: (Wörter)

Im Folio speichern

Im vergangenen Herbst kündigte das Open Worldwide Application Security Project (OWASP) ein neues Projekt an, das sich auf die zehn größten Sicherheitsrisiken für CI/CD-Pipelines konzentriert. (CI/CD steht für Continuous Integration und Continuous Delivery/Deployment, eine Art „Perpetual Motion“-Ansatz für die Softwareentwicklung.)

Die Top 10 spiegeln wider, wie weit verbreitet CI/CD geworden ist – und wie anfällig ihre Pipelines aufgrund der Komplexität des Technologie-Stacks, der zunehmenden Nutzung von Automatisierung und Infrastruktur als Code sowie der stärkeren Integration von Drittanbietern sein können. Es zeigt auch einen weiteren Fall auf, in dem traditionelle Cybersicherheitsexperten im Zuge der zunehmenden Konvergenz von Sicherheitsabläufen und Cloud-Sicherheit erweiterte Verantwortung übernehmen.

Geringstes Privileg, Zero Trust

Basierend auf unserer Einschätzung lassen sich die zehn größten CI/CD-Sicherheitsrisiken von OWASP in drei allgemeine Kategorien einteilen: Zugriffs- und Anmeldedatenrisiken; Integrations- und Abhängigkeitsrisiken; und Konfigurationsrisiken. Die immer wiederkehrende Botschaft lautet, dass Organisationen, wo immer möglich, das Prinzip der geringsten Privilegien anwenden und sich den Geist des Zero-Trust-Ansatzes zu eigen machen sollten.

Zugriffs- und Anmeldeinformationsrisiken in der CI/CD-Pipeline

Unzureichendes Identitäts- und Zugriffsmanagement

Die offene, kontinuierliche Natur von CI/CD führt dazu, dass mehr Menschen und Maschinen in allen Phasen und Phasen am Entwicklungsökosystem beteiligt sind. Schon eine einzige kompromittierte Identität kann ernsthaften Schaden anrichten.

Laut OWASP können Identitäten eine Reihe von Schwachstellen aufweisen – von zu weitreichenden Berechtigungen bis hin zur Veraltung. Es wird empfohlen, alle internen und externen Identitäten kontinuierlich abzubilden, unnötige Berechtigungen zu entfernen und nicht allen Benutzern oder großen Gruppen pauschale Berechtigungen zu erteilen. Veraltete Konten sollten eine definierte Haltbarkeitsdauer haben. Lokale Konten (also solche, die nicht zentral verwaltet werden) sollten ebenso verboten sein wie die Verwendung privater oder nicht unternehmenseigener E-Mail-Adressen, die Selbstregistrierung und gemeinsame Konten.

Unzureichende Ausweishygiene

Betrüger schätzen Anmeldeinformationen für den Zugriff, den sie auf hochwertige Ressourcen gewähren, und für die Möglichkeiten, die sie zur Bereitstellung von Schadcode und Artefakten bieten. Sie können in der CI/CD-Pipeline auf verschiedene Arten verfügbar gemacht werden.

Wenn sie an einen SCM-Repository-Zweig (Software Change Management) übertragen werden, können Anmeldeinformationen von jedem gelesen werden, der Zugriff auf das Repository hat. Sie können offen gelassen werden, wenn sie in Build- und Bereitstellungsprozessen oder auf Bildebenen unsicher verwendet werden, und können auch auf Konsolenausgaben gedruckt werden.

Die Empfehlungen von OWASP bestehen darin, die Anmeldeinformationen regelmäßig zu wechseln, stets das Prinzip der geringsten Rechte anzuwenden, temporäre Anmeldeinformationen anstelle statischer Anmeldeinformationen zu verwenden und alle Geheimnisse oder Anmeldeinformationen aus Artefakten zu entfernen, sobald sie nicht mehr benötigt werden.

Unzureichende Pipeline-basierte Zugriffskontrollen (PBAC)

CI/CD-Ausführungsknoten greifen sowohl auf interne als auch externe Systeme und Ressourcen zu. Kriminelle können diesen Zugriff nutzen, um bösartigen Code zu verbreiten und dabei alle Berechtigungen ausnutzen, die mit der Pipeline-Phase verbunden sind, in der der Code ausgeführt wird.

Um Abhilfe zu schaffen, sollten laut OWASP Knoten mit unterschiedlichen Empfindlichkeitsstufen oder Ressourcenanforderungen nicht von mehreren Pipelines gemeinsam genutzt werden. Außerdem wird eine Form der geringsten Rechte empfohlen, um sicherzustellen, dass jeder Pipeline-Schritt nur auf die Geheimnisse zugreifen kann, die er benötigt, und nicht auf andere. Sobald die Pipeline ausgeführt ist, sollte der Knoten in seinen „ursprünglichen Zustand“ zurückversetzt werden und jeder Knoten sollte über vollständig aktuelle Sicherheitspatches verfügen.

Integrations- und Abhängigkeitsrisiken in der CI/CD-Pipeline

Missbrauch der Abhängigkeitskette

Code in der CI/CD-Pipeline hängt möglicherweise von anderem Code ab, um zu funktionieren, und diese Abhängigkeiten können verwendet werden, um schädliche Pakete in den Entwicklungsprozess zu importieren.

OWASP hat vier häufige Abhängigkeitskettenangriffe identifiziert: Abhängigkeitsverwirrung (Bösartige Pakete werden genauso benannt wie legitime Pakete); Abhängigkeits-Hijacking (Ersetzen legitimer Pakete durch bösartige); „Typosquatting“ (Benennung bösartiger Pakete in Variationen häufiger Rechtschreibfehler beliebter legitimer Pakete); und „Brandjacking“ (Tarnung bösartiger Pakete als vertrauenswürdige Marken).

Laut OWASP sollte das Abrufen von Paketen aus dem Internet oder nicht vertrauenswürdigen Quellen verboten werden und alle privaten Pakete sollten überprüft werden, ob sie in den Zuständigkeitsbereich der Organisation fallen. Alle Installationsskripte sollten ohne Zugriff auf Geheimnisse oder sensible Ressourcen ausgeführt werden und die Namen interner Projekte sollten niemals in öffentlichen Repositorys veröffentlicht werden.

Vergiftete Pipeline-Ausführung

Auch die gesamte CI/CD-Pipeline kann mit bösartigem Code „vergiftet“ werden, wenn ein Angreifer Zugriff auf Quellcodeverwaltungssysteme erhält. Besonders anfällig sind Pipelines, die nicht überprüften Code verwenden.

Organisationen sollten Pipelines, die nicht überprüften Code ausführen, auf isolierte Knoten beschränken und alle CI-Konfigurationsdateien sollten überprüft werden, bevor die Pipeline ausgeführt wird. OWASP empfiehlt, die Pipelines, die in öffentlichen Repositorys ausgelöst werden können, zu begrenzen und sensible Pipelines mit Zweigschutzregeln im SCM zu schützen. Und wenn Benutzer bestimmte Berechtigungen im SCM-Repository nicht benötigen, sollten sie diese auch nicht haben.

Unkontrollierte Nutzung von Diensten Dritter

Der Zugriff Dritter auf die internen Ressourcen einer Organisation ist in das CI/CD-Modell integriert, und ein kompromittierter Dritter kann dazu genutzt werden, in das gesamte Ökosystem einzudringen. Um dies zu veranschaulichen, führt OWASP das Beispiel eines Dritten mit Schreibberechtigungen an, der ausgenutzt wird, um Code in ein Repository zu pushen, der dann einen Build auslöst und das Build-System infiziert.

Zu den empfohlenen Heilmitteln gehören:

Unsachgemäße Validierung der Artefaktintegrität

Artefakte in der CI/CD-Pipeline sind Code- oder Datenteile, die im Build-Prozess verwendet werden und gespeichert werden oder für das System weiterhin zugänglich bleiben. Wenn sie nicht validiert sind, können sie dazu verwendet werden, Schadcode oder Artefakte in die Pipeline einzuschleusen.

Auch hier hat OWASP einige Empfehlungen: Validieren Sie die Integrität aller Ressourcen von der Entwicklung bis zur Produktion; eine sichere Code-Signatur-Technologie integrieren; Bereitstellung von Software zur Artefaktverifizierung; und Überwachung auf „Konfigurationsdrift“ in CI/CD-Assets. Diese gelten gleichermaßen für interne und externe/fremde Artefakte.

Konfigurationsrisiken in der CI/CD-Pipeline

Unzureichende Mechanismen zur Flusskontrolle

Viele der bisher zusammengefassten Risiken werden durch die Tatsache verschärft, dass ein Angreifer, sobald er Zugriff auf einen Teil des CI/CD-Prozesses hat, aufgrund fehlender Flusskontrollmechanismen praktisch freie Hand hat, Schadcode überall hin zu übertragen, wo er möchte.

Die Empfehlung von OWASP besteht darin, sicherzustellen, dass keine Person, keine Maschine oder kein Programm „sensiblen Code und Artefakte ohne externe Verifizierung oder Validierung durch die Pipeline versenden kann“, indem:

Unsichere Systemkonfiguration

Suboptimale Konfigurationen können eine erhebliche Risikoquelle in CI/CD-Pipelines darstellen. Angreifer können selbstverwaltete Assets ausnutzen, die veraltet oder nicht gepatcht sind oder über Administratorrechte im Betriebssystem verfügen. Sie können auch Systeme mit übermäßigen Zugriffsberechtigungen, unzureichender Berechtigungshygiene oder unsicheren Konfigurationen in Bezug auf Autorisierung, Protokollierung und andere Funktionen ausnutzen.

Unternehmen sollten Konfigurationsschwachstellen beheben, indem sie eine vollständige, aktuelle Bestandsaufnahme der Systeme und Versionen führen und regelmäßig nach bekannten Schwachstellen suchen. OWASP empfiehlt außerdem den Zugriff und die Berechtigungen mit den geringsten Privilegien sowie regelmäßige Konfigurationsüberprüfungen.

Unzureichende Protokollierung und Sichtbarkeit

Wie OWASP es ausdrückt: „Das Vorhandensein starker Protokollierungs- und Sichtbarkeitsfunktionen ist für die Fähigkeit einer Organisation, sich auf einen sicherheitsrelevanten Vorfall vorzubereiten, ihn zu erkennen und zu untersuchen, von entscheidender Bedeutung.“ Die IT-Cybersicherheit leistet hier in der Regel gute Arbeit, aber technische Systeme und Prozesse verfügen nicht über den gleichen Schutz.

Dem kann entgegengewirkt werden, indem eine aktuelle Karte der Umgebung verwaltet, geeignete menschliche und programmatische Protokollquellen eingerichtet, Protokolle aus verschiedenen Systemen zur Informationsbeschaffung aggregiert und korreliert werden und Warnungen verwendet werden, um Anomalien und potenzielle böswillige Aktivitäten zu kennzeichnen.

Diese Art von Maßnahmen können mit erweiterten Erkennungs- und Reaktionsfunktionen (XDR) ergriffen werden, die Protokolle und Telemetrie über Cloud-Sicherheits- und AppSec-Tools hinweg zentralisieren. Brechen Sie Cloud-Sicherheitssilos auf und nutzen Sie die Informationen dieser Tools als Teil eines umfassenderen XDR-Ansatzes, um Bedrohungen auf einer einzigen Plattform aufzuspüren, zu untersuchen und darauf zu reagieren.

Schützen Sie Ihre CI/CD-Pipeline

Die Top-10-Listen von OWASP sind unschätzbare Ressourcen für Cybersicherheitsteams, insbesondere für diejenigen, die aus der traditionellen Welt der Security Operations Center (SOC) kommen und sich nun in der Lage sehen, Anwendungssicherheit, DevOps-Schutz und Cloud-Verteidigung zu gewährleisten.

Die Top 10 der CI/CD-Pipeline sind eine willkommene Ergänzung der Liste und bekräftigen unmissverständlich, dass starke Kontrollen, streng eingeschränkte Berechtigungen und eine allgemeine Zero-Trust-Denkweise entscheidend sind, um Unternehmensressourcen und -daten zu schützen und gleichzeitig den offenen und iterativen Charakter zu nutzen des CI/CD-Modells.

Diese Maßnahmen stimmen mit der Position von Trend Micro überein, dass ein Zero-Trust-Ansatz in verteilten Entwicklungsumgebungen von entscheidender Bedeutung ist. Unternehmen benötigen Zero Trust Secure Access und kontinuierliche Bewertungen von identitäts- und gerätebezogenen Risiken, um eine sichere Grundlage für schnell agierende DevOps-Teams zu schaffen. Trend Vision One trägt dazu bei, die sichere Entwicklung voranzutreiben, indem es Identitätsprotokolle und Benutzerverhalten in Untersuchungen einbezieht, Artefakte auf Schwachstellen und Malware scannt und vieles mehr. Dies alles ist Teil unseres Engagements, Sicherheitsteams dabei zu unterstützen, neue Verantwortlichkeiten in softwarebasierten Unternehmen zu übernehmen und Unternehmen bei der strategischen Nutzung der Cloud zu unterstützen.

Nächste Schritte

Weitere Einblicke von Trend Micro in die CI/CD-Pipeline-Sicherheit finden Sie in den folgenden Ressourcen:

Trend Micro

DevOps-Ressourcenzentrum