« 日本公認会計士協会 「監査提言集」の公表について | Main | 英国 著作権と人工知能 (AI) に関する実施規範をつくるようですね。。。(2023.06.29) »

2023.07.09

米国 NSA CISA 継続的インテグレーション/継続的デリバリー(CI/CD)環境の防御に関する共同ガイダンス (2023.06.28)

こんにちは、丸山満彦です。

米国のNSAとCISAが共同で、継続的インテグレーション/継続的デリバリー(CI/CD)環境の防御に関するガイダンスを発表しているので、備忘録...

DevOpsの環境が汚染されると、大変ですからね。。。

 

CISA

・2023.06.28 CISA and NSA Release Joint Guidance on Defending Continuous Integration/Continuous Delivery (CI/CD) Environments

CISA and NSA Release Joint Guidance on Defending Continuous Integration/Continuous Delivery (CI/CD) Environments CISAとNSA、継続的インテグレーション/継続的デリバリー(CI/CD)環境の防御に関する共同ガイダンスを発表
Today, CISA, together with the National Security Agency (NSA), released a Cybersecurity Information Sheet (CSI) to provide recommendations and best practices for organizations to strengthen the security of their CI/CD pipelines against the threat of malicious cyber actors (MCAs). 本日、CISAは国家安全保障局(NSA)と共同で、悪意のあるサイバー行為者(MCA)の脅威からCI/CDパイプラインのセキュリティを強化するための推奨事項とベストプラクティスを提供するサイバーセキュリティ情報シート(CSI)を発表した。
Recognizing the various types of security threats that could affect CI/CD operations and taking steps to defend against each one is critical in securing a CI/CD environment. Organizations will find in this guide a list of common risks found in CI/CD pipelines and attack surfaces that could be exploited and threaten network security.      CI/CDの運用に影響を及ぼす可能性のある様々なタイプのセキュリティ脅威を認識し、それぞれに対する防御策を講じることは、CI/CD環境の安全性を確保する上で極めて重要である。組織はこのガイドで、CI/CDパイプラインに見られる一般的なリスクと、悪用されてネットワークセキュリティを脅かす可能性のある攻撃面のリストを見つけることができる。     
CISA and NSA encourage all organizations to review this CSI and apply the recommended actions. CISA と NSA は、すべての組織がこの CSI をレビューし、推奨されるアクションを適用することを推奨する。

 

・[PDF] Defending Continuous Integration/Continuous Delivery (CI/CD) Environments

20230709-53944

 

エグゼクティブサマリー...

Executive summary  エグゼクティブサマリー 
The National Security Agency (NSA) and the Cybersecurity and Infrastructure Security Agency (CISA) are releasing this cybersecurity information sheet (CSI) to provide recommendations and best practices for improving defenses in cloud implementations of development, security, and operations (DevSecOps). This CSI explains how to integrate security best practices into typical software development and operations (DevOps) Continuous Integration/Continuous Delivery (CI/CD) environments, without regard for the specific tools being adapted, and leverages several forms of government guidance to collect and present proper security and privacy controls to harden CI/CD cloud deployments. As evidenced by increasing compromises over time, software supply chains and CI/CD environments are attractive targets for malicious cyber actors (MCAs). Figure 1 provides a high-level representation of threats to various parts of the CI/CD pipeline.  国家安全保障局(NSA)とサイバーセキュリティ・インフラセキュリティ庁(CISA)は、開発・セキュリティ・運用(DevSecOps)のクラウド実装における防御を改善するための推奨事項とベストプラクティスを提供するため、このサイバーセキュリティ情報シート(CSI)を公開する。このCSIは、一般的なソフトウェア開発・運用(DevOps)の継続的インテグレーション/継続的デリバリー(CI/CD)環境にセキュリティのベストプラクティスを統合する方法を、適用する特定のツールに関係なく説明するもので、CI/CDのクラウドデプロイメントを強化するための適切なセキュリティとプライバシーのコントロールを収集し、提示するために、いくつかの形態の政府ガイダンスを活用している。時間の経過とともに侵害が増加していることから明らかなように、ソフトウェアのサプライチェーンとCI/CD環境は、悪意のあるサイバー行為者(MCA)にとって魅力的な標的である。図1は、CI/CDパイプラインのさまざまな部分に対する脅威をハイレベルで表したものである。

 

 

目次...

Contents  目次 
Defending Continuous Integration/Continuous Delivery (CI/CD) Environments 継続的インテグレーション/継続的デリバリー(CI/CD)環境の防御
Executive summary エグゼクティブサマリー
Introduction はじめに
Key terms 主な用語
CI/CD security threats CI/CDセキュリティの脅威
Attack surface アタック・サーフェス
Insecure code 安全でないコード
Poisoned pipeline execution 汚染されたパイプラインの実行
Insufficient pipeline access controls パイプラインのアクセス管理が不十分
Insecure system configuration 安全でないシステム構成
Usage of third-party services サードパーティ・サービスの利用
Exposure of secrets 秘密の暴露
Threat scenarios 脅威シナリオ
Active hardening 積極的な堅牢化
Authentication and access mitigations 認証とアクセス緩和
Use NSA-recommended cryptography NSAが推奨する暗号を使用する
Minimize the use of long-term credentials 長期クレデンシャルの使用を最小限に抑える
Add signature to CI/CD configuration and verify it CI/CDコンフィギュレーションに署名を追加して検証する
Utilize two-person rules (2PR) for all code updates すべてのコード更新に2人ルール(2PR)を活用する。
Implement least-privilege policies for CI/CD access CI/CDアクセスに対する最小特権ポリシーの導入
Secure user accounts 安全なユーザーアカウント
Secure secrets 安全な秘密
Implement network segmentation and traffic filtering ネットワーク・セグメンテーションとトラフィック・フィルタリングの実装
Development environment mitigations 開発環境の緩和
Maintain up-to-date software and operating systems 最新のソフトウェアとオペレーティング・システムを維持する
Keep CI/CD tools up-to-date CI/CDツールを常に最新の状態に保つ
Remove unnecessary applications 不要なアプリケーションを削除する
Implement endpoint detection and response (EDR) tools エンドポイント検出・対応(EDR)ツールの導入
Development process mitigations 開発プロセスの緩和
Integrate security scanning as part of the CI/CD pipeline セキュリティスキャンを CI/CD パイプラインの一部として統合する
Restrict untrusted libraries and tools 信頼できないライブラリやツールを制限する
Analyze committed code コミットされたコードを分析する
Remove any temporary resources 一時的なリソースを削除する
Keep audit logs 監査ログの保存
Implement software bill of materials (SBOM) and software composition analysis (SCA) ソフトウェア部品表(SBOM)とソフトウェア構成分析の実施(SCA)
Plan, build, and test for resiliency 回復力のための計画、構築、テスト
Conclusion 結論
Further guidance さらなるガイダンス
Works cited 引用文献
Appendix A: CI/CD threats mapped to MITRE ATT&CK 附属書A:MITRE ATT&CKにマッピングされたCI/CDの脅威
Initial Access 初期アクセス
Execution 実行
Persistence 永続化
Privilege Escalation 特権のエスカレーション
Defense Evasion 防御回避
Credential Access クレデンシャル・アクセス
Lateral Movement 横展開
Exfiltration 流出

 

 

|

« 日本公認会計士協会 「監査提言集」の公表について | Main | 英国 著作権と人工知能 (AI) に関する実施規範をつくるようですね。。。(2023.06.29) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 日本公認会計士協会 「監査提言集」の公表について | Main | 英国 著作権と人工知能 (AI) に関する実施規範をつくるようですね。。。(2023.06.29) »