米国 NSA CISA 継続的インテグレーション/継続的デリバリー(CI/CD)環境の防御に関する共同ガイダンス (2023.06.28)
こんにちは、丸山満彦です。
米国のNSAとCISAが共同で、継続的インテグレーション/継続的デリバリー(CI/CD)環境の防御に関するガイダンスを発表しているので、備忘録...
DevOpsの環境が汚染されると、大変ですからね。。。
● CISA
CISA and NSA Release Joint Guidance on Defending Continuous Integration/Continuous Delivery (CI/CD) Environments | CISAとNSA、継続的インテグレーション/継続的デリバリー(CI/CD)環境の防御に関する共同ガイダンスを発表 |
Today, CISA, together with the National Security Agency (NSA), released a Cybersecurity Information Sheet (CSI) to provide recommendations and best practices for organizations to strengthen the security of their CI/CD pipelines against the threat of malicious cyber actors (MCAs). | 本日、CISAは国家安全保障局(NSA)と共同で、悪意のあるサイバー行為者(MCA)の脅威からCI/CDパイプラインのセキュリティを強化するための推奨事項とベストプラクティスを提供するサイバーセキュリティ情報シート(CSI)を発表した。 |
Recognizing the various types of security threats that could affect CI/CD operations and taking steps to defend against each one is critical in securing a CI/CD environment. Organizations will find in this guide a list of common risks found in CI/CD pipelines and attack surfaces that could be exploited and threaten network security. | CI/CDの運用に影響を及ぼす可能性のある様々なタイプのセキュリティ脅威を認識し、それぞれに対する防御策を講じることは、CI/CD環境の安全性を確保する上で極めて重要である。組織はこのガイドで、CI/CDパイプラインに見られる一般的なリスクと、悪用されてネットワークセキュリティを脅かす可能性のある攻撃面のリストを見つけることができる。 |
CISA and NSA encourage all organizations to review this CSI and apply the recommended actions. | CISA と NSA は、すべての組織がこの CSI をレビューし、推奨されるアクションを適用することを推奨する。 |
・[PDF] Defending Continuous Integration/Continuous Delivery (CI/CD) Environments
エグゼクティブサマリー...
Executive summary | エグゼクティブサマリー |
The National Security Agency (NSA) and the Cybersecurity and Infrastructure Security Agency (CISA) are releasing this cybersecurity information sheet (CSI) to provide recommendations and best practices for improving defenses in cloud implementations of development, security, and operations (DevSecOps). This CSI explains how to integrate security best practices into typical software development and operations (DevOps) Continuous Integration/Continuous Delivery (CI/CD) environments, without regard for the specific tools being adapted, and leverages several forms of government guidance to collect and present proper security and privacy controls to harden CI/CD cloud deployments. As evidenced by increasing compromises over time, software supply chains and CI/CD environments are attractive targets for malicious cyber actors (MCAs). Figure 1 provides a high-level representation of threats to various parts of the CI/CD pipeline. | 国家安全保障局(NSA)とサイバーセキュリティ・インフラセキュリティ庁(CISA)は、開発・セキュリティ・運用(DevSecOps)のクラウド実装における防御を改善するための推奨事項とベストプラクティスを提供するため、このサイバーセキュリティ情報シート(CSI)を公開する。このCSIは、一般的なソフトウェア開発・運用(DevOps)の継続的インテグレーション/継続的デリバリー(CI/CD)環境にセキュリティのベストプラクティスを統合する方法を、適用する特定のツールに関係なく説明するもので、CI/CDのクラウドデプロイメントを強化するための適切なセキュリティとプライバシーのコントロールを収集し、提示するために、いくつかの形態の政府ガイダンスを活用している。時間の経過とともに侵害が増加していることから明らかなように、ソフトウェアのサプライチェーンとCI/CD環境は、悪意のあるサイバー行為者(MCA)にとって魅力的な標的である。図1は、CI/CDパイプラインのさまざまな部分に対する脅威をハイレベルで表したものである。 |
目次...
Contents | 目次 |
Defending Continuous Integration/Continuous Delivery (CI/CD) Environments | 継続的インテグレーション/継続的デリバリー(CI/CD)環境の防御 |
Executive summary | エグゼクティブサマリー |
Introduction | はじめに |
Key terms | 主な用語 |
CI/CD security threats | CI/CDセキュリティの脅威 |
Attack surface | アタック・サーフェス |
Insecure code | 安全でないコード |
Poisoned pipeline execution | 汚染されたパイプラインの実行 |
Insufficient pipeline access controls | パイプラインのアクセス管理が不十分 |
Insecure system configuration | 安全でないシステム構成 |
Usage of third-party services | サードパーティ・サービスの利用 |
Exposure of secrets | 秘密の暴露 |
Threat scenarios | 脅威シナリオ |
Active hardening | 積極的な堅牢化 |
Authentication and access mitigations | 認証とアクセス緩和 |
Use NSA-recommended cryptography | NSAが推奨する暗号を使用する |
Minimize the use of long-term credentials | 長期クレデンシャルの使用を最小限に抑える |
Add signature to CI/CD configuration and verify it | CI/CDコンフィギュレーションに署名を追加して検証する |
Utilize two-person rules (2PR) for all code updates | すべてのコード更新に2人ルール(2PR)を活用する。 |
Implement least-privilege policies for CI/CD access | CI/CDアクセスに対する最小特権ポリシーの導入 |
Secure user accounts | 安全なユーザーアカウント |
Secure secrets | 安全な秘密 |
Implement network segmentation and traffic filtering | ネットワーク・セグメンテーションとトラフィック・フィルタリングの実装 |
Development environment mitigations | 開発環境の緩和 |
Maintain up-to-date software and operating systems | 最新のソフトウェアとオペレーティング・システムを維持する |
Keep CI/CD tools up-to-date | CI/CDツールを常に最新の状態に保つ |
Remove unnecessary applications | 不要なアプリケーションを削除する |
Implement endpoint detection and response (EDR) tools | エンドポイント検出・対応(EDR)ツールの導入 |
Development process mitigations | 開発プロセスの緩和 |
Integrate security scanning as part of the CI/CD pipeline | セキュリティスキャンを CI/CD パイプラインの一部として統合する |
Restrict untrusted libraries and tools | 信頼できないライブラリやツールを制限する |
Analyze committed code | コミットされたコードを分析する |
Remove any temporary resources | 一時的なリソースを削除する |
Keep audit logs | 監査ログの保存 |
Implement software bill of materials (SBOM) and software composition analysis (SCA) | ソフトウェア部品表(SBOM)とソフトウェア構成分析の実施(SCA) |
Plan, build, and test for resiliency | 回復力のための計画、構築、テスト |
Conclusion | 結論 |
Further guidance | さらなるガイダンス |
Works cited | 引用文献 |
Appendix A: CI/CD threats mapped to MITRE ATT&CK | 附属書A:MITRE ATT&CKにマッピングされたCI/CDの脅威 |
Initial Access | 初期アクセス |
Execution | 実行 |
Persistence | 永続化 |
Privilege Escalation | 特権のエスカレーション |
Defense Evasion | 防御回避 |
Credential Access | クレデンシャル・アクセス |
Lateral Movement | 横展開 |
Exfiltration | 流出 |
Comments