はじめに
CI / CDパイプラインは、ソフトウェア開発の柱であり、DevOpsパイプラインの主要コンポーネントの1つです。継続的インテグレーション/デリバリー(またはデプロイメント)プロセスは、ソフトウェアエンジニアが新しいプログラムをデリバリーするための一連のステップを定義します。
CI / CDを使用すると生産効率が向上しますが、このプロセスではセキュリティが無視される傾向があります。本番環境とテスト環境で使用されるデータベース、独自のコード、資格情報、キー、シークレット、およびパスワードもセキュリティリスクです。
この記事では、CI / CDのセキュリティ、課題、およびソフトウェア生産パイプラインを保護するためのベストプラクティスについて説明します。
CI / CDセキュリティとは何ですか?
CI/CDセキュリティ 自動化されたソフトウェア生産パイプラインを保護するためのステップを表します。全体的なソフトウェアセキュリティは重要ですが、ソフトウェアアップデートとパッチの配信ラインも信頼できるものでなければなりません。
CI/CDパイプライン 自動アプリケーション統合と配信(または展開)のフローです。このメソッドは、クライアントのニーズに合わせて頻繁な更新とバグ修正を実装します。その結果、主な焦点は、継続的な生産のための完全なソフトウェア配信の自動化にあります。
ただし、CI / CDパイプラインで見落とされている要素は、セキュリティ自体のパイプラインです。テストの自動化と継続的な監視を通じて、セキュリティ管理者はソフトウェア開発のさまざまなステップを通じて脆弱性評価を実装する必要があります。
CI/CDパイプラインにおける一般的なセキュリティの課題
CI / CDパイプラインをシールドする際に考慮すべきセキュリティ上の課題は数多くあります:
- データコンプライアンス 非本番環境での作業は重要な課題です。同じプロジェクトに取り組む人が多いほど、違反の可能性のあるポイントの数が多くなります。
- 明確に定義されたアクセス制御ルール およびパスワードポリシー すべてのユーザーにとって必須です。妥協した場合は、準備されたインシデント対応計画 存在する必要があります。
- 自動化とオーケストレーションには、多数のソフトウェアと1回限りのコードビットが必要です。継続的な監視 および監査 コードとサードパーティソフトウェアが必要です。
絶え間なく更新されるペースの速い環境では、事故や意図しない妥協の余地がたくさん残されています。ベストプラクティスは、パイプラインにセキュリティを組み込むことです。 。
CI/CDセキュリティパイプラインのベストプラクティス
最良のCI/CDセキュリティプラクティスは、DevOpsチャネルのインフラストラクチャによって異なります。以下は、CI/CD環境で作業するときにパイプラインを保護するための10の一般的な知っておくべきガイドです。
1。マップとモデルの脅威
潜在的なセキュリティの脅威について調査を実施します。 追加のセキュリティレイヤーが必要なポイントを特定します 、それらの脅威をモデル化し、潜在的なセキュリティ問題の認識を高めるための演習を作成します。
ほとんどのセキュリティの脅威は接続ポイントにあります 。パイプラインに接続するものはすべて、定期的にパッチを適用して更新する必要があります。それに応じてセキュリティ要件を満たしていないデバイスをブロックします。
2。コミットする前の保護
セキュリティチェックを作成する コードをバージョン管理システムにコミットする前。ほとんどのIDEはセキュリティプラグインを提供し、入力時にコードの脆弱性を警告します。
ピアレビュー Gitにコードをコミットする前に、経験の浅い開発者から作業してください。コードの小さなチャンクとチェックリストを使用して、コードがすべてのセキュリティプロトコルと標準に準拠していることを確認します。また、APIキー、トークン、その他の機密データをコピーして公開することは避けてください。
3。コミットされたコードを確認する
コードをコミットしたら、もう一度確認して、すべてが妥当であることを確認します。 静的コード分析ツールを使用する コミットのフィードバックを受け取ります。分析ツールはアプリケーションが実行されている必要はなく、多くのツールがレポートとともに役立つアドバイスを提供します。
コードスキャンレポートを送信する フォローアップをチェックするためにセキュリティチームに。バグ追跡システムを使用し、結果をログに記録して、バグが修正され、忘れられていないことを確認します。さらに、Gitの履歴を分析する 疑わしい活動があった場合。
4。 Gitを保護する
Gitは、ハッカーにとって特に価値の高いターゲットです。開発者がGitの使用方法について教育を受け、会社の手順について常に通知されていることを確認してください。
.gitignoreファイルを使用します 標準および生成されたキャッシュファイルの偶発的なコミットを防ぐため。全体的なバックアップポリシーの一部として、ローカルに保存され、保護されたバックアップを用意します。
5。オープンソースの脆弱性を確認する
オープンソースライブラリは、アプリケーションを構築する上で重要なコンポーネントです。ただし、サードパーティのソフトウェアはコードが変更される傾向があり、アプリケーションのセキュリティに間接的に影響を与える可能性があります。
既知のセキュリティ問題について、オープンソースパッケージを分析およびスキャンしてください。 ソフトウェア構成分析ツールを使用する サードパーティのソフトウェア、コンポーネント、およびファイルを分析します。
最後に、すべての問題にフラグを立てる コードの品質を最大限に保つため。
6。 IaCで自動化
コードとしてのインフラストラクチャ(IaC)は、一貫した開発およびテスト条件を提供します。環境を手動で設定する代わりに、Ansible、Terraform、PuppetなどのIaCツールは、安全なインフラストラクチャを継続的に自動的に提供するのに役立ちます。
注: phoenixNAPのベアメタルクラウドを使用して、最新の自動化の要求を常に把握してください。自動プロビジョニング用のAPIを使用して、安全な専用サーバークラスターを作成します。 BMCは、AnsibleやTerraformなどのIaCツールにとって理想的なソリューションです。
ベアメタルクラウドサーバーを最低$0.10/時間で導入します。
追加の利点として、IaCはDevOpsツールチェーンでシームレスに機能します。継続的にテストされた再利用可能な構成と実施された手順により、優れた生産結果と品質コードが保証されます。
7。導入後の監視
アプリケーションをデプロイした後は、脅威を防ぐために継続的にスキャンと監視を行ってください。監視は、提供されたデータに基づいて疑わしいアクティビティを検出して修正するのに役立ちます。
GrafanaやKibanaなどのツールを使用して、インタラクティブなビジュアルダッシュボードを作成し、疑わしいアクティビティのアラートを取得します。
8。タスクを分離し、権限を適用する
アクセス許可は遅くなり、テストプロセスに干渉することさえあります。ただし、権限の確立と実施 重要なタスクのみを実行することは、セキュリティの観点から重要です。
Gitに関しては、リポジトリごとにアクセスロールを定義し、コミットごとに2要素認証を実装します。タスクを分離して、継続的な配信を維持しながらパイプラインを安全に保つようにしてください。
9。クレデンシャルを安全に保つ
すべての資格情報を保護する APIトークン、パスワード、SSHキー、暗号化キーなどのソフトウェアとサービスへのアクセスを提供します。資格情報を不適切に保護すると、ハッカーにパスが提供され、データ侵害や知的盗難につながります。
したがって、キー管理プラットフォームを使用する 安全で自動化された方法でキーにアクセスします。ソフトウェアは、明示的に要求されたときにシークレットが使用されることを保証します。複数の複雑なパスワードを管理するには、パスワード管理ソフトウェアを使用します。
10。入念にクリーンアップ
CI / CD環境では、プロセスとタスクは適切なクリーンアップなしですばやく移動します。 VM、コンテナ、プロセスなど、残っている一時的なリソースは必ずシャットダウンしてください。さらに、一般的に適切なセキュリティメンテナンスを実装し、冗長なユーティリティやツールを削除します。