:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/8c/1b/8c1befa60ff518845ad692c9de0db30c/0113715722.jpeg "Alle Zeichen deuten auf Anwendungsvirtualisierung und Kubernetes: Die Software-Bereitstellung dürfte in naher Zukunft deutlich Container-lastiger werden, (Bild: <u><a target="_blank" href="https://unsplash.com/@growtika">Growtika</a></u>)")
:quality(80)/p7i.vogel.de/wcms/65/3b/653bccb0f4511868163e35e79ef17efe/0118315737.jpeg "Im Fokus dieses Artikels steht die Verbesserung der Systemsicherheit von Linux und die Optimierung von dessen Security-Funktionen. (Bild: Antonio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/70/9b701d17f9947da98f7ff66794de1c40/0118171949.jpeg "Aktuell ist es möglich, dass Cyberkriminelle Malware über GitHub verteilen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/95/0d/950dd2218249e3c616e1666c30c8548a/0117578309.jpeg "Die Log4j-Schwachstelle zeigte mit Blick auf die Sicherheit von Open-Source-Projekten sowohl Vor- als auch Nachteile. (© Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a6/36/a636fe064793ade70e7c90d9399a538d/0117657802.jpeg "Apache Nutch lässt sich effektiv mit einer Reihe anderer Open-Source-Lösungen kombinieren, um leistungsfähige und vielseitige Datenverarbeitungssysteme zu schaffen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/98/1b/981b9520fd3ed77b1db64bb37cfc0f81/0117922410.jpeg "Verteilte und lose gekoppelte Anwendungen machen Application-Security-Teams die Arbeit deutlich schwerer. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/dd/97ddc917ccc52db20fcb3cbdebe916f1/0118360337.jpeg "Ablauf des typischen CrashLoopBackOff-Zustands in Kubernetes. (Bild: Groundcover)")
![„Ressourcen zum Wissensaufbau [rund um Cloud Native] gibt es erstmal genug. Das wichtigste ist, glaube ich, ein aufrichtiges Interesse und das Wollen“, konstatiert Max Hille im Dev-Metal-Podcast. (Bild: Vogel IT-Medien / Cloudflight)](https://cdn1.vogel.de/wn4z_Ut4eM9FMQWpNr19rQyzndY=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/89/54/89548254b1bad25c375bbe4497bd614e/0118326747.jpeg "„Ressourcen zum Wissensaufbau [rund um Cloud Native] gibt es erstmal genug. Das wichtigste ist, glaube ich, ein aufrichtiges Interesse und das Wollen“, konstatiert Max Hille im Dev-Metal-Podcast. (Bild: Vogel IT-Medien / Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/2e/72/2e7289e13f9938285540e96be53cc098/0117654091.jpeg "Nebenläufigkeit, mehr Performance, bessere Fehlerbehandlung: Das für September geplante Upgrade auf Swift 6 verspricht einige Optimierungen. (Bild: <u><a href=https://pixabay.com/users/stocksnap-894430/>StockSnap</a></u>)")
:quality(80)/p7i.vogel.de/wcms/7a/26/7a26ccac018032f39646084535d08b71/0118315576.jpeg "Bei .NET 7-Anwendungen kann es nach dem 14. Mai 2024 zu technischen Schwierigkeiten kommen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/bd/f1/bdf1217cc5885d60e2eac54ad9a69e26/0117073864.jpeg "Die Sicherung der Lieferkette einer „containerisierten“ Anwendung ist ein mehrstufiger Prozess, der sich von der Entwicklung bis hin zur Bereitstellung erstreckt. (Bild: <u><a target="_blank" href=https://pixabay.com/photos/container-ship-cargo-ship-freighter-596083/>46173</a></u>)")
:quality(80)/p7i.vogel.de/wcms/9c/d1/9cd11868f7678b81932032a894bcd81a/0117948576.jpeg "Moderne EdTech-Entwickler und -Designer sollten eine Umgebung schaffen, in der sich alle Lernenden wohlfühlen und einen barrierefreien Zugang zu Wissensinhalten haben. (Bild: <u><a target="_blank" href=https://pixabay.com/users/roszie-6000120/>RosZie</a></u>)")
:quality(80)/p7i.vogel.de/wcms/fb/0e/fb0ec038774b9939f8180f811b62645d/0118117596.jpeg "In vielen IT-Bereichen sind Cross- und Upskilling die bevorzugten Methoden, um für die benötigte Expertise im Unternehmen zu sorgen. (Bild: Linux Foundation)")
![Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)](https://cdn1.vogel.de/annR7MKBLjg3UGu-x3l6Nvb7-fI=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/4e/40/4e40e5356b18ebce4656f2a51e65c815/0116079923.jpeg "Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/be/18/be18ae4c02dbf9aa47e97decf9b84ea4/0118091847.jpeg "Die meisten der existierenden Datenbanksysteme verfügen über SQL-Schnittstellen. (Bild: alphaspirit - Fotolia.com)")
:quality(80)/p7i.vogel.de/wcms/af/ba/afba059e1e635289905bc63ce8cc4579/0117149678.jpeg "On-Premise bezeichnet den Betrieb von Software auf selbstverwalteten Hardware-Ressourcen. (Bild: <u><a href=https://unsplash.com/de/@tvick>Taylor Vick</a></u>)")
:quality(80)/p7i.vogel.de/wcms/79/8a/798ac0bb2a4e3a384a3c7634dc919ceb/0117709235.jpeg "APIs ermöglichen es verschiedenen Software-Anwendungen, Daten auszutauschen und miteinander zu interagieren, ohne dass Details zu Implementierung bekannt sein müssen. (Bild: <u><a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a></u>)")
:quality(80)/p7i.vogel.de/wcms/ef/83/ef83b21f59d76ece1f76070d93e9bd6b/0116763715.jpeg "Mit der Verbreitung von generativer KI wird die Bedeutung von Software-Bots weiter zunehmen. (Bild: <u><a href=https://pixabay.com/users/alexandra_koch-621802/>Alexandra Koch</a></u>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Eine Frage der Bereitstellung Sicherheit von CI/CD-Pipelines
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Immer mehr Sicherheitsteams sorgen sich um die Sicherheit ihrer Cloud-nativen Anwendungen. Die Sicherheit von CI/CD-Pipelines findet dabei allerdings noch zu wenig Beachtung.
In einer Zeit, die sich immer mehr in Richtung Cloud-nativer Anwendungen bewegt, werden die Sicherheitsbedenken immer lauter. Cyberkriminelle haben diese Applikationen als lukratives Ziel erkannt und nutzen gezielt Schwachstellen im gesamten Anwendungszyklus aus, um vertrauliche Informationen zu kompromittieren oder schädlichen Code in Anwendungen einzuschleusen.
Während sich die Aufmerksamkeit der Sicherheitsbeauftragten in Unternehmen auf den Schutz der Anwendungen selbst richtet, bleibt ein entscheidender Aspekt oft im Dunkeln: die Sicherheit der CI/CD-, also Continuous-Integration- und -Delivery-Pipelines. Diese Pipelines spielen eine entscheidende Rolle bei der schnellen Erprobung und Umsetzung von Code-Änderungen.
Zahlreiche Beispiele – wie die Angriffe auf SolarWinds, das PHP-Datenleck und MOVEit – unterstreichen, wie notwendig eine umfassende Sicherheitsüberwachung von CI/CD-Pipelines ist. Es ist unerlässlich, diese Umgebungen in Sicherheitsstrategien mit einzubeziehen und angemessen zu schützen.
Überwachung von CI/CD-Pipelines
Während Angreifer ihre Techniken schnell anpassen, um CI/CD-Pipelines anzugreifen, erfolgt die Reaktion der Sicherheitsteams meist eher zögerlich. Das richtige Gleichgewicht zwischen Sicherheit und Entwicklungsgeschwindigkeit zu finden ist eine Herausforderung, bei der verschiedene Aspekte sorgfältig berücksichtigt werden müssen.
CI/CD-Pipelines sollen die Entwicklung optimieren, indem neuer Code innerhalb weniger Minuten von der Entwicklungsumgebung in die Produktion gelangt. Dieser weitgehend automatisierte Prozess wird jedoch oft unzureichend überwacht. Ohne geeignete Kontrollmechanismen besteht die Gefahr von Sicherheitslücken.
Erlangen Angreifer entsprechende Rechte, können sie schädlichen Code in die Pipeline einschleusen. Ein Beispiel dafür ist der PHP-Angriff, bei dem ungeprüfter Schadcode eine Hintertür in einer offiziellen PHP-Version öffnete. Unternehmen müssen daher sicherstellen, dass entsprechende Kontrollen vorhanden sind, die verhindern, dass eine Entität – sei es ein Mensch oder eine Maschine – sensiblen Code ohne Validierung bereitstellt.
Identitäts- und Zugriffsmanagement als zentrale Herausforderung
Ein weiteres Problem ergibt sich aus dem Identitäts- und Zugriffsmanagement. Aufgrund fehlenden Verständnisses für oder mangelnder Konzentration auf potenzielle Bedrohungen entsprechen Benutzerprofile für CI/CD-Umgebungen oft nicht dem Least-Privilege-Prinzip. Der User besitzt also mehr als die für seine Tätigkeit erforderlichen Zugangs- oder Zugriffsberechtigungen.
Sind mehrere unterschiedliche Systeme im Prozess für die Softwarebereitstellung involviert, entsteht Komplexität durch die verschiedenen Bereitstellungsmethoden, Sicherheitsrichtlinien und Zugriffsmethoden, die für jedes System relevant sind. Bei Hunderten von Identitäten, die mit einer CI/CD-Pipeline verbunden sind, werden diese Zulässigkeiten und Berechtigungen schnell zu einem echten Problem.
Unternehmen müssen daher gewährleisten, dass die Zuweisung von Konten kontinuierlich erfolgt, indem inaktive Konten und unnötige Berechtigungen entfernt werden. Darüber hinaus sollten sie Maßnahmen ergreifen, um die Erstellung von gemeinsam genutzten, selbst registrierten oder lokalen Konten so weit wie möglich zu verhindern oder einzuschränken. Die Verwaltung der Identitäten sollte stattdessen über eine zentrale Schnittstelle erfolgen.
Transparenz ist das A und O
Angesichts der zunehmenden Anzahl von Sprachen, Frameworks und Tools in einer Development-Pipeline besteht ein klarer Bedarf, die Transparenz der Entwicklungsumgebung zu verbessern, Angriffsflächen zu verstehen und die Sicherheit entsprechend zu erhöhen. Um die Transparenz zu verbessern, können Sicherheitsteams im ersten Schritt Tools einführen, die eine einheitliche Bestandsaufnahme der Anwendungsentwicklungsumgebung ermöglichen.
Diese Inventur sollte alle Programmiersprachen, Frameworks und ausführbaren Dateien umfassen. Von hier aus können Unternehmen Sicherheitsrisiken über verschiedene Code-Typen hinweg ermitteln, die Software-Lieferkette visualisieren und alle Code-Risiken in ihrer Entwicklungsumgebung nachvollziehen. Außerdem lassen sich so die Risiken in der Codebasis identifizieren und priorisieren, sodass letztlich die Angriffsfläche der CI/CD-Pipeline verfolgt und nachvollzogen werden kann.
Sobald eine verbesserte Transparenz gegeben ist, können Unternehmen damit beginnen, die CI/CD-Sicherheit selbst zu verbessern. Dabei sollten sie sicherstellen, dass nicht nur der Code in der Pipeline sicher ist. Sicherheitsteams müssen auch den Code, aus dem die Pipeline selbst besteht, scannen, etwaige Fehlkonfigurationen beheben und darüber hinaus native Kontrollen implementieren.
Zudem sollten sie in der gesamten Umgebung ein sogenanntes ‚Secrets-Scanning‘ implementieren. Dieses hilft dabei, freiliegende Anmeldeinformationen zu identifizieren und zu entfernen, damit böswillige Akteure diese nicht ausnutzen können, um sich unberechtigten Zugang zu verschaffen.
Schnelle Reaktion auf dynamische Angriffsflächen
Da sich der Umfang der Angriffsfläche in der Cloud und damit auch der CI/CD-Pipeline teilweise täglich ändern kann, ist es eine Sache, sich einen Überblick zu verschaffen – diesen gilt es jedoch auch ständig zu überprüfen. Um auf einen Angriff reagieren zu können, sind leicht zugängliche, aktuelle Informationen und eine möglichst frühzeitige Warnung notwendig.
Die Implementierung eines zuverlässigen Ansatzes für Transparenz und Protokollierung erfordert, dass sowohl menschliche als auch programmatische Zugriffe sichtbar sind und Audit-Protokolle über menschliches Verhalten sowie Anwendungsprotokolle geführt werden. Letztere dokumentieren Ereignisse wie Uploads von Artefakten oder die Übertragung von Daten in ein Repository.
Es ist anzumerken, dass viele Systeme standardmäßig kein Log erstellen; dies haben Sicherheitsteams selbst aktiviert. Von hier aus können sie systemübergreifende Protokolle viel schneller und einfacher analysieren, um Sicherheitsvorfälle zu untersuchen, und automatische Warnungen bei ungewöhnlichen Verhaltensweisen aktivieren, die eine genauere Untersuchung erfordern.
Fazit
CI/CD-Pipelines sind hochdynamische, sich ständig verändernde Umgebungen und Teil einer Cloud-Angriffsfläche, die selbst stets in Bewegung ist. Angreifer passen ihre Methoden schnell an, um Schwachstellen auszunutzen, die in dieser Dynamik entstehen.
Um die Sicherheit ihrer CI/CD-Pipelines zu erhöhen, sollten Unternehmen geeignete Sicherheitsmaßnahmen implementieren. Dazu zählen der Einsatz von Tools, die eine einheitliche Bestandsaufnahme der Anwendungsentwicklungsumgebung ermöglichen, die Identifikation von Sicherheitsrisiken in verschiedenen Codetypen oder die Visualisierung der Software-Lieferkette. Damit gelingt es Sicherheitsteams, Entwicklungsumgebungen zu schützen, Sicherheitslücken zu schließen und den Veränderungen in der Bedrohungslandschaft sowie böswilligen Akteuren einen Schritt voraus zu sein.
* Über den Autor
Marc Meckel ist Manager Systems Engineering bei Palo Alto Networks und zuständig für deutsche Mittelstandskunden. Er ist seit über 20 Jahren in der Netzwerk- und Sicherheitsbranche bei verschiedenen Dienstleistern und Herstellern tätig. Mit seiner langjährigen Erfahrung in der Abwehr von Cyberangriffen auf Netzwerke unterstützen Marc Meckel und sein Team Kunden bei der Stärkung ihrer Präventivmaßnahmen zur Abwehr heutiger Bedrohungen.
Bildquelle: Palo Alto Networks
(ID:49900089)
:quality(80)/p7i.vogel.de/wcms/dd/5b/dd5b69e3ab42d530bcaa8be0d39565dd/0117398681.jpeg "Da APIs die Kommunikation zwischen Anwendungen ermöglichen, gewähren sie oft den Zugang zu sensiblen Daten und Funktionen. (Bild: <u><a href=https://pixabay.com/users/zeeve-31662367/>zeeve</a></u>)")
:quality(80)/p7i.vogel.de/wcms/68/b5/68b5fa20fdb668452f5e790d47f11800/0116996631.jpeg "In der sich entwickelnden Landschaft der API-Sicherheit im Jahr 2024 stehen CISOs vor einer Vielzahl von Herausforderungen. Das exponentielle Wachstum von APIs bringt finanzielle Vorteile, erhöht aber auch die Sicherheitsrisiken. (Bild: alphaspirit - stock.adobe.com)")