サイバーニュース.jp

世界のサイバーなニュースを配信

DevOpsスタックデータに潜むリスクとその対策

カテゴリ:

DevOpsスタックデータの隠れたリスクと対策

DevOpsはイノベーションを推進し、コラボレーションを簡素化する一方で、固有のリスクと脆弱性も伴います。開発者はGitHub、Azure DevOps、Bitbucket、GitLabといったGitベースのプラットフォームでコード作業を行いますが、リポジトリにはミッションクリティカルなデータが含まれることがほとんどです。チームの拡大とワークフローの複雑化に伴い、データに影響を与える潜在的なリスクも増大しています。

SaaSデータ保護における「共有責任モデル」

SaaSデータ保護における役割分担は、「共有責任モデル」によって明確にされています。顧客であるあなたは、SaaSアカウントに保存されているデータに対して責任を負います。GitHubのようなプラットフォームは、データ復旧を支援する義務はありません。サービスプロバイダーはサービスの稼働時間に責任を負いますが、ユーザーの義務はデータ、アカウント、デバイスのセキュリティです。つまり、ユーザーは厳格なアクセス制御を実装し、認証情報を保護し、自動バックアップを活用して、ランサムウェア攻撃、偶発的な削除などの人的エラー、サービス中断からデータを保護しなければなりません。さらに、SaaSプラットフォーム自体も、独自のバックアップを実装するようユーザーに推奨しています。

各プラットフォームにおけるセキュリティの違い

GitLabのような主要な分散型VCSプラットフォームは、組み込みのセキュリティ機能を提供しており、サイバー防御戦略の構築に役立ちます。具体的な制御とツールはプラットフォームごとに異なり、PAT(Personal Access Token)からアクセス制御、定期的なレビューまで多岐にわたります。

  • GitHub: ユーザーは、シークレットスキャン、プッシュ保護、依存関係レビューやDependabotアラートなどのコードセキュリティ機能を含むネイティブな制御を利用できます。プッシュ保護は新規の公開リポジトリではデフォルトでオンになっており、既知のシークレットをプッシュ時にブロックします。シークレットスキャンもすべての公開リポジトリで有効になっており、プライベートリポジトリにも拡張できます。すべてのプロジェクトでMFAとブランチ保護を適用することが推奨されます。
  • Bitbucket: チーム/グループ制御を含む階層的なアクセスが可能です。プロジェクトレベルの権限は、厳格化されない限り、そのプロジェクト内のすべてのリポジトリに適用されます。セキュリティは、管理者がグループスコープとリポジトリのプライバシーを定期的にレビューすることに大きく依存します。Bitbucketのシークレットスキャン機能は、コミットとプッシュにおける露出した認証情報の監視に役立ちます。パイプライン変数を適切に構成し、機密データを露出させないようにしてください。Bitbucketは、JiraなどのAtlassianツールスイートと統合されています。
  • GitLab: 統合されたDevSecOpsプラットフォームとして提供され、ソースコード管理、CI/CD、セキュリティテストをカバーしています。リスクは主に自己管理型のデプロイメントで発生し、管理者がハードニング、パッチ適用、バックアップに責任を負います。GitLabのドキュメントでは、パッチ適用とホストセキュリティは自己管理型の顧客の責任とされています。厳格なロール分離を実装し、ランナーを隔離しておくようにしてください。
  • Azure DevOps: Microsoft Entra ID(SSO、MFA、条件付きアクセス)を介したID管理と統合されています。Azure DevOpsデータの強力なセキュリティ体制には、サービス接続とレイヤー化されたプロジェクト/組織権限の正しい構成が必要です。Microsoftは、「共有責任モデル」に基づき、Azure DevOpsの構成に対する顧客の責任を強調しています。

DevOpsにおける一般的なセキュリティの課題

Bitbucketのようなプラットフォームに保存されているデータと構成は、最新のソフトウェア開発に不可欠です。そのため、ソースコードはサイバー攻撃や内部脅威の格好の標的となります。これらの悪意のあるアクターは、ビジネスの継続性とセキュリティが依存するデータへのアクセス権を獲得し、身代金を要求します。セキュリティを「左へシフト」し、業界で知られている脆弱性に対処することが重要です。一般的な脆弱性には以下が含まれます。

  • ずさんなアクセス制御
  • 不適切なリポジトリ権限と構成
  • 多要素認証(MFA)またはシングルサインオン(SSO)の欠如
  • 古くなったシステムとワークフロー
  • 自動バックアップの欠如(またはGitHub、GitLab、Azure DevOps、Bitbucketをバックアップとして扱うこと)
  • テストされていない災害復旧戦略
  • 業界規制への非準拠

例えば、「tj-actions/changed-files」という人気のGitHub Actionsを標的としたサプライチェーン攻撃がありました。攻撃者は同じパッケージ名で悪意のあるアップデートを公開し、何千ものリポジトリで使用され、リポジトリデータやCI/CDシークレットが露出する可能性がありました。

主な攻撃ベクトル

攻撃者が脆弱性を悪用してデータにアクセスする方法は、フィッシングや認証情報窃盗からランサムウェア攻撃まで様々です。ランサムウェアはデータを暗号化または消去しますが、その実行方法はプラットフォームによって異なります。

  • GitHub: 盗まれたPAT/OAuthトークン、悪意のあるGitHub Actions、侵害されたCIランナーが悪用されます。
    • 悪用される仕組み: トークンと悪意のあるActionsはリポジトリの書き込み/削除、悪意のあるコミットのプッシュ、依存関係の汚染、成果物の暗号化を行う可能性があります。
    • 予防策: きめ細かいPAT、SSOとMFA、Actionsの許可リスト、エフェメラルランナー、シークレットスキャン、オフプラットフォームの不変バックアップ
  • GitLab: 侵害された自己管理型ランナーまたは管理者アカウント、安全でないランナーが任意のジョブを実行することが悪用されます。
    • 悪用される仕組み: これらの侵害されたランナー/管理者は、攻撃者がリポジトリを削除または変更したり、CIを変更したり、同じノードに保存されているローカルバックアップを削除したりすることを可能にします。
    • 予防策: ランナーのエフェメラル/隔離、ランナー登録の制限、厳格なロール分離、タイムリーなパッチ適用、外部の不変バックアップ(構成とメタデータを含む)。
  • Bitbucket: 過剰なプロジェクト権限、漏洩したパイプライン変数、悪用された統合/サービスフックが悪用されます。
    • 悪用される仕組み: クラウド認証情報やパイプラインシークレットは、攻撃者が成果物ストア、ミラー、またはクラウドバックアップにアクセスして暗号化/削除することを可能にします。
    • 予防策: プロジェクト/リポジトリ権限の厳格化、キーのローテーション、変数の適切な使用、サードパーティ製アプリの制限、外部の不変バックアップ
  • Azure DevOps: 侵害されたEntra(Azure AD)アカウント、過剰な権限を持つサービス接続、誤った構成のパイプラインが悪用されます。
    • 悪用される仕組み: サービス接続とAzureリソースへのアクセスは、成果物の暗号化、バックアップの削除、破壊的なパイプラインジョブを大規模に実行することを可能にします。
    • 予防策: 条件付きアクセスとMFAの適用、最小特権のサービス接続、パイプラインIDの制限、テナント外でのバックアップストレージの分離

偶発的な削除とサービス停止のリスク

  • 偶発的な削除: タイプミスによるコマンドや、プロジェクト削除につながる過剰な権限など、人的エラーによって引き起こされる可能性があります。バックアップや柔軟な復旧オプションがない場合、長期的に壊滅的な影響を及ぼす可能性があります。また、悪意のある内部関係者が意図的に操作を妨害したり、ロギングを無効にしたりすることもあります。いずれの場合も、リポジトリ履歴の消失、高額な復旧費用、データ消去と喪失、ビジネス運営の中断につながる可能性があります。
  • サービス停止: ソフトウェア開発チームは、依存する重要なプラットフォームのサービス停止に直面することがあります。ダウンタイムは、重要なリポジトリやCI/CDパイプラインへのアクセスが不可能になることを意味し、ビジネス運営を完全に停止させる可能性があります。その結果、納期遅延、顧客信頼の喪失、リソースの浪費など、様々な悪影響が生じます。

DevOpsデータセキュリティを向上させるには

上記のすべてのリスクに対処し、Gitホスティングプラットフォーム上のデータを保護するために、組織はセキュリティを「左へシフト」し、業界規制のコンプライアンス要件を遵守する必要があります。シークレットは決してリポジトリに保存すべきではありません。

  • アクセス管理: 厳格なアクセス制御とは、RBAC(ロールベースアクセス制御)を実装し、最小特権の原則に従うことを意味します。これにより、権限は各ロールに特化して調整され、過剰なアクセスがどのユーザーにも与えられないように割り当てられます。すべての権限は定期的に検証され、非アクティブなアカウントは取り消されるべきです。
  • バックアップと災害復旧: GitProtectのようなサードパーティ製のバックアップおよび災害復旧ソリューションは、セーフティネットのようなものです。ソリューションを選択する際には、DevOpsスタック(プロジェクトデータ、リポジトリ、すべてのメタデータ)の完全なカバレッジを求めてください。理想的には、バックアップは自動化され、暗号化され、地理的に冗長化され、WORM準拠の不変形式で保存されるべきです。これは、きめ細かい復元、クロスオーバー復元、特定時点復元、完全データ復旧といった柔軟な復旧機能によって補完されるべきです。バックアップと災害復旧ソリューションがこれらの条件を満たしていれば、ランサムウェア保護、業界標準への準拠、3-2-1バックアップルールの順守が保証されます。その他の重要な側面には、監視と監査の準備、直感的なユーザーインターフェース、アラート、通知、明確なログが含まれます。

GitProtectの14日間無料トライアルで、DevOpsのバックアップと復旧をコンプライアンスに準拠させましょう。クレジットカードは不要です。

元記事: https://www.bleepingcomputer.com/news/security/the-hidden-risks-in-your-devops-stack-data-and-how-to-address-them/

投稿をさらに読み込む