# 如何保護好你的CI/CD管道安全性 - 高于凱（HackerCat） {%hackmd @DevOpsDay/BymyqYaeo %} > 各家講者出來分享自己的經驗多少都有些公司內規和公關要求的限制，有些不方便分享的地方（例如：不要張貼簡報截圖）還請大家多多包涵喔（不然就更多人不敢出來分享了） > [name=DevOpsDays Taipei 2022] > F 場爆滿，看來大家都很想要保護好 CI/CD 管道 > [name=Mark_Mew] 作者資訊 [Facebook](https://www.facebook.com/hackercat1215) & [Twitter](https://twitter.com/hackercat1215) @hackercat1215 [blog](https://hackercat.org/burp-suite-tutorial/web-pentesting-burp-suite-total-tutorial) What is CI/CD Pipeline DevOps x CI/CD x Automation - 持續整合 CI (Continuous Integration) - 持續部屬 CD (Continuous Deployment) - 持續交付 CD (Continuous Delivery) > 感覺講者很緊張 > [name=Mark_Mew] Benefit of CI/CD - 降低風險及缺陷 - 提升開發效率 - 提升可見性 - 頻繁交付產品 - 即時的回饋 - 協作及溝通 Pipeline 重點在於開發的效率 而 CI/CD 的重點在於保護產品的安全性、完整性 而講者本身是資訊安全背景出生的 更因如此所以我們更應該注重 CI/CD Pipeline 的安全性 Why Need Protect CI/CD 為何要保護 pipeline * serice * SCM * ci server * secrets * credentials * token * sensitive data * product - app - website - image 由於 pipeline 會接觸到 production，所以需要重視 pipeline 資安議題 security testing in cicd * source -> build -> **test** -> deploy -> monitor Pre-Commit -> SAST(靜態檢測) -> SCA -> DAST -> IAST -> Image Scan -> WAF -> Monitoring Secruity testing in CI/CD * pre-commit * SAST (靜態檢測) * 像是 SonarQube * SCA (組成分析) * DAST (動態檢測) * IAST * Image Scan * WAF * Monitoring (Secure 整個 CICD) Security CI/CD ※Case Study * SCM * Malicious Code Injection * build * supply chain Attacks * Test * Deploy * QA * dev * credential leakage * Prod CI/CD Related Service Misconfiguration > Codecov 供應鏈攻擊看起來好酷 > [name=Mark_Mew] What risk in CI/CD 參考網址 https://www.cidersecurity.io/top-10-cicd-security-risks/ Top 10 CI/CD Security Risks * (CICD-SEC-1) Insufficient Flow Control Mechanisms * 流程控制機制不足 * CICD-SEC-2: Inadequate Identity and Access Management * CICD-SEC-3: Dependency Chain Abuse * CICD-SEC-4: Poisoned Pipeline Execution (PPE) * CICD-SEC-5: Insufficient PBAC (Pipeline-Based Access Controls) * CICD-SEC-6: Insufficient Credential Hygiene * CICD-SEC-7: Insecure System Configuration * CICD-SEC-8: Ungoverned Usage of 3rd Party Services * CICD-SEC-9: Improper Artifact Integrity Validation * CICD-SEC-10: Insufficient Logging and Visibility https://github.com/rung/threat-matrix-cicd * Threat Matrix For CI/CD pipeline * 源自於 MITRE ATT & CK-like ※ 從攻擊者的角度去描寫，企業應該要注意到的威脅框架 ※ 威脅框架提供一個標準化參考指標，紅隊可以知道怎進行攻擊，藍隊可以知道怎麼進行防禦 > 講者的內容還蠻有料的，不過好像還是很緊張？ > [name=Mark_Mew] > 應該真的很緊張但滿滿的乾貨 > [name=Jason Chung] 會入侵 CICD 有可能是環境沒有進行隔離 基於實務和學界經驗 提供更方便直觀的角度提供八個指標 也涵蓋剛剛網站提出的項目 - 身分識別及驗證 - 存取控制 - 信任來源及完整性檢查 - 加密 - 秘密管理 - 已知漏洞 - 合規與安全基準 - 監控與日誌 https://digital.ai/devops-tools-periodic-table # 八個指標 ## 已知漏洞 找出已知漏洞，並修復已知漏洞 ## 身分識別及驗證 - 注意沒有驗證或是弱密碼的問題 - 移除離職員工 - **避免共用帳戶** - 會造成資安事件發生時不好追查，也不好管理 ## 存取控制 - 網路 - Network segmentation - Network Restriction - Limit egress connection via Proxy or IP Restriction - 大家都只注意到誰可以連進來，但是忽略了誰可以連出去 - 授權 - 大家都想做但是都做不好的 **最小權限** - 流程控制 ## 信任來源及完整性檢查 ※ 選擇商譽良好的 ## 秘密管理 通常是用在佈署 用一個專門的 Secrets management 是很有幫助的 HashiCorp 的 Vault 就是這樣的工具，今天也有擺攤大家記得去 ## 加密 不只是 CI/CD 上的專利 其實在資料庫、SCM、JIRA 也都需要注意 ``` 在內網用 http 好像就不安全 有自信一點，把好像拿掉 在內網用 http 就不安全 By 講者 ``` ## 合規與安全基準 **CIS Benchmarks** & Hardening ## 日誌及監控 近年來可見性也開始逐漸被大家重視 除了收攏 Log 以外，也需要去 Monitor 不然駭客都打進來多久了 也都沒在看 ###### tags: `DevOpsDays Taipei 2022`