CI/CDセキュリティ

クラウド攻撃ではCI/CDパイプラインとソフトウェア サプライ チェーンが狙われるケースが多く、コード インジェクション、データ流出、資格情報や知的財産の盗難の危険が生じます。これに対処するには、新たなセキュリティ手法の実施が必要です。OWASPトップ10にマッピングされたセキュリティ問題を参考にすることで、攻撃ベクトルを特定し、CI/CDセキュリティへの対処指針を得ることができます。

• ソフトウェア サプライ チェーンのセキュリティ体制を可視化。

  不足しているブランチ保護ルール、安全でないパイプライン設定、パイプラインがポイズニングを受けた可能性を特定し、ネイティブ制御を適用して攻撃を未然に防ぎます。

• パイプラインに影響を及ぼす、多様なリソースのグラフベースの攻撃パス分析を実行。

  ソフトウェア パイプラインは多面的であり、攻撃を防ぐには、多数のツール、内部リソース、外部リソースのすべてを保護する必要があります。

• デリバリー パイプラインを強化。

  Prisma Cloudは世界最高のCI/CDセキュリティ研究者による支援を受けており、チームが重要なセキュリティ ガードレールを導入して、長期にわたってパイプラインを強化するうえで役立ちます。これらのガードレールにより、攻撃者によるCI/CDパイプラインの弱点を悪用した本番環境への侵入や、悪意のあるコードの実行を予防します。

• パイプラインで露出した資格情報を特定。

  盗まれて悪用された可能性がある、Webhooksやパイプライン ログ内の平文の資格情報を検出します。

• ソフトウェア開発ライフサイクルを通じて、カスタム ポリシーを作成して適用。

  脆弱性管理を組み込み、リポジトリ、レジストリ、CI/CDパイプライン、ランタイム環境をスキャンします。

安全でないコードによる本番環境への影響を防ぐ唯一の手段は、すべてのコード アーティファクトや依存関係をスキャンして、デリバリー パイプラインを効果的に保護することです。CI/CDセキュリティは、Prisma Cloudのクラウドネイティブ アプリケーション保護プラットフォーム(CNAPP)がカバーする、アプリケーション セキュリティ用途の1つにすぎません。

• ソフトウェアの開発時とテスト時のコードに含まれるリスクを特定。

  GitHubなどのリポジトリやDocker、Quay、Artifactoryなどのレジストリの全体で、パッケージとイメージに脆弱性やコンプライアンスの問題がないかチェックします。

• 入念に検証されたイメージとテンプレートのみに導入対象を限定。

  Prisma Cloudのコード スキャン機能とコンテナ サンドボックス分析機能を利用して、悪意のあるコードやアプリを検出・ブロックし、本番環境に影響が及ばないようにします。

• あらゆる監査またはセキュリティ インシデントの詳細なフォレンジックを収集。

  優れたタイムライン ビューでフォレンジックの詳細を自動かつ安全に収集し、インシデント レスポンスを可能にします。Prisma Cloud上でデータを確認することも、他のシステムにデータを送信して詳細な分析を行うことも可能です。

• あらゆるランタイム環境での危険なアクティビティを防止。

  一元化されたコンソールからランタイム ポリシーを管理し、デプロイの中でセキュリティが確実に組み込まれるようにします。また、詳細なフォレンジック、豊富なメタデータ、MITRE ATT&CK®フレームワークをインシデントに関連付けることで、エフェメラルなクラウドネイティブ ワークロードを狙った脅威の追跡を支援します。

• コンテキストを考慮したセキュリティの実現。

  完全なクラウド開発者インベントリ、設定評価、自動修復などにより、実行時のデータ侵害やコンプライアンス違反につながる設定ミスや脆弱性を検出して防止します。