Suchen

Sicherheit in der Softwarelieferkette

Schützen Sie Ihre Softwarelieferkette mit umfassender Transparenz und Richtliniendurchsetzung für alle Softwarekomponenten und Bereitstellungspipelines.
Kostenlose Testversion anfordern

Bei der cloudnativen Entwicklung spielen Softwarelieferketten eine wichtige Rolle, um Entwicklern ein produktiveres Arbeiten zu ermöglichen und die mittlere Zeit bis zur Markteinführung neuer Funktionen zu reduzieren. Softwarelieferketten bringen aber auch besondere Risiken und komplexe Abhängigkeiten mit sich, da Code und Tools von Dritten in die Entwicklungsworkflows integriert werden. Sicherheitsteams müssen proaktiv Vorsorgemaßnahmen zum Schutz der Softwarelieferketten vor Bedrohungen treffen und dabei Sorge tragen, dass diese Maßnahmen nicht zulasten der Flexibilität der Entwickler gehen.

Weitere Informationen über Risiken in der Softwarelieferkette finden Sie im neuesten Bericht von Unit 42.

Bericht herunterladen
1

Unsichere Komponenten von Dritten sind der häufigste Angriffspunkt

Open-Source-Komponenten von Dritten, etwa Vorlagen für Infrastructure-as-Code (IaC), Pakete und Containerimages, ermöglichen zwar eine erhebliche Steigerung der Entwicklerproduktivität, sind aber auch anfällig für Schwachstellen und per se ein Risikofaktor.

Ohne laufenden und proaktiven Einblick in Schwachstellen und Fehlkonfigurationen nutzen Entwickler in ihren Anwendungen wahrscheinlich unsichere Komponenten. Das führt nicht nur zu störenden Warnmeldungen, sondern auch zu Sicherheitslücken während der Laufzeit, die bei einem Angriff auf die Softwarelieferkette ausgenutzt werden können.
2

Schwache Pipelines sind ein Einfallstor für Angreifer

Mit VCS-Repositorys und CI/CD-Pipelines können cloudnative Teams das Tempo, in dem sie neue Releases veröffentlichen, maximieren. Aber VCS-Konfigurationen und CI/CD-Workflows sind standardmäßig sehr offen und bieten keinen Schutz vor böswilligen Pushes, Einschleusung von Schadcode oder Manipulationen. Schwache Konfigurationen können Angreifern Zugang zu unternehmenseigenem Code und geschäftskritischen Systemen verschaffen. Mit erweiterten Zugriffsrechten können Angreifer Daten ausschleusen, Schadcode einschleusen oder andere schwache Softwarekomponenten für ihre eigenen Zwecke ausnutzen.

Ohne eine automatisierte Abdeckung der Lieferkette stellt die Sicherung sämtlicher Repositorys, Registrys und Pipelines Unternehmen vor eine Herkulesaufgabe.
3

Die Überwachung aller Assets von der Codeerstellung bis zur Cloud-Nutzung ist schwierig

Cloudnative Softwarelieferketten sind vernetzte Systeme, die sich ständig verändern, wodurch es nahezu unmöglich wird, stets die gesamte Lieferkette im Blick zu behalten. Punktlösungen bieten nicht die lückenlose Abdeckung vom Code bis zur Cloud, die notwendig ist, um Ressourcen, Pakete, Schwachstellen und Fehlkonfigurationen über den gesamten Entwicklungslebenszyklus zu verfolgen.

Ohne eine kontextbasierte Abdeckung über cloudnative Stacks und den Entwicklungslebenszyklus hinweg ist es schwierig, Sicherheitsprobleme anhand des Risikos zu priorisieren, das sie tatsächlich darstellen.

Sicherung von Komponenten Dritter und Bereitstellungspipelines

Mit Prisma Cloud haben Unternehmen Einblick in jede einzelne Komponente ihrer Softwarelieferkette – vom Code über Ressourcen bis hin zu den Bereitstellungspipelines. Außerdem ermöglicht Prisma Cloud die kontinuierliche Durchsetzung sicherer Konfigurationen. Die vertrauenswürdigen, branchenführenden Datenquellen von Prisma Cloud in Verbindung mit nativen Integrationen in Entwicklungsumgebungen erleichtern das Management und die Eindämmung von Lieferkettenrisiken:
  • Visualisierung von Risiken durch Softwarekomponenten und die Bereitstellungspipeline
  • Integration in Entwicklungstools und Arbeitsabläufe
  • Branchenführende Scan-Engines für Fehlkonfigurationen und Schwachstellen
  • Erfassung und Visualisierung des Codebestands
    Erfassung und Visualisierung des Codebestands
  • Scans von Secrets
    Scans von Secrets
  • Scans von Registrys
    Scans von Registrys
  • Durchsetzung vertrauenswürdiger Images
    Durchsetzung vertrauenswürdiger Images
  • CI/CD-Sicherheit
    CI/CD-Sicherheit
  • Automatisierte Anpassung des IAM-Umfangs
    Automatisierte Anpassung des IAM-Umfangs
PRISMA CLOUD

Unser Ansatz für Sicherheit in der Lieferkette

Konsolidierte Abdeckung und Visualisierung der Lieferkette

Das Lieferkettendiagramm von Prisma Cloud ermöglicht es Unternehmen, jede Komponente in ihrer Lieferkette zu visualisieren und alle damit in Verbindung stehenden Risiken nachzuvollziehen. Es bietet eine konsolidierte Ansicht des gesamten Bestands an Code und aller Pipelinekomponenten, ergänzt durch Daten zum Sicherheitsstatus. Damit verschafft das Lieferkettendiagramm von Prisma Cloud Unternehmen einen umfassenden, grafisch aufgearbeiteten Überblick über die Abhängigkeiten zwischen ihren Anwendungen und Infrastrukturassets. Anhand dieser Informationen können Unternehmen Risiken entlang ihrer Lieferkette priorisieren und ihre Ressourcen effizienter zur Behebung der Schwachstellen einsetzen, die mit größter Wahrscheinlichkeit ausgenutzt werden.

  • Visibilität und Katalogisierung der Softwarelieferkette

    Mit dem Lieferkettendiagramm erhalten Sie eine konsolidierte Inventarliste der Bereitstellungspipelines und Codekomponenten Ihres Unternehmens. Durch die Visualisierung aller Querverbindungen gewinnen Unternehmen den dringend benötigten Einblick in die Angriffsfläche ihrer Lieferkette. Auf dieser Grundlage können sie Maßnahmen ergreifen, etwa mithilfe der Prisma Cloud-Funktion zur Fehlerbehebung mit einer Pull-Anforderung. Hierbei können Unternehmen mit einer einzigen Pull-Anforderung für viele Sicherheitsverstöße auf einmal eine automatisierte Korrektur ausführen.

  • Kontextbasierte Software Composition Analysis (SCA)

    Prisma Cloud unterstützt Scans von Open-Source-Paketen einschließlich unbegrenzter Scans von Abhängigkeitsstrukturen und granulärer Fehlerbehebung auf Versionsebene. Durch die Zusammenführung von gefundenen Schwachstellen und Fehlkonfigurationen der Infrastruktur sowie die Einbettung von Prisma Cloud SCA in Entwicklertools können Open-Source-Risiken schneller priorisiert und behoben werden.

  • Branchenführende IaC-Sicherheit

    Mit Checkov nutzt Prisma Cloud die robusteste Open-Source-Engine für Policy-as-Code auf dem Markt und verfügt dadurch über Tausende von Richtlinien zur Unterstützung der proaktiven Durchsetzung von Best Practices für die Cloud-Sicherheit. Schwachstellen in der Cloud-Sicherheit werden mit Prisma Cloud bereits früh im Entwicklungszyklus entdeckt und Codekorrekturen werden bereitgestellt, sodass nur sicherer Infrastrukturcode implementiert wird.

Mehr dazu
Konsolidierte Abdeckung und Visualisierung der Lieferkette

Sichere Repositorys und Registrys

Aufgrund der zunehmenden Komplexität cloudnativer Codebasen nutzen Unternehmen für die Speicherung, Versionierung und Verwaltung ihres Codes in großem Umfang Drittsysteme. Systeme für die Versionskontrolle (VCS) wie GitHub, GitLab oder Bitbucket müssen die Codeverwaltung unterstützen. Da sie proprietären Code und wichtige Systeme enthalten, ist es unerlässlich, dass auch sie sicher sind. Imageverzeichnisse wie DockerHub spielen wiederum eine wichtige Rolle bei der Speicherung von und Gewährung des Zugriffs auf Containerimages. Aber ohne die richtigen Sicherheitsmaßnahmen können sie auch für neue Schwachstellen oder schädliche Images verantwortlich sein. Prisma Cloud ist mit Richtlinien ausgestattet, die laufend die Unternehmenseinstellungen in VCS prüfen und sicherstellen, dass diese Einstellungen dem aktuellen Stand der Best Practices für Sicherheit gemäß deren Definition laut SLSA- und CIS-Benchmarks entsprechen.

  • Automatisierte Prüfung der VCS-Unternehmenseinstellungen

    Wenn es schnell gehen muss, kommt es leicht vor, dass Unternehmenseinstellungen für VCS übersehen werden und die Fehlannahme herrscht, dass alle Codequellen sicher seien. Prisma Cloud verfügt über Richtlinien, mit denen kontinuierlich überwacht wird, dass VCS-Best-Practices wie Single-Sign-On (SSO) und Zwei-Faktor-Authentifizierung (2FA) durchgesetzt werden, damit Konten nicht von Angreifern übernommen werden können.

  • Prüfung der VCS-Repository-Einstellungen

    Zur weiteren Verstärkung der VCS-Sicherheit unterstützt Prisma Cloud Unternehmen auch bei der Durchsetzung von Regeln zum Schutz von Filialen, damit die Einschleusung von Schadcode und andere nicht autorisierte oder verdächtige Aktivitäten verhindert werden. Die Richtlinien für die kontinuierliche Prüfung der VCS-Repository-Einstellungen und die konsistente Anwendung von Regeln für den Schutz von Filialen sorgen dafür, dass VCS-Repositorys zuverlässig geschützt sind und Code nur nach einer gründlichen Prüfung übernommen werden kann.

  • Kontinuierliche Registry-Sicherheit und vertrauenswürdige Images

    Container-Registrys vereinfachen die Speicherung und Bereitstellung von Containerimages, bringen aber auch ganz eigene Sicherheitsherausforderungen mit sich, die bei der cloudnativen Entwicklung berücksichtigt werden müssen, um der Einschleusung von Schadcode in Images oder der Implementierung unsicherer Images vorzubeugen. Prisma Cloud scannt und überwacht laufend die Container-Registrys, blockiert die Implementierung anfälliger oder nicht vertrauenswürdiger Images und ermöglicht die Einstellung detaillierter Implementierungsregeln, sodass bei bestimmten Schwachstellen und Complianceproblemen Alarme ausgegeben oder Gegenmaßnahmen eingeleitet werden.

Sichere Repositorys und Registrys

Sichere CI/CD-Pipelines

CI/CD-Pipelines sind wichtig, damit cloudnative Teams ihr Tempo, in dem sie neue Releases veröffentlichen, halten können. Allerdings sind diese Pipelines nicht von Natur aus sicher und Kriminelle nutzen die Schwächen von CI/CD häufig für Angriffe auf die Lieferkette aus. Die Richtlinienbibliothek von Prisma Cloud umfasst auch Best Practices für CI/CD, die es Unternehmen ermöglichen, die Sicherheit ihrer Pipeline laufend zu prüfen und dabei dieselbe Automatisierung zu nutzen, die von diesen Pipelines unterstützt wird.

  • Einrichtung von Vorsorgemaßnahmen gegen die Einschleusung und Manipulation von Code

    Mit direkt einsetzbaren CI/CD-Richtlinien unterstützt Prisma Cloud Unternehmen bei der automatisierten Erstellung und Durchsetzung von Vorsorgemaßnahmen, z. B. der Blockierung unsicherer Befehle oder Beta-Funktionen.

  • Erkennung und Entfernung hartcodierter Secrets

    Es gehört zwar zu den Best Practices, die Hartcodierung von Secrets in IaC-Vorlagen und CI/CD-Konfigurationsdateien zu vermeiden, aber in der Eile kommt es trotzdem immer wieder vor. Prisma Cloud bietet Secrets-Scans, mit denen Unternehmen hartcodierte Secrets schnell ermitteln und so ihre öffentliche Preisgabe verhindern können.

  • Automatische Durchsetzung des Least-Privilege-Prinzips

    Mit Policy-as-Code ermöglicht Prisma Cloud die automatisierte Anpassung des IAM-Umfangs. Prisma Cloud scannt und prüft laufend die bestehenden IAM-Richtlinien, entfernt ungenutzte Berechtigungen und korrigiert übermäßig großzügigen Zugriff auf die CI/CD-Hostumgebung. Außerdem können Teams mit Prisma Cloud die Wahrscheinlichkeit eines menschlichen Fehlers reduzieren, indem sie vor der Implementierung von Code automatisch dessen Sicherheit prüfen.

Mehr dazu
Sichere CI/CD-Pipelines

Erstellung konsolidierter SBOMs (Software Bill of Materials)

Eine SBOM ist eine vollständige Bestandsliste der Softwarekomponenten eines Unternehmens sowie aller damit in Zusammenhang stehenden Sicherheitsprobleme. Allerdings ist eine SBOM nur so vollständig wie die Daten, auf denen sie basiert. Wenn einzelne Punktlösungen genutzt werden, kann Vollständigkeit nur mit einer manuellen Deduplizierung und Konsolidierung erreicht werden. Prisma Cloud vereinfacht die SBOM-Erstellung für cloudnative Anwendungen durch die Bereitstellung einer einzigen SBOM für alle Anwendungs- und Infrastrukturkomponenten. Dies ermöglicht es Teams, Informationen über den Codebestand und Risikoeinstufungen an andere interne Teams und an externe Kunden weiterzugeben.

  • Konsolidierte und flexible Exporte

    Eine vollständige SBOM umfasst alle IaC-Ressourcen, Open-Source-Pakete, Imagekomponenten, bekannten Schwachstellen, Fehlkonfigurationen und Open-Source-Lizenzen. Prisma Cloud exportiert SBOMs in standardisierte Berichtformate wie beispielsweise CSV und CycloneDX.

  • Erfüllung von kundenseitigen Forderungen nach einer SBOM

    Endkunden – darunter auch die US-Regierung – verlangen zunehmend SBOMs als Teil der Lösung für viele wichtige Probleme. Hauptsächlich werden SBOMs dazu genutzt, in Beschaffungsprozessen der Rechenschaftspflicht des Lieferanten nachzukommen und sicherzustellen, dass das einzelnen Lieferanten zugeordnete Risiko in die laufende Risikobeurteilung des Unternehmens einbezogen wird.

  • Bewahrung einer vertrauenswürdigen, genauen Softwarebestandsliste

    Durch den Vergleich der vor und nach der Implementierung erstellten SBOMs können Unternehmen Manipulationen erkennen und rückgängig machen, sodass die Gültigkeit und Zuverlässigkeit der Informationen in der SBOM bewahrt bleiben.

Erstellung konsolidierter SBOMs (Software Bill of Materials)

Module für die Codesicherheit

IAC-SICHERHEIT

Integration automatisierter IaC-Sicherheitsfunktionen in die Arbeitsabläufe der Entwickler

Mehr dazu

SOFTWARE COMPOSITION ANALYSIS (SCA)

Kontextbasierte Sicherheitsmaßnahmen für Open-Source-Software und Compliance mit Lizenzvorgaben

Mehr dazu

SICHERHEIT IN DER SOFTWARELIEFERKETTE

Umfassender Schutz von Softwarekomponenten und Pipelines

Mehr dazu

SCHUTZ VON SECRETS

Mehrdimensionale Secrets-Scans für den gesamten Stack in Repositorys und Pipelines

Mehr dazu
Ergänzende Ressourcen

Welche Vorteile bietet Prisma Cloud für Ihr Unternehmen?

Alle Ressourcen anzeigen
WHITEPAPER

Checkliste für die Sicherheit in der Softwarelieferkette

Herunterladen
WEBINARAUFZEICHNUNG

Angriffe auf Lieferketten: Typischer Verlauf und Tipps für die Abwehr

Jetzt ansehen
BLOGBEITRAG

Der Ablauf eines Angriffs auf eine cloudbasierte Pipeline

Blogbeitrag lesen
FORSCHUNGSBERICHT

Cloud Threat Report von Unit 42, Ausgabe 5: Lieferkettenschutz für Sicherheit in der Cloud

Bericht lesen
DATENBLATT

Codesicherheit

Datenblatt herunterladen (nur auf Englisch verfügbar)

Erhalten Sie die neuesten Nachrichten, Einladungen zu Veranstaltungen und Bedrohungswarnungen.

Beliebte Ressourcen

Rechtliche Hinweise

Häufig genutzte Ressourcen

Sicherheitslücke melden

Copyright © Palo Alto Networks 2024. Alle Rechte vorbehalten.