Sicherheit in der Softwarelieferkette

Schützen Sie Ihre Softwarelieferkette mit umfassender Transparenz und Richtliniendurchsetzung für alle Softwarekomponenten und Bereitstellungspipelines.

Bei der cloudnativen Entwicklung spielen Softwarelieferketten eine wichtige Rolle, um Entwicklern ein produktiveres Arbeiten zu ermöglichen und die mittlere Zeit bis zur Markteinführung neuer Funktionen zu reduzieren. Softwarelieferketten bringen aber auch besondere Risiken und komplexe Abhängigkeiten mit sich, da Code und Tools von Dritten in die Entwicklungsworkflows integriert werden. Sicherheitsteams müssen proaktiv Vorsorgemaßnahmen zum Schutz der Softwarelieferketten vor Bedrohungen treffen und dabei Sorge tragen, dass diese Maßnahmen nicht zulasten der Flexibilität der Entwickler gehen.

Weitere Informationen über Risiken in der Softwarelieferkette finden Sie im neuesten Bericht von Unit 42®.

Sicherung von Komponenten Dritter und Bereitstellungspipelines

Mit Prisma Cloud haben Unternehmen Einblick in jede einzelne Komponente ihrer Softwarelieferkette – vom Code über Ressourcen bis hin zu den Bereitstellungspipelines. Außerdem ermöglicht Prisma Cloud die kontinuierliche Durchsetzung sicherer Konfigurationen. Die vertrauenswürdigen, branchenführenden Datenquellen von Prisma Cloud in Verbindung mit nativen Integrationen in Entwicklungsumgebungen erleichtern das Management und die Eindämmung von Lieferkettenrisiken:
  • Visualisierung von Risiken durch Softwarekomponenten und die Bereitstellungspipeline
  • Integration in Entwicklungstools und Arbeitsabläufe
  • Branchenführende Scan-Engines für Fehlkonfigurationen und Schwachstellen
  • Erfassung und Visualisierung des Codebestands
    Erfassung und Visualisierung des Codebestands
  • Scans von Secrets
    Scans von Secrets
  • Scans von Registrys
    Scans von Registrys
  • Durchsetzung vertrauenswürdiger Images
    Durchsetzung vertrauenswürdiger Images
  • CI/CD-Sicherheit
    CI/CD-Sicherheit
  • Automatisierte Anpassung des IAM-Umfangs
    Automatisierte Anpassung des IAM-Umfangs

PRISMA CLOUD

Unser Ansatz für Sicherheit in der Lieferkette

Konsolidierte Abdeckung und Visualisierung der Lieferkette

Das Lieferkettendiagramm von Prisma Cloud ermöglicht es Unternehmen, jede Komponente in ihrer Lieferkette zu visualisieren und alle damit in Verbindung stehenden Risiken nachzuvollziehen. Es bietet eine konsolidierte Ansicht des gesamten Bestands an Code und aller Pipelinekomponenten, ergänzt durch Daten zum Sicherheitsstatus. Damit verschafft das Lieferkettendiagramm von Prisma Cloud Unternehmen einen umfassenden, grafisch aufgearbeiteten Überblick über die Abhängigkeiten zwischen ihren Anwendungen und Infrastrukturassets. Anhand dieser Informationen können Unternehmen Risiken entlang ihrer Lieferkette priorisieren und ihre Ressourcen effizienter zur Behebung der Schwachstellen einsetzen, die mit größter Wahrscheinlichkeit ausgenutzt werden.

  • Visibilität und Katalogisierung der Softwarelieferkette

    Mit dem Lieferkettendiagramm erhalten Sie eine konsolidierte Inventarliste der Bereitstellungspipelines und Codekomponenten Ihres Unternehmens. Durch die Visualisierung aller Querverbindungen gewinnen Unternehmen den dringend benötigten Einblick in die Angriffsfläche ihrer Lieferkette. Auf dieser Grundlage können sie Maßnahmen ergreifen, etwa mithilfe der Prisma Cloud-Funktion zur Fehlerbehebung mit einer Pull-Anforderung. Hierbei können Unternehmen mit einer einzigen Pull-Anforderung für viele Sicherheitsverstöße auf einmal eine automatisierte Korrektur ausführen.

  • Kontextbasierte Software Composition Analysis (SCA)

    Prisma Cloud unterstützt Scans von Open-Source-Paketen einschließlich unbegrenzter Scans von Abhängigkeitsstrukturen und granulärer Fehlerbehebung auf Versionsebene. Durch die Zusammenführung von gefundenen Schwachstellen und Fehlkonfigurationen der Infrastruktur sowie die Einbettung von Prisma Cloud SCA in Entwicklertools können Open-Source-Risiken schneller priorisiert und behoben werden.

  • Branchenführende IaC-Sicherheit

    Mit Checkov nutzt Prisma Cloud die robusteste Open-Source-Engine für Policy-as-Code auf dem Markt und verfügt dadurch über Tausende von Richtlinien zur Unterstützung der proaktiven Durchsetzung von Best Practices für die Cloud-Sicherheit. Schwachstellen in der Cloud-Sicherheit werden mit Prisma Cloud bereits früh im Entwicklungszyklus entdeckt und Codekorrekturen werden bereitgestellt, sodass nur sicherer Infrastrukturcode implementiert wird.

Konsolidierte Abdeckung und Visualisierung der Lieferkette

Sichere Repositorys und Registrys

Aufgrund der zunehmenden Komplexität cloudnativer Codebasen nutzen Unternehmen für die Speicherung, Versionierung und Verwaltung ihres Codes in großem Umfang Drittsysteme. Systeme für die Versionskontrolle (VCS) wie GitHub, GitLab oder Bitbucket müssen die Codeverwaltung unterstützen. Da sie proprietären Code und wichtige Systeme enthalten, ist es unerlässlich, dass auch sie sicher sind. Imageverzeichnisse wie DockerHub spielen wiederum eine wichtige Rolle bei der Speicherung von und Gewährung des Zugriffs auf Containerimages. Aber ohne die richtigen Sicherheitsmaßnahmen können sie auch für neue Schwachstellen oder schädliche Images verantwortlich sein. Prisma Cloud ist mit Richtlinien ausgestattet, die laufend die Unternehmenseinstellungen in VCS prüfen und sicherstellen, dass diese Einstellungen dem aktuellen Stand der Best Practices für Sicherheit gemäß deren Definition laut SLSA- und CIS-Benchmarks entsprechen.

  • Automatisierte Prüfung der VCS-Unternehmenseinstellungen

    Wenn es schnell gehen muss, kommt es leicht vor, dass Unternehmenseinstellungen für VCS übersehen werden und die Fehlannahme herrscht, dass alle Codequellen sicher seien. Prisma Cloud verfügt über Richtlinien, mit denen kontinuierlich überwacht wird, dass VCS-Best-Practices wie Single-Sign-On (SSO) und Zwei-Faktor-Authentifizierung (2FA) durchgesetzt werden, damit Konten nicht von Angreifern übernommen werden können.

  • Prüfung der VCS-Repository-Einstellungen

    Zur weiteren Verstärkung der VCS-Sicherheit unterstützt Prisma Cloud Unternehmen auch bei der Durchsetzung von Regeln zum Schutz von Filialen, damit die Einschleusung von Schadcode und andere nicht autorisierte oder verdächtige Aktivitäten verhindert werden. Die Richtlinien für die kontinuierliche Prüfung der VCS-Repository-Einstellungen und die konsistente Anwendung von Regeln für den Schutz von Filialen sorgen dafür, dass VCS-Repositorys zuverlässig geschützt sind und Code nur nach einer gründlichen Prüfung übernommen werden kann.

  • Kontinuierliche Registry-Sicherheit und vertrauenswürdige Images

    Container-Registrys vereinfachen die Speicherung und Bereitstellung von Containerimages, bringen aber auch ganz eigene Sicherheitsherausforderungen mit sich, die bei der cloudnativen Entwicklung berücksichtigt werden müssen, um der Einschleusung von Schadcode in Images oder der Implementierung unsicherer Images vorzubeugen. Prisma Cloud scannt und überwacht laufend die Container-Registrys, blockiert die Implementierung anfälliger oder nicht vertrauenswürdiger Images und ermöglicht die Einstellung detaillierter Implementierungsregeln, sodass bei bestimmten Schwachstellen und Complianceproblemen Alarme ausgegeben oder Gegenmaßnahmen eingeleitet werden.

Sichere Repositorys und Registrys

Sichere CI/CD-Pipelines

CI/CD-Pipelines sind wichtig, damit cloudnative Teams ihr Tempo, in dem sie neue Releases veröffentlichen, halten können. Allerdings sind diese Pipelines nicht von Natur aus sicher und Kriminelle nutzen die Schwächen von CI/CD häufig für Angriffe auf die Lieferkette aus. Die Richtlinienbibliothek von Prisma Cloud umfasst auch Best Practices für CI/CD, die es Unternehmen ermöglichen, die Sicherheit ihrer Pipeline laufend zu prüfen und dabei dieselbe Automatisierung zu nutzen, die von diesen Pipelines unterstützt wird.

  • Einrichtung von Vorsorgemaßnahmen gegen die Einschleusung und Manipulation von Code

    Mit direkt einsetzbaren CI/CD-Richtlinien unterstützt Prisma Cloud Unternehmen bei der automatisierten Erstellung und Durchsetzung von Vorsorgemaßnahmen, z. B. der Blockierung unsicherer Befehle oder Beta-Funktionen.

  • Erkennung und Entfernung hartcodierter Secrets

    Es gehört zwar zu den Best Practices, die Hartcodierung von Secrets in IaC-Vorlagen und CI/CD-Konfigurationsdateien zu vermeiden, aber in der Eile kommt es trotzdem immer wieder vor. Prisma Cloud bietet Secrets-Scans, mit denen Unternehmen hartcodierte Secrets schnell ermitteln und so ihre öffentliche Preisgabe verhindern können.

  • Automatische Durchsetzung des Least-Privilege-Prinzips

    Mit Policy-as-Code ermöglicht Prisma Cloud die automatisierte Anpassung des IAM-Umfangs. Prisma Cloud scannt und prüft laufend die bestehenden IAM-Richtlinien, entfernt ungenutzte Berechtigungen und korrigiert übermäßig großzügigen Zugriff auf die CI/CD-Hostumgebung. Außerdem können Teams mit Prisma Cloud die Wahrscheinlichkeit eines menschlichen Fehlers reduzieren, indem sie vor der Implementierung von Code automatisch dessen Sicherheit prüfen.

Sichere CI/CD-Pipelines

Erstellung konsolidierter SBOMs (Software Bill of Materials)

Eine SBOM ist eine vollständige Bestandsliste der Softwarekomponenten eines Unternehmens sowie aller damit in Zusammenhang stehenden Sicherheitsprobleme. Allerdings ist eine SBOM nur so vollständig wie die Daten, auf denen sie basiert. Wenn einzelne Punktlösungen genutzt werden, kann Vollständigkeit nur mit einer manuellen Deduplizierung und Konsolidierung erreicht werden. Prisma Cloud vereinfacht die SBOM-Erstellung für cloudnative Anwendungen durch die Bereitstellung einer einzigen SBOM für alle Anwendungs- und Infrastrukturkomponenten. Dies ermöglicht es Teams, Informationen über den Codebestand und Risikoeinstufungen an andere interne Teams und an externe Kunden weiterzugeben.

  • Konsolidierte und flexible Exporte

    Eine vollständige SBOM umfasst alle IaC-Ressourcen, Open-Source-Pakete, Imagekomponenten, bekannten Schwachstellen, Fehlkonfigurationen und Open-Source-Lizenzen. Prisma Cloud exportiert SBOMs in standardisierte Berichtformate wie beispielsweise CSV und CycloneDX.

  • Erfüllung von kundenseitigen Forderungen nach einer SBOM

    Endkunden – darunter auch die US-Regierung – verlangen zunehmend SBOMs als Teil der Lösung für viele wichtige Probleme. Hauptsächlich werden SBOMs dazu genutzt, in Beschaffungsprozessen der Rechenschaftspflicht des Lieferanten nachzukommen und sicherzustellen, dass das einzelnen Lieferanten zugeordnete Risiko in die laufende Risikobeurteilung des Unternehmens einbezogen wird.

  • Bewahrung einer vertrauenswürdigen, genauen Softwarebestandsliste

    Durch den Vergleich der vor und nach der Implementierung erstellten SBOMs können Unternehmen Manipulationen erkennen und rückgängig machen, sodass die Gültigkeit und Zuverlässigkeit der Informationen in der SBOM bewahrt bleiben.

Erstellung konsolidierter SBOMs (Software Bill of Materials)

Module für die Codesicherheit

IAC-SICHERHEIT

Integration automatisierter IaC-Sicherheitsfunktionen in die Arbeitsabläufe der Entwickler

SOFTWARE COMPOSITION ANALYSIS (SCA)

Kontextbasierte Sicherheitsmaßnahmen für Open-Source-Software und Compliance mit Lizenzvorgaben

SICHERHEIT IN DER SOFTWARELIEFERKETTE

Umfassender Schutz von Softwarekomponenten und Pipelines

SCHUTZ VON SECRETS

Mehrdimensionale Secrets-Scans für den gesamten Stack in Repositorys und Pipelines

Ergänzende Ressourcen

Welche Vorteile bietet Prisma Cloud für Ihr Unternehmen?