CI/CD konveierite turbejuhtimine 2026. aasta audititeks
On esmaspäeva hommikul kell 08:17 ning kiiresti kasvava fintech-ettevõtte CISO saab sõnumi, mida kardab iga infoturbejuht:
„Tootmiskeskkonna kooste paistab puhas, kuid artefakti räsi ei vasta lähtekoodi commit’ile.”
Mõne minutiga kinnitab arendusmeeskond, et väljalase läbis ühiktestid, juurutuspilet on olemas ja kliendile suunatud teenus on stabiilne. Konveier räägib aga teistsugust lugu. Isehallatavat CI käiturit kasutati mitmes projektis. Ajutised pilvekeskkonna autentimisandmed jäid aktiivseks kauemaks, kui oli ette nähtud. Artefaktiregister näitab allkirjastatud konteinerkujutist, kuid allkirjastamisvõti oli kättesaadav samalt käiturilt, mis käivitas mitteusaldusväärseid koosteskripte.
Väljalaskehaldur saab tõendada, et midagi juurutati. Mida organisatsioon ei saa vähemalt piisavalt kiiresti tõendada, on see, mida koostati, kes selle heaks kiitis, kas koostekeskkond oli puhas ning kas tõendusmaterjal peaks vastu auditile või intsidendi uurimisele.
See ei ole enam ainult DevOpsi probleem.
- aastal paikneb CI/CD konveierite turbejuhtimine tarkvara tarneahela turbe, talitluspidevuse, andmekaitsealase vastutuse, toote turbe ja juhatuse tasandi küberriski järelevalve ristumiskohas. NIS2 suunab juhtorganeid küberturbe riskijuhtimismeetmeid heaks kiitma ja nende üle järelevalvet tegema. DORA nõuab finantsettevõtetelt IKT-riski, intsidentide, testimise ja kolmandate osapoolte sõltuvuste juhtimist. GDPR nõuab vastutavatelt ja volitatud töötlejatelt isikuandmete asjakohase turvalisuse ja vastutuse tõendamist. Cyber Resilience Act suurendab turu ootusi digielementidega toodete turvalisuse, turvaliste uuenduste ja haavatavuste käsitlemise suhtes. ISO/IEC 27001:2022 nõuab ISMS-i, mis teisendab riskikäsitluse kontrollitud ja tõendatud tegevusteks.
Konveierist on saanud tänapäevase tarkvara usalduse auditijälg.
Uus vastavusküsimus: kas suudate tõendada, mis jõudis tootmiskeskkonda?
Aastaid keskendusid DevSecOpsi programmid skannerite lisamisele konveieritesse. Staatiline analüüs, sõltuvuste kontrollid, saladuste skannimine, konteinerite skannimine ja taristu koodina valideerimine muutusid tavapäraseks. Need kontrollimeetmed on endiselt olulised, kuid need ei vasta juhtimisküsimusele, mida audiitorid, regulaatorid, kliendid ja juhatused nüüd esitavad:
Kas organisatsioon suudab tõendada, et iga tootmiskeskkonna juurutus pärines heakskiidetud lähtekoodist, koostati kontrollitud keskkonnas, tekitas verifitseeritava artefakti, läbis nõutavad turvaväravad, kasutas heakskiidetud autentimisandmeid, järgis muudatuste juhtimist ning tekitas säilitatava tõendusmaterjali?
Ründajad teavad, et koostesüsteemid, paketisõltuvused, arendajate tokenid, CI käiturid, väljalaske automatiseerimine, artefaktiregistrid ja pilvejuurutuse rollid on kõrge väärtusega sihtmärgid. Kompromiteeritud konveier võib mööda minna tavapärastest kaitsemeetmetest, sest see kasutab usaldatud automatiseerimist pahatahtliku koodi viimiseks usaldatud keskkondadesse.
Küps CI/CD konveierite turbejuhtimise mudel vajab seetõttu kuut tõendussammast.
| Tõendussammas | Mida see tõendab | Tüüpiline tõendusmaterjal |
|---|---|---|
| Lähtekoodi terviklus | Juurutatud artefakt pärines heakskiidetud lähtekoodist | Commit ID, harukaitsemeetmed, pull request’i heakskiidud, allkirjastatud commit’id, repositooriumi auditilogid |
| Kooste päritolu | Artefakt loodi teadaoleva konveieriga kontrollitud tingimustes | Kooste ID, käituri identiteet, koostejuhis, sõltuvuste manifest, artefakti räsi, allkirjastamise kirje |
| Käiturite kõvendamine | Käituskeskkonda ei saanud hõlpsasti taaskasutada ega muuta | Efemeersete käiturite logid, baaskujutis, paikade staatus, isoleerimiskontrollid, võrgupiirangud |
| Artefakti terviklus | Väljalaskepaketti ei muudetud pärast koostamist | Allkiri, kontrollsumma, registrilogi, edutamise kirje, muutmatu sildi poliitika |
| Juurutuse juhtimine | Muudatus oli autoriseeritud, testitud ja jälgitav | Muudatustaotluse ID, heakskiidu tõendid, keskkondadevahelise edutamise logid, tagasipööramiskava |
| Digikohtuekspertiisiks valmisolek | Tõendusmaterjali saab auditi või intsidentidele reageerimise ajal säilitada | Eksporditud logid, ekraanitõmmised, failiräsid, tõendite valduse ahela kirje |
Siin erineb Clarysec’i lähenemine kontrollnimekirjapõhisest vastavusest. Me käsitleme CI/CD platvormi juhitava äriprotsessina, mitte üksnes tehnilise tööriistana. See protsess peab kuuluma ISMS-i kohaldamisalasse, läbima riskihindamise, olema kontrollitud, seiratud, auditeeritud ja täiustatud.
Tooge CI/CD ISO/IEC 27001:2022 ISMS-i sisse
ISO/IEC 27001:2022 algab konteksti, huvitatud osapoolte ja kohaldamisalaga. Punktid 4.1 kuni 4.4 nõuavad, et organisatsioonid mõistaksid sisemisi ja väliseid tegureid, määraksid huvitatud osapoolte nõuded, tuvastaksid õiguslikud, regulatiivsed ja lepingulised nõuded ning määratleksid ISMS-i kohaldamisala, arvestades sõltuvusi teistest organisatsioonidest.
SaaS-teenuse pakkuja, fintech-ettevõtte, hallatud teenusepakkuja, tarkvaratarnija või pilvepõhise ettevõtte puhul kuulub CI/CD peaaegu alati sellesse kohaldamisalasse, sest see mõjutab otseselt teenuse osutamist, kliendiandmeid, tootmiskeskkonna taristut ja lepingulisi kohustusi.
Punktid 5.1 kuni 5.3 muudavad juhtkonna ISMS-i eest vastutavaks. See on oluline, sest tänapäevane väljalaske automatiseerimine paikneb arenduse, turbe, pilveoperatsioonide, hangete, vastavuse ja tootehalduse vahel. Kui ükski juht ei vastuta tootmiskeskkonna juurutusautomaatika riskivalmiduse eest, lõpeb organisatsioon tavaliselt killustatud tööriistade ja ebaühtlase tõendusmaterjaliga.
Punktid 6.1.1 kuni 6.1.3 annavad planeerimise tugiraamistiku. Organisatsioon peab hindama konfidentsiaalsuse, tervikluse ja käideldavuse riske, määrama riskiomanikud, võrdlema riske kriteeriumidega, valima käsitlusmeetmed, võrdlema valitud kontrollimeetmeid Annex A-ga, koostama kohaldatavusdeklaratsiooni ning saama heakskiidu riski käsitlemise plaanile ja jääkriskile.
CI/CD riskihindamine ei tohi piirduda sõnastusega „tarkvara tarneahela risk”. See peab nimetama realistlikud stsenaariumid:
- Pahatahtlik koosteskript viib allkirjastamisvõtmed jagatud käiturist välja.
- Arendaja möödub harukaitsemeetmetest ja juurutab läbivaatamata koodi.
- Kompromiteeritud kolmanda osapoole töövootoiming muudab artefakti kooste ajal.
- Vahekeskkonna autentimisandmed annavad juurdepääsu tootmiskeskkonnale.
- Juurutus toimub ilma seotud muudatustaotluseta.
- Intsidendi rekonstrueerimiseks vajalikud konveierilogid kirjutatakse seitsme päeva pärast üle.
- Sõltuvuste mürgitamise intsident jõuab eelproduktsioonikeskkonda või tootmiskeskkonda.
Punkt 8.1 nõuab seejärel ISMS-i protsesside kavandatud ja kontrollitud toimimist, dokumenteeritud tõendusmaterjali, kavandatud muudatuste kontrolli, tahtmatute muudatuste läbivaatamist ning ISMS-i jaoks asjakohaste väliselt pakutavate protsesside, toodete või teenuste kontrolli. Kui konveier muudab tootmiskeskkonda, peab see looma tõendusmaterjali kontrollitud toimimise kohta.
Clarysec’i kontrollimudel turvaliseks tarkvara tarnimiseks
Clarysec seob poliitika, kontrollimeetmed ja audititõendusmaterjali. Zenith Blueprint: audiitori 30-sammuline teekaart Zenith Blueprint paigutab turvalise DevOpsi ja turvalise arenduse riskijuhtimise faasi, sammu 14. See ütleb, et organisatsioonid peavad turvama CI/CD tööriistad, tagama, et juurutusi saavad käivitada ainult volitatud töötajad, kasutama MFA-d konveierile juurdepääsuks, kaitsma kooste artefaktide terviklust ning logima ja seirama CI/CD tegevusi.
„DevOpsi konveieri kontrollimeetmed: CI/CD tööriistad peavad olema turvatud – juurutusi tohivad käivitada ainult volitatud töötajad; konveierile juurdepääsuks tuleb kasutada MFA-d; kooste artefaktide terviklust tuleb kaitsta. CI/CD tegevused tuleb logida ja neid tuleb seirata.”
See juhis muutub rakendatavaks siis, kui see teisendatakse poliitikapunktideks ja tõendusnõueteks.
P24 Turvalise arenduse poliitika Turvalise arenduse poliitika sätestab:
„Kooste artefaktid peavad olema allkirjastatud ja jälgitavad lähtekoodi commit’ideni.”
See on üks tugevamaid kontrollimeetmeid CI/CD juhtimisprogrammis. See ütleb arendusmeeskonnale, et tootmiskeskkonna artefaktil peab olema verifitseeritav päritoluliin tagasi lähtekoodi halduseni. Samuti ütleb see audiitoritele, mida testida: valida tootmiskeskkonna väljalase, kontrollida artefakti allkirja, valideerida commit’i viide, vaadata üle pull request’i heakskiit ja kinnitada konveieri kooste kirje.
Sama poliitika sätestab:
„Kõiki arendustegevusi tuleb jälgida heakskiidetud versioonihaldussüsteemides koos jõustatud juurdepääsukontrollide, auditijälgede ja harukaitsemeetmetega.”
See viib juhtimise ülesvoolu. Kui lähtekoodirepositooriumid ei ole kaitstud, on kooste päritolu nõrk. Kui harukaitsemeetmetest saab mööda minna, võib konveier korrektselt koostada heakskiitmata koodi. Kui auditijäljed on keelatud, sõltub intsidendi rekonstrueerimine mälust ja ekraanitõmmistest, mitte tõendusmaterjalist.
Väiksemate organisatsioonide jaoks sisaldab VKE turvalise arenduse poliitika VKE turvalise arenduse poliitika praktilist miinimumnõuet:
„Koodiversiooni, juurutuskuupäeva ja heakskiitja jälgimine”
See lihtne juurutusregister on tugev lähtekoht. Paljud VKE-d ei vaja esimesel päeval rasket väljalaskejuhtimist, kuid nad peavad teadma, milline versioon kasutusele võeti, millal see toimus ja kes selle heaks kiitis.
VKE poliitika sätestab ka:
„Juurdepääs tootmiskeskkonna juurutustööriistadele või -süsteemidele peab olema kontrollitud, logitud ning tegevjuhi või IT-teenusepakkuja poolt perioodiliselt üle vaadatud.”
See on juhtimissamm, mis jääb paljudel väiksematel meeskondadel märkamata. Tootmiskeskkonna pilve autentimisandmetega CI/CD platvorm on privilegeeritud tootmisjuurdepääsu tee.
Kolm ISO/IEC 27002:2022 kontrollivaldkonda turvalise CI/CD taga
Zenith Controls: Cross-Compliance Guide Zenith Controls on Clarysec’i vastavuskaardistuse kompass, mis seob ametlikud standardid ja raamistikud praktiliste kontrollisuhetega. CI/CD konveierite turbejuhtimise jaoks on kesksed kolm ISO/IEC 27002:2022 kontrollivaldkonda.
| ISO/IEC 27002:2022 kontrollimeede | CI/CD juhtimise roll | Seotud kontrollimeetmed ja tõendusmaterjal |
|---|---|---|
| 5.21 Infoturbe juhtimine IKT tarneahelas | Haldab CI/CD platvorme, kolmandate osapoolte töövootoiminguid, paketirepositooriume, pilvepõhiseid koosteteenuseid, registreid ja allhankearendust | Tarnija hoolsuskontroll, lepingulised turbenõuded, teenuseosutaja logid, sõltuvuste registrid |
| 8.25 Turvaline arenduse elutsükkel | Lõimib turbe nõuetesse, disaini, programmeerimisse, koostesse, testimisse ja väljalaskesse | Turvaline arhitektuur, turvaline programmeerimine, turbetestimine, artefaktide allkirjastamine, väljalaske tõendusmaterjal |
| 8.32 Muudatuste haldamine | Tagab, et juurutused on tahtlikud, põhjendatud, heaks kiidetud ja auditeeritavad | Muudatustaotluse ID, heakskiit, juurutuslogi, tagasipööramiskava, erakorralise muudatuse kirje |
Zenith Controls kirjeldab kontrolli 5.21 ennetava kontrollimeetmena, mis toetab konfidentsiaalsust, terviklust ja käideldavust ning mille keskne operatiivne võimekus on tarnijasuhete turve. See sobib CI/CD konteksti, sest tänapäevased konveierid sõltuvad välistest teenustest: lähtekoodi halduse platvormidest, majutatud käituritest, konteineriregistritest, avatud lähtekoodiga paketirepositooriumidest, kolmandate osapoolte GitHub Actionsi komponentidest, skannimistööriistadest, pilvejuurutuse API-dest ja allhankearendajatest.
Kontrolli 5.21 kaardistuses seob Zenith Controls IKT tarneahela turbe kontrollidega 5.19 Infoturve tarnijasuhetes, 5.20 Infoturbe käsitlemine tarnijalepingutes, 8.27 Turvalise süsteemiarhitektuuri ja inseneritöö põhimõtted, 8.28 Turvaline programmeerimine, 8.29 Turbetestimine arenduses ja vastuvõtmisel, 5.15 Juurdepääsukontroll, 5.28 Tõendite kogumine, 8.25 Turvaline arenduse elutsükkel ja 8.30 Allhankearendus.
Kontrolli 8.25 puhul määratleb Zenith Controls turvalise arenduse elutsükli ennetava kontrollimeetmena, mis kaitseb konfidentsiaalsust, terviklust ja käideldavust. See seob omavahel turbenõuded, arhitektuuri, programmeerimise, testimise, allhankearenduse ning 8.31 arendus-, test- ja tootmiskeskkondade eraldamise.
Kontrolli 8.32 puhul käsitleb Zenith Controls muudatuste haldamist sillana arenduse ja operatsioonide vahel. See seostub 8.9 konfiguratsioonihalduse, 8.8 tehniliste haavatavuste halduse, turvalise SDLC ja intsidentidele reageerimisega. Seetõttu ei saa juurutusautomaatika asuda väljaspool muudatuste juhtimist. See on mehhanism, mille kaudu tootmiskeskkonna muudatused toimuvad.
Kooste päritolu: väljalaske lugu, mida audiitor saab jälgida
Kooste päritolu on suutlikkus vastata tõendusmaterjali alusel, kust tarkvara artefakt pärines ja kuidas see loodi. Tugev päritolukirje räägib väljalaske loo:
- Millist lähtekoodirepositooriumi ja commit’i kasutati.
- Milline haru või silt käivitas kooste.
- Milline pull request, läbivaataja ja heakskiit olid seotud.
- Milline konveieri definitsioon käivitus.
- Milline käitur töö käivitas.
- Milliseid sõltuvusi ja baaskujutisi kasutati.
- Millised testid ja turvaväravad käivitati.
- Milline artefakt loodi.
- Milline allkiri või räsi genereeriti.
- Milline juurutus artefakti kasutas.
P05 Muudatuste haldamise poliitika Muudatuste haldamise poliitika annab juhtimisseose. See sätestab:
„Tööriistapõhised muudatused peavad endiselt vastama sellele poliitikale ja olema jälgitavad vastava muudatustaotluse ID-ni.”
See vastab levinud argumendile, et automatiseeritud juurutused ei vaja muudatuspileteid. Automatiseerimine ei kõrvalda muudatuste juhtimist. See muudab seda, kuidas tõendusmaterjal tekib.
Sama poliitika sätestab:
„Kõik muudatustaotlused, läbivaatamised, heakskiidud ja toetav tõendusmaterjal tuleb registreerida keskses muudatuste juhtimissüsteemis.”
Praktikas peab muudatuste juhtimissüsteem olema indeks, mitte prügikast. Pilet peab viitama lähtekoodirepositooriumile, kooste käivitusele, artefakti allkirjale, juurutuslogile ja tagasipööramiskavale. Üksikasjalik tõendusmaterjal võib jääda arendustööriistadesse, kui säilitamine, juurdepääsukontroll ja eksporditavus on määratletud.
| Kontrolliküsimus | Säilitatav tõendusmaterjal | Omanik |
|---|---|---|
| Kas lähtekood kiideti heaks? | Pull request’i heakskiit, harukaitsemeetmete seaded, läbivaataja identiteet | Arendusjuht |
| Kas kooste oli kontrollitud? | Kooste käivituse ID, käituri ID, konveieri definitsiooni versioon, töö logid | DevOps |
| Kas artefakt oli jälgitav? | Artefakti räsi, allkiri, lähtekoodi commit’i viide, registri metaandmed | Platvormimeeskond |
| Kas turvaväravad käivitusid? | SAST, SCA, konteineri, DAST ja IaC skannide tulemused, erandite heakskiidud | Turbefunktsioon |
| Kas juurutus oli autoriseeritud? | Muudatustaotluse ID, heakskiitja, juurutusaken, tagasipööramiskava | Muudatuste haldur |
| Kas tõendusmaterjali saab säilitada? | Eksporditud logid, ekraanitõmmised, räsid, tõendite valduse ahela kirje | Turbe- või vastavusfunktsioon |
Käiturite kõvendamine: sageli tähelepanuta jääv tootmiskeskkonna kontroll
CI/CD käitureid käsitletakse sageli ühekordse taristuna, kuid need on kõrge riskiga käituskeskkonnad. Käitur võib pääseda ligi lähtekoodile, saladustele, kooste vahemäludele, paketirepositooriumidele, allkirjastamisvõtmetele, artefaktiregistritele ja pilvejuurutuse rollidele. Kui see on püsiv, jagatud, ülemääraste õigustega või halvasti seiratud, muutub see privilegeeritud pöördepunktiks.
Turvalise juhtimise seisukoht on lihtne: käiturid, mis koostavad või juurutavad tootmiskeskkonna koodi, peavad olema kõvendatud nagu tootmiskeskkonna taristu.
| Käituri kõvendamise valdkond | Oodatav kontrollimeede | Audititõendusmaterjal |
|---|---|---|
| Isoleerimine | Kasutage tundlike koostete jaoks efemeerseid käitureid ja vältige jagamist usalduspiiride vahel | Käituri elutsükli logid, käiturirühma seaded |
| Autentimisandmete turve | Kasutage pikaealiste saladuste asemel lühiajalisi autentimisandmeid ja töökoormuse identiteeti | Identiteedi konfiguratsioon, tokenite aegumisseaded, saladuste rotatsiooni logid |
| Vähima privileegi põhimõte | Eraldage kooste-, test-, allkirjastamis- ja juurutusrollid | Rollimääratlused, juurdepääsuõiguste ülevaatused, õiguste eksportfailid |
| Võrgukontroll | Piirake väljuvat juurdepääsu ja blokeerige ebavajalik ühenduvus tootmiskeskkonnaga | Tulemüüri reeglid, võrgupoliitika eksportfailid, väljuva liikluse logid |
| Lähteolukorra terviklus | Paigake käituri kujutised ja registreerige heakskiidetud versioonid | Kujutiste register, paikamisaruanded, kooste kujutise digest’id |
| Vahemälu kaitse | Vältige projektidevahelist saastumist kooste vahemälude kaudu | Vahemälupoliitika, projektide isoleerimise seaded |
| Seire | Logige haldustegevused, konfiguratsioonimuudatused ja tööde anomaaliad | CI/CD auditilogid, SIEM-i sündmused, teavituskirjed |
Testandmete ja testkeskkonna poliitika Testandmete ja testkeskkonna poliitika sätestab:
„Integreerimine CI/CD konveieritega peab jõustama keskkondade ja autentimisandmete eraldamise.”
Käitur, mis saab sama autentimisandmete mudeliga juurutada nii vahekeskkonda kui ka tootmiskeskkonda, rikub sisuliselt keskkondade eraldamise põhimõtet isegi siis, kui taristu on loogiliselt eraldatud. Clarysec soovitab tavaliselt eraldi juurutusidentiteete iga keskkonna jaoks, eraldi heakskiiduväravaid tootmiskeskkonnale ning selgesõnalisi kontrollimeetmeid, mis takistavad madalama keskkonna töödel tootmiskeskkonna saladustele juurdepääsu.
Zenith Blueprint, kontrollide rakendamise faas, samm 21, tugevdab seda arendus-, test- ja tootmiskeskkondade eraldamise kaudu:
„Kui kasutatakse CI/CD-d, kinnitage, et juurutuse edutamine keskkondade vahel on kontrollitud ja nõuab läbivaatamist või heakskiitu. Dokumenteerige see oma keskkonnahalduse protseduuris ning lisage tõenduseks ekraanitõmmised või konsooli eksportfailid.”
Pärisauditi korral tähendab see, et audiitor ei peaks nägema üksnes skeemi. Ta peab nägema konsooli eksportfaile, mis näitavad keskkonnapõhiseid autentimisandmeid, kaitstud juurutuskeskkondi, heakskiiduväravaid ja logisid, mis tõendavad, et edutamine oli kontrollitud.
Juurutustõendid: vastavusartefakt, mis on silme all peidus
Kõige küpsemad DevSecOpsi meeskonnad ei käsitle tõendite kogumist kvartalipõhise kiirustamisena. Nad kujundavad konveierid nii, et need looksid tõendusmaterjali automaatselt.
VKE logimise ja seire poliitika VKE logimise ja seire poliitika määratleb asjakohased logisündmused järgmiselt:
„Süsteemilogid: konfiguratsioonimuudatused, haldustegevused, tarkvara paigaldused, paikamistegevus”
CI/CD süsteemid toodavad kõiki nelja kategooriat. Konveieri konfiguratsioonimuudatused mõjutavad seda, kuidas tarkvara koostatakse. Haldustegevused muudavad seda, kes saab heaks kiita või juurutada. Tarkvara paigaldused toimuvad kooste kujutistes ja juurutussihtmärkides. Paikamistegevus võib liikuda automatiseeritud väljalaskeprotsesside kaudu. Neid sündmusi tuleb logida, säilitada ja riskipõhiselt läbi vaadata.
Uurimisvalmiduse jaoks sätestab P31S VKE tõendite kogumise ja digikohtuekspertiisi poliitika VKE tõendite kogumise ja digikohtuekspertiisi poliitika:
„Ekraanitõmmised, eksporditud logid ja failiräsid tuleb säilitada koos tõendite valduse ahela failiga.”
See on eriti oluline pärast kahtlustatavat konveieri kompromiteerimist. Ekraanitõmmised üksi on nõrk tõendusmaterjal. Ilma räsideta logid võivad olla vaidlustatavad. Tõendite valduse ahela fail ilma lähteviideteta on puudulik.
Kaitstav tootmiskeskkonna juurutuskirje peab sisaldama järgmist.
| Tõendusüksus | Minimaalne sisu | Peamine allikas | Vastavusväärtus |
|---|---|---|---|
| Muudatustaotlus | Ärivajadus, riskitase, heakskiit, muudatuse ID, tagasipööramiskava | JIRA, ServiceNow, Git issue | ISO 27002 8.32, DORA Article 9 |
| Lähtekoodi kirje | Repositoorium, commit, haru, pull request’i heakskiidud | Git, GitHub, GitLab, Azure DevOps | ISO 27002 8.25, NIS2 Article 21 |
| Kooste kirje | Konveieri ID, käituri ID, koostelogid, sõltuvuste andmed | CI/CD platvorm | ISO 27002 8.25, IKT tarneahela tõendusmaterjal |
| Kooste päritolu kinnitus | Allkirjastatud kirje kooste sisendite, keskkonna ja protsessi kohta | CI/CD tööriist, SLSA-võimekusega töövoog | ISO 27002 5.21, CRA Annex I tugi |
| Turvavärava kirje | SAST, SCA, DAST, konteineri ja IaC skannide tulemused | Turbetööriistad, konveierilogid | ISO 27002 8.29, DORA Article 9 |
| Artefakti kirje | Räsi, allkiri, registritee, muutumatu digest | Artefaktiregister | ISO 27002 8.25, CRA turvalise uuenduse tõendusmaterjal |
| Juurutuskirje | Keskkond, teostaja, ajatempel, tootmiskeskkonna heakskiit | GitOps, juurutusplatvorm | ISO 27002 8.32, DORA Article 10 |
| Seirekirje | Juurutusjärgsed tervise- ja anomaaliakontrollid | SIEM, jälgitavusplatvorm | DORA tuvastus- ja reageerimisootused |
| Tõendusmaterjali säilitamine | Eksporditud logid, ekraanitõmmised, räsid, valduse ahela kirje | Tõendusmaterjali hoidla | ISO 27002 5.28, intsidendi uurimine |
See pakett muudab CI/CD tehniliste sammude jadast juhtimise, kontrolli ja hoolsuskohustuse looks.
CI/CD juhtimise seostamine NIS2, DORA, GDPR ja CRA-ga
NIS2 kohaldub paljudele olulistele ja tähtsatele üksustele, sealhulgas digitaristule, IKT teenusehaldusele ja digiteenuse pakkujate organisatsioonidele, kui kriteeriumid on täidetud. Article 20 on eriti asjakohane, sest see loob juhtimistasandi küberturbe kohustused. Juhtorganid peavad heaks kiitma küberturbe riskijuhtimismeetmed, jälgima nende rakendamist ja saama koolitust.
Article 21 annab riskijuhtimise baastaseme. See nõuab asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja organisatsioonilisi meetmeid, mis hõlmavad riskianalüüsi, poliitikaid, intsidentide käsitlemist, talitluspidevust, tarneahela turvet, turvalist hankimist, arendust ja hooldust, haavatavuste käsitlemist, tõhususe hindamist, küberhügieeni, krüptograafiat, personaliturvet, juurdepääsukontrolli, varahaldust ja vajaduse korral MFA-d.
| NIS2 Article 21 teema | CI/CD juhtimise tõlgendus |
|---|---|
| Riskianalüüs ja poliitikad | Konveieri ohumudel, turvalise arenduse poliitika, käituri riskihindamine |
| Intsidentide käsitlemine | Konveieri kompromiteerimise tööjuhis, artefakti kehtetuks tunnistamine, erakorralise väljalaske kontroll |
| Talitluspidevus | Lähtekoodi halduse, artefaktiregistri ja juurutusautomaatika taastamine |
| Tarneahela turve | Kolmanda osapoole töövootoimingud, paketid, allhankearendus, registrisõltuvused |
| Turvaline arendus ja hooldus | Turvaline SDLC, koodi läbivaatus, testimine, haavatavuste käsitlemine |
| Tõhususe hindamine | Konveieri kontrollide testimine, auditivalimid, mõõdikud ja erandid |
| Juurdepääsukontroll ja MFA | Repositoorium, CI/CD administraator, käituri registreerimine, tootmiskeskkonna juurutusrollid |
| Krüptograafia | Artefaktide allkirjastamine, saladuste kaitse, võtmehaldus |
Article 23 lisab oluliste intsidentide etapiviisilise teatamise, sealhulgas varajase hoiatuse 24 tunni jooksul teadlikuks saamisest, intsidenditeate 72 tunni jooksul ja lõpparuande hiljemalt üks kuu pärast intsidenditeadet. Kui CI/CD kompromiteerimine võib põhjustada tõsise tegevushäire, rahalise kahju või olulise kahju teistele, peab intsidendi klassifitseerimise protsess olema valmis enne intsidenti.
Finantsettevõtetele kohaldub DORA alates 17. jaanuarist 2025 ning hõlmab IKT-riski juhtimist, intsidentidest teatamist, toimepidevuse testimist, teabe jagamist, IKT kolmandate osapoolte riskijuhtimist ja lepingulisi nõudeid. Article 5 nõuab IKT-riski sisemist juhtimis- ja kontrolliraamistikku koos juhtorgani vastutusega. Article 6 nõuab dokumenteeritud IKT riskijuhtimise raamistikku, mis on integreeritud üldisesse riskijuhtimisse.
Articles 8 to 14 seostuvad otseselt CI/CD konveierite juhtimisega. Finantsettevõtted peavad tuvastama ja klassifitseerima IKT-toega ärifunktsioonid, varad, sõltuvused, ohud ja haavatavused. Nad peavad kaitsma IKT-süsteeme poliitikate, juurdepääsukontrollide, tugeva autentimise, krüptograafiliste võtmete kaitse, kontrollitud IKT muudatuste juhtimise, paikamise ja segmenteerimise kaudu. Nad peavad anomaaliaid tuvastama, reageerima, taastuma ja intsidentidest õppima.
Articles 28 to 30 on sama olulised, sest CI/CD platvormid, lähtekoodi halduse pakkujad, artefaktiregistrid, pilvepõhised koostesüsteemid ja allhankearendajad võivad olla IKT kolmandate osapoolte sõltuvused. DORA eeldab hoolsuskontrolli, lepingulisi kaitsemeetmeid, kontsentratsiooniriski hindamist, auditi- ja inspekteerimisõigusi, lõpetamispäästikuid, väljumisstrateegiaid ning teenustaseme klausleid.
GDPR lisab vastutuse vaate. Article 5 nõuab, et isikuandmeid töödeldaks seaduslikult, õiglaselt, läbipaistvalt, kindlaksmääratud eesmärkidel, minimaalselt, täpselt, ainult vajalikul ajal säilitatuna ning kaitstuna loata või ebaseadusliku töötlemise ja juhusliku kaotsimineku, hävimise või kahjustumise eest. Article 5(2) nõuab, et vastutav töötleja tõendaks vastavust.
CI/CD konveierid on GDPR-i jaoks olulised, sest arendajad võivad kasutada tootmisandmeid testkeskkondades, konveierilogid võivad paljastada isikuandmeid või tokeneid, väljalasked võivad muuta töötlemisloogikat ning kompromiteeritud artefaktid võivad põhjustada isikuandmetega seotud rikkumisi. Kui tarkvaramuudatused mõjutavad privaatsuskontrolle, peab muudatuse kirje kajastama privaatsusmõju. Kui konveieri intsident põhjustab loata juurdepääsu isikuandmetele, peab rikkumise hindamine olema seotud intsidentide käsitlemisega.
CRA ootused lisavad toote turbe ja turvaliste uuenduste tõendusmaterjali. Tootjate ja tarkvarapakkujate puhul, kes lasevad ELi turule digielementidega tooteid, ootavad kliendid üha enam toote turbefaile, haavatavuste käsitlemise tõendeid, turvaliste uuenduste kontrollimeetmeid ja väljalaske terviklust. CI/CD juhtimine annab suure osa sellest tõendusmaterjalist lähtekoodi jälgitavuse, allkirjastatud artefaktide, haavatavuse skannimistulemuste, väljalaskemärkmete, turvaparanduste ja uuenduste levitamise kirjete kaudu.
NIST CSF 2.0 ja COBIT 2019: auditivaade väljaspool ISO-t
NIST CSF 2.0 pakub küberturbe juhtimise integratsioonikihti. Selle tuum, organisatsiooniprofiilid ja tasemed aitavad organisatsioonidel mõista praegust ja sihtseisundit, prioriseerida tegevusi kooskõlas õiguslike ja regulatiivsete nõuetega ning kommunikeerida küberriski.
CI/CD jaoks loob Clarysec sageli tarkvara tarnekonveieri profiili. Current Profile kirjeldab, kuidas lähtekoodi haldus, käiturid, artefaktide allkirjastamine ja juurutuse heakskiidud täna toimivad. Target Profile määratleb reguleeritud tegevuste jaoks nõutava seisundi. Puudujääkide plaanist saab rakendamise teekaart.
NIST GOVERN funktsioon on eriti asjakohane. GV.OC-03 nõuab, et õiguslikud, regulatiivsed ja lepingulised küberturbenõuded oleksid mõistetud ja hallatud. GV.RM hõlmab riskivalmidust ja standardiseeritud riskide prioriseerimist. GV.RR määrab juhtkonna vastutuse, rollid ja ressursid. GV.PO nõuab, et küberturbe riskipoliitikad oleksid kehtestatud, rakendatud, läbi vaadatud ja ajakohastatud. GV.OV hõlmab järelevalvet ja toimivuse hindamist.
COBIT 2019 või ISACA-stiilis audiitor vaatab sageli vähem artefaktide allkirjastamise krüptograafilisi detaile ja rohkem juhtimiskujundust. Ta küsib, kas omandivastutus on määratletud, kas muudatuste võimaldamine on kontrollitud, kas kolmandate osapoolte teenuste riske hallatakse, kas seire annab kindlust, kas erandid on heaks kiidetud ja kas juhtkond saab sisukat aruandlust.
| Auditivaade | Tõenäoline auditiküsimus | Tõendusmaterjal, mis sellele vastab |
|---|---|---|
| ISO/IEC 27001:2022 audiitor | Kas CI/CD kuulub ISMS-i kohaldamisalasse, riskihindamisse, kohaldatavusdeklaratsiooni ja operatiivsetesse kontrollidesse? | ISMS-i kohaldamisala, riskiregister, SoA kaardistus, poliitikapunktid, juurutusnäidised |
| ISO/IEC 27002:2022 kontrollide läbivaataja | Kas turvaline SDLC, keskkondade eraldamine, juurdepääsukontroll, muudatuste juhtimine ja tõendite kogumine on rakendatud? | Harukaitsemeetmed, keskkonna autentimisandmed, heakskiidud, artefaktide allkirjad, logid |
| NIS2 hindaja | Kas juhtkond on heaks kiitnud proportsionaalsed meetmed turvalise arenduse, tarneahela, juurdepääsukontrolli, intsidentide käsitlemise ja vastupidavuse jaoks? | Juhatuse protokollid, riski käsitlemise plaan, Article 21 kaardistus, intsidendi tööjuhis, tarnijakirjed |
| DORA audiitor | Kas konveier toetab IKT-riski juhtimist, kontrollitud muudatusi, seiret, testimist, intsidentidest teatamist ja IKT kolmandate osapoolte juhtimist? | IKT varade register, muudatuste kirjed, tuvastuslogid, intsidendi klassifikatsioon, teenuseosutajate register |
| GDPR läbivaataja | Kas organisatsioon suudab tõendada turvalisust ja vastutust väljalasete eest, mis mõjutavad isikuandmeid? | Privaatsusülevaatuse märkmed, testandmete kontrollid, juurdepääsulogid, rikkumise hindamise töövoog |
| NIST CSF 2.0 hindaja | Milline on konveieri praegune seisund võrreldes sihtseisundiga ning prioriseeritud parendusplaan? | CSF profiil, puudujääkide analüüs, POA&M, mõõdikud, riski aktsepteerimise kirjed |
| COBIT 2019 või ISACA audiitor | Kas rollid, vastutused, protsessikontrollid, toimivusmõõdikud ja kindlustandvad tegevused on määratletud? | RACI, kontrollimeetmete omanike loend, KPI ja KRI aruanded, siseauditi tulemused, erandiregister |
Levinud CI/CD auditileiud ja juhatuse tasandi mõõdikud
Enamik CI/CD auditileide on etteaimatavad. Esimene on seostamata tõendusmaterjal. Meeskonnal on Git logid, konveierilogid ja juurutuslogid, kuid puudub üks muudatuskirje, mis need kokku seoks. Teine on ülemääraste õigustega automatiseerimine, kus üks töö saab lugeda tootmiskeskkonna saladusi, lükata artefakte, kiita juurutusi heaks ja muuta konveieri definitsioone. Kolmas on püsivad jagatud käiturid, mis tekitavad projektidevahelise saastumise riski ja muudavad kompromiteerimise järel digikohtuekspertiisilise ulatuse määramise raskemaks.
Muud levinud puudused hõlmavad allkirjastamata või üle kirjutatud artefakte, mitteametlikke skannierandeid, tarnijapimedust ja privaatsuslekkeid logides. Hea konveier lubab erandeid, kuid nõuab heakskiitu, aegumistähtaega, riskivastutust ja läbivaatamist.
Infoturbejuhid peavad vältima juhatusele ainult skannerite loendite esitamist. Selle asemel tuleb raporteerida väljalaske usaldusmõõdikuid:
- Tootmiskeskkonna juurutuste protsent, mis on seotud heakskiidetud muudatuskirjetega.
- Tootmiskeskkonna artefaktide protsent, mis on allkirjastatud ja jälgitavad lähtekoodi commit’ideni.
- Erandite või erakorraliste heakskiitudega juurutuste arv.
- Privilegeeritud CI/CD kasutajate protsent, kellel on MFA ja hiljutine juurdepääsuõiguste ülevaatus.
- Aktiivsete pikaealiste juurutusandmete arv.
- Kriitiliste teenuste protsent, mis kasutavad kõvendatud või efemeerseid käitureid.
- Keskmine aeg konveieri saladuste tühistamiseks või roteerimiseks pärast intsidenti.
- Tarkvara tarnimist toetavate kriitiliste tarnijasõltuvuste arv.
- Auditivalimisse valitud väljalasete tõendusmaterjali täielikkuse määr.
Need mõõdikud toetavad ISO/IEC 27001:2022 juhtimist, planeerimist ja operatiivset kontrolli. Samuti toetavad need NIS2 Article 20 juhtkonna järelevalvet ja DORA juhtimisootusi.
Muutke oma konveier auditeeritavaks enne intsidenti
CI/CD konveierite turbejuhtimine 2026. aastal ei tähenda arenduse aeglustamist. See tähendab tarkvara tarnimise muutmist usaldusväärseks, vastupidavaks ja tõendatavaks. Parimad programmid kasutavad automatiseerimist tõendusmaterjali kiirendamiseks, mitte juhtimisest möödahiilimiseks.
Praktiline Clarysec’i rakendamine algab kolmest tegevusest.
- Kasutage Zenith Blueprinti Zenith Blueprint, et paigutada turvaline DevOps, lähtekoodile juurdepääs, keskkondade eraldamine ja muudatuste juhtimine oma ISO/IEC 27001:2022 rakendamise teekaardile.
- Kasutage Zenith Controlsi Zenith Controls, et kaardistada CI/CD riskid turvalise SDLC, IKT tarneahela, juurdepääsukontrolli, muudatuste juhtimise, tõendite kogumise, NIS2, DORA, GDPR, NIST CSF 2.0 ja COBIT 2019 auditivaadete lõikes.
- Võtke kasutusele Clarysec poliitikamallid, sealhulgas Turvalise arenduse poliitika, Muudatuste haldamise poliitika, Testandmete ja testkeskkonna poliitika, VKE turvalise arenduse poliitika, VKE logimise ja seire poliitika ja VKE tõendite kogumise ja digikohtuekspertiisi poliitika, et määratleda, kes kiidab väljalasked heaks, kuidas artefakte jälgitakse, kuidas käitureid kontrollitakse ja millist tõendusmaterjali tuleb säilitada.
Kui teie järgmine auditivalim algab küsimusega „näidake meile tootmiskeskkonna väljalaske jälge”, peab teie meeskond suutma vastata minutitega, mitte nädalatega. See on erinevus DevOpsi automatiseerimise ja juhitud tarkvara tarnimise vahel.
Laadige alla Clarysec poliitikakomplekt, hinnake oma CI/CD konveierit Zenith Blueprinti ja Zenith Controlsi alusel või broneerige Clarysec’i hindamine, et muuta konveier auditimure allikast digitaalse toimepidevuse nurgakiviks.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
