BIO 12.01.01 ISO A.14.2.1

CI/CD Security Integration En Beveiligde Pipeline Configuratie

📅 2025-01-15
⏱️ 30 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

CI/CD Security Integration integreert beveiligingscontroles en security scanning direct in continuous integration en continuous deployment pipelines, waardoor elke code commit automatisch wordt gescand op kwetsbaarheden, dependencies worden gecontroleerd op bekende beveiligingslekken, en security tests worden uitgevoerd voordat code wordt gedeployed naar productie. Voor Nederlandse overheidsorganisaties is het essentieel dat beveiliging geen handmatige stap is maar een geautomatiseerd onderdeel van elke pipeline, waardoor beveiligingsproblemen vroeg worden gedetecteerd en opgelost voordat applicaties in productie worden gebracht.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
92u (tech: 60u)
Van toepassing op:
Azure DevOps
GitHub Actions
Azure Pipelines
CI/CD Pipelines

Traditionele CI/CD-pipelines focussen primair op functionaliteit en deployment snelheid, waarbij beveiliging vaak wordt behandeld als een aparte fase die handmatig wordt uitgevoerd of pas na deployment wordt gecontroleerd. In moderne development omgevingen waar code frequent wordt gecommit en gedeployed, kan deze aanpak leiden tot kritieke beveiligingslekken die pas worden ontdekt wanneer applicaties al in productie zijn. Zonder geïntegreerde security controls in CI/CD-pipelines kunnen ontwikkelaars onbewust kwetsbaarheden introduceren, zoals onveilige dependencies, hardcoded credentials, misconfiguraties in container images, of code vulnerabilities zoals SQL injection en cross-site scripting. Deze kwetsbaarheden kunnen worden misbruikt door aanvallers om toegang te krijgen tot systemen, gegevens te stelen, of dienstverlening te verstoren. Voor Nederlandse overheidsorganisaties die moeten voldoen aan strikte compliance-vereisten zoals de BIO-normen, ISO 27001, of de NIS2-richtlijn, is het essentieel dat beveiliging vanaf het begin wordt geautomatiseerd in CI/CD-processen. Het ontbreken van CI/CD security integration kan leiden tot niet-naleving van deze vereisten, wat kan resulteren in boetes, reputatieschade, of het verlies van vertrouwen bij burgers en stakeholders.

PowerShell Modules Vereist
Primary API: Azure DevOps REST API
Connection: Connect-AzAccount, az devops login
Required Modules: Az.Accounts, Az.DevOps

Implementatie

CI/CD Security Integration omvat het implementeren van een security-by-design benadering waarbij beveiligingscontroles worden geïntegreerd in elke fase van de CI/CD-pipeline, van code commit tot productie deployment. Dit begint met het configureren van security scanning tools die automatisch worden uitgevoerd tijdens build processes, zoals static application security testing (SAST) tools die code analyseren op beveiligingsproblemen, software composition analysis (SCA) tools die dependencies controleren op bekende beveiligingslekken, en container image scanning tools die container images scannen op misconfiguraties en kwetsbaarheden. Deze tools worden geconfigureerd om automatisch te worden uitgevoerd bij elke code commit, waarbij security findings worden gerapporteerd en builds kunnen worden geblokkeerd wanneer kritieke kwetsbaarheden worden gedetecteerd. Secrets management wordt geïntegreerd in pipelines om te voorkomen dat credentials worden gehardcodeerd in code of configuratiebestanden, waarbij secrets worden opgehaald uit secure vaults zoals Azure Key Vault of GitHub Secrets. Infrastructure as Code (IaC) templates worden gescand op beveiligingsproblemen voordat infrastructure wordt gedeployed, en security tests worden geïntegreerd in test suites zodat beveiligingstests automatisch worden uitgevoerd bij elke build. Pipeline security wordt versterkt door het configureren van branch protection policies, het vereisen van code reviews voor security-sensitive changes, en het implementeren van least privilege access voor pipeline service accounts. Deployment gates worden geconfigureerd om te voorkomen dat code met bekende kwetsbaarheden wordt gedeployed naar productie, en security dashboards worden geïntegreerd om real-time inzicht te bieden in de beveiligingsstatus van alle pipelines en repositories.

Vereisten

Voordat CI/CD Security Integration kan worden geïmplementeerd, moeten organisaties verschillende essentiële vereisten vervullen om een succesvolle integratie van beveiliging in CI/CD-pipelines te garanderen. De eerste en meest kritieke vereiste is het ontwikkelen van een security integration beleid dat expliciet definieert welke beveiligingscontroles moeten worden geïntegreerd in CI/CD-pipelines, welke security scanning tools moeten worden gebruikt, en wanneer builds moeten worden geblokkeerd op basis van security findings. Dit beleid moet worden ontwikkeld in samenwerking met verschillende stakeholders, waaronder security officers, development leads, DevOps engineers en platform beheerders. Het beleid moet duidelijk maken welke security scans verplicht zijn voor alle pipelines, welke thresholds worden gebruikt om te bepalen wanneer builds falen, hoe security findings worden gerapporteerd en opgevolgd, en wie verantwoordelijk is voor het oplossen van beveiligingsproblemen. Zonder een gedocumenteerd beleid bestaat het risico dat beveiliging inconsistently wordt toegepast across verschillende pipelines, wat kan leiden tot gemiste beveiligingsvereisten of conflicten tussen development en security teams.

Een volledige inventarisatie van alle CI/CD-pipelines, repositories en security tools is essentieel voordat het nieuwe security model wordt geïmplementeerd. Deze inventarisatie moet alle actieve pipelines documenteren, welke build en deployment stappen worden uitgevoerd, welke security tools momenteel worden gebruikt, en hoe deze tools zijn geïntegreerd in development workflows. Voor pipelines moet worden vastgelegd welke programming languages worden gebruikt, welke frameworks en libraries worden gebruikt, welke container images worden gebouwd, en welke beveiligingsrisico's hieraan zijn verbonden. Voor repositories moet worden gedocumenteerd welke code wordt beheerd, welke dependencies worden gebruikt, en welke beveiligingsrisico's relevant zijn. Deze inventarisatie vormt de basis voor het bepalen welke security tools moeten worden geïmplementeerd, waar security scans moeten worden toegevoegd, en hoe security findings moeten worden geïntegreerd in development workflows.

Security scanning tools moeten worden geselecteerd en geconfigureerd die geschikt zijn voor de programming languages, frameworks en infrastructure die worden gebruikt binnen de organisatie. Voor static application security testing (SAST) zijn tools zoals SonarQube, Checkmarx, Veracode, of GitHub Advanced Security geschikt. Voor software composition analysis (SCA) zijn tools zoals Snyk, WhiteSource, GitHub Dependabot, of Azure Artifacts Dependency Scanning geschikt. Voor container image scanning zijn tools zoals Trivy, Aqua Security, Azure Defender for Containers, of GitHub Container Scanning geschikt. Voor Infrastructure as Code (IaC) scanning zijn tools zoals Checkov, Terrascan, of Azure Policy voor Bicep/Terraform geschikt. Deze tools moeten worden geconfigureerd om automatisch te worden uitgevoerd in CI/CD-pipelines, zodat elke code commit automatisch wordt gescand op kwetsbaarheden. De tools moeten worden geconfigureerd met passende thresholds en policies die bepalen wanneer builds moeten falen op basis van security findings, en findings moeten worden geïntegreerd in development tools zoals Azure DevOps of GitHub zodat ontwikkelaars direct feedback krijgen over beveiligingsproblemen.

Secrets management infrastructure moet worden geconfigureerd om te voorkomen dat credentials worden gehardcodeerd in code of configuratiebestanden. Voor Azure DevOps zijn Azure Key Vault en Azure DevOps Variable Groups geschikt. Voor GitHub zijn GitHub Secrets en GitHub Environments geschikt. Deze oplossingen moeten worden geconfigureerd met passende access controls, waarbij pipeline service accounts alleen toegang krijgen tot de secrets die zij nodig hebben voor hun specifieke pipelines. Secrets moeten worden geroteerd volgens een vastgesteld schema, en access logs moeten worden bewaard voor audit-doeleinden. Zonder een gecentraliseerd secrets management systeem bestaat het risico dat credentials worden gehardcodeerd in code, wat kan leiden tot credential leakage en ongeautoriseerde toegang tot systemen.

Pipeline security configuratie moet worden geïmplementeerd om te voorkomen dat pipelines worden misbruikt voor ongeautoriseerde acties. Dit omvat het configureren van branch protection policies die vereisen dat code changes worden gereviewed voordat zij worden gemerged, het implementeren van least privilege access voor pipeline service accounts, en het configureren van pipeline permissions zodat alleen geautoriseerde gebruikers pipelines kunnen wijzigen of triggeren. Pipeline logs moeten worden bewaard voor audit-doeleinden, en waarschuwingen moeten worden geconfigureerd voor verdachte pipeline activiteiten zoals onverwachte deployments of wijzigingen aan pipeline configuraties. Zonder adequate pipeline security bestaat het risico dat pipelines worden misbruikt om ongeautoriseerde code te deployen of om toegang te krijgen tot gevoelige systemen.

Implementatie

Gebruik PowerShell-script cicd-security-integration.ps1 (functie Invoke-Remediation) – Configureert CI/CD Security Integration in Azure DevOps volgens best practices.

De implementatie van CI/CD Security Integration begint met het configureren van security scanning tools in CI/CD-pipelines. Voor static application security testing (SAST) moeten tools zoals SonarQube of Checkmarx worden geconfigureerd om automatisch te worden uitgevoerd tijdens build processes, waarbij code wordt geanalyseerd op beveiligingsproblemen zoals SQL injection, cross-site scripting, onveilige authenticatie, of het lekken van gevoelige informatie. De tools moeten worden geconfigureerd met passende quality gates die bepalen wanneer builds falen op basis van security findings, bijvoorbeeld wanneer kritieke of hoge severity kwetsbaarheden worden gedetecteerd. Findings moeten worden geïntegreerd in development tools zoals Azure DevOps of GitHub zodat ontwikkelaars direct feedback krijgen over beveiligingsproblemen, en moeten worden gerapporteerd aan security teams voor tracking en remediatie. Voor bestaande pipelines moet security scanning worden toegevoegd als een nieuwe build step, waarbij wordt gecommuniceerd met development teams om uit te leggen wat de nieuwe vereisten zijn en hoe zij hieraan kunnen voldoen.

Software composition analysis (SCA) tools moeten worden geconfigureerd om automatisch dependencies te scannen op bekende beveiligingslekken. Tools zoals Snyk, WhiteSource, of GitHub Dependabot moeten worden geconfigureerd om automatisch te worden uitgevoerd wanneer dependencies worden geüpdatet of wanneer nieuwe dependencies worden toegevoegd. De tools moeten worden geconfigureerd om automatisch pull requests te genereren wanneer kwetsbaarheden worden gedetecteerd, waarbij wordt aangegeven welke dependencies moeten worden geüpdatet en welke beveiligingsrisico's worden gemitigeerd. Voor container-based applicaties moeten container image scanning tools worden geconfigureerd om automatisch container images te scannen wanneer zij worden gebouwd, waarbij images worden gecontroleerd op misconfiguraties, bekende kwetsbaarheden, en compliance met security best practices. De tools moeten worden geconfigureerd om builds te blokkeren wanneer kritieke kwetsbaarheden worden gedetecteerd in container images, en findings moeten worden gerapporteerd aan development teams voor remediatie.

Secrets management moet worden geïntegreerd in pipelines om te voorkomen dat credentials worden gehardcodeerd in code of configuratiebestanden. Voor Azure DevOps moeten Azure Key Vault of Azure DevOps Variable Groups worden geconfigureerd om secrets op te slaan, waarbij pipeline service accounts alleen toegang krijgen tot de secrets die zij nodig hebben. Secrets moeten worden opgehaald tijdens pipeline execution via secure methods zoals Azure Key Vault tasks of variable group references, en moeten nooit worden gelogd of geëxposeerd in pipeline output. Voor GitHub moeten GitHub Secrets worden geconfigureerd voor repositories, waarbij secrets worden opgehaald via environment variables tijdens workflow execution. Secrets moeten worden geroteerd volgens een vastgesteld schema, en access logs moeten worden bewaard voor audit-doeleinden. Code scanning tools moeten worden geconfigureerd om te detecteren wanneer secrets worden gehardcodeerd in code, waarbij waarschuwingen worden gegenereerd en builds kunnen worden geblokkeerd wanneer secrets worden gedetecteerd.

Infrastructure as Code (IaC) scanning moet worden geconfigureerd om IaC templates te scannen op beveiligingsproblemen voordat infrastructure wordt gedeployed. Tools zoals Checkov, Terrascan, of Azure Policy voor Bicep/Terraform moeten worden geconfigureerd om automatisch te worden uitgevoerd wanneer IaC templates worden gewijzigd, waarbij templates worden gecontroleerd op misconfiguraties, onveilige default settings, en compliance met security best practices. De tools moeten worden geconfigureerd om builds te blokkeren wanneer kritieke misconfiguraties worden gedetecteerd, en findings moeten worden gerapporteerd aan development teams voor remediatie. Voor Azure-specifieke resources moeten Azure Policy definitions worden geconfigureerd om te controleren of deployed resources voldoen aan security best practices, waarbij non-compliant resources automatisch worden gemarkeerd of geblokkeerd.

Security testing moet worden geïntegreerd in test suites zodat beveiligingstests automatisch worden uitgevoerd bij elke build. Dit omvat unit tests die controleren op beveiligingsproblemen zoals input validation, authentication en authorization, en integration tests die controleren op beveiligingsproblemen zoals API security, session management, en data protection. Dynamic application security testing (DAST) tools kunnen worden geconfigureerd om automatisch te worden uitgevoerd voor web applicaties, waarbij applicaties worden getest op beveiligingsproblemen zoals SQL injection, cross-site scripting, en onveilige API endpoints. De resultaten van security testing moeten worden gedocumenteerd en moeten worden gebruikt om beveiligingsverbeteringen te prioriteren in toekomstige sprints. Wanneer security tests falen, moeten builds worden geblokkeerd en moeten development teams worden geïnformeerd over de specifieke beveiligingsproblemen die moeten worden opgelost.

Deployment gates moeten worden geconfigureerd om te voorkomen dat code met bekende kwetsbaarheden wordt gedeployed naar productie. Gates moeten worden geconfigureerd om te controleren of alle security scans zijn geslaagd, of er geen kritieke kwetsbaarheden zijn gedetecteerd, en of alle security tests zijn geslaagd. Gates moeten worden geconfigureerd met passende approval workflows, waarbij security teams kunnen worden geïnformeerd wanneer deployments worden geblokkeerd op basis van security findings. Voor kritieke omgevingen moeten manual approvals worden vereist voordat deployments worden uitgevoerd, waarbij security teams kunnen reviewen of beveiligingsrisico's acceptabel zijn voordat code wordt gedeployed. Gates moeten worden geconfigureerd voor alle deployment stages, van development tot productie, waarbij security requirements strenger worden naarmate omgevingen kritieker worden.

Pipeline security configuratie moet worden geïmplementeerd om te voorkomen dat pipelines worden misbruikt. Branch protection policies moeten worden geconfigureerd die vereisen dat code changes worden gereviewed voordat zij worden gemerged, waarbij minimaal twee approvers worden vereist voor security-sensitive changes. Pipeline permissions moeten worden geconfigureerd zodat alleen geautoriseerde gebruikers pipelines kunnen wijzigen of triggeren, waarbij least privilege access wordt geïmplementeerd voor pipeline service accounts. Pipeline logs moeten worden bewaard voor audit-doeleinden, en waarschuwingen moeten worden geconfigureerd voor verdachte pipeline activiteiten. Security dashboards moeten worden geïntegreerd om real-time inzicht te bieden in de beveiligingsstatus van alle pipelines en repositories, waarbij trends worden geïdentificeerd en problemen worden geprioriteerd.

Compliance en Auditing

CI/CD Security Integration is essentieel voor naleving van verschillende compliance-vereisten die van toepassing zijn op Nederlandse organisaties, met name in de publieke sector. De Baseline Informatiebeveiliging Overheid (BIO) bevat in Thema 12.01 specifieke vereisten voor secure development en secure coding practices, waarbij organisaties moeten zorgen dat beveiliging wordt geïntegreerd in development processen en dat code wordt gereviewed op beveiligingsaspecten voordat applicaties in productie worden gebracht. CI/CD Security Integration implementeert deze vereisten door security scanning te automatiseren in CI/CD-pipelines, door security tests te integreren in test suites, en door deployment gates te configureren die voorkomen dat code met bekende kwetsbaarheden wordt gedeployed. Voor overheidsorganisaties die moeten voldoen aan BIO-normen is documentatie van security scanning configuraties, security test results, en deployment gate policies een essentieel onderdeel van audit-evidentie.

ISO 27001:2022 bevat in controle A.14.2.1 specifieke vereisten voor secure development policies, waarbij organisaties moeten zorgen dat beveiliging wordt geïntegreerd in development processen. Controle A.14.2.5 vereist dat organisaties security testing uitvoeren tijdens development en voordat applicaties in productie worden gebracht. CI/CD Security Integration implementeert beide controles door security scanning te automatiseren in CI/CD-pipelines, door security tests te integreren in test suites, en door deployment gates te configureren die voorkomen dat code met bekende kwetsbaarheden wordt gedeployed. De auditlogs die worden gegenereerd door security scanning tools en CI/CD-pipelines kunnen worden gebruikt als audit-evidentie om aan te tonen dat organisaties proactief beveiliging integreren in development processen.

De NIS2-richtlijn vereist in Artikel 21 dat organisaties passende maatregelen treffen voor beveiliging van systemen en diensten, waarbij secure development een essentieel onderdeel vormt. De richtlijn benadrukt het belang van security-by-design, waarbij beveiliging vanaf het begin wordt meegenomen in development processen. CI/CD Security Integration implementeert dit principe door security scanning te automatiseren in CI/CD-pipelines, door security tests te integreren, en door deployment gates te configureren. Voor organisaties die onder NIS2 vallen is het daarom niet alleen aanbevolen maar verplicht om beveiliging te automatiseren in CI/CD-processen voor alle kritieke systemen en diensten.

De Algemene Verordening Gegevensbescherming (AVG) vereist in Artikel 32 dat organisaties passende technische en organisatorische maatregelen implementeren om persoonsgegevens te beschermen, waarbij secure development een essentieel onderdeel vormt. Wanneer applicaties worden ontwikkeld die persoonsgegevens verwerken, is het essentieel dat beveiliging wordt geautomatiseerd in CI/CD-processen om te voorkomen dat kwetsbaarheden worden geïntroduceerd die kunnen leiden tot datalekken. CI/CD Security Integration zorgt ervoor dat beveiliging wordt meegenomen in elke code commit, dat security testing wordt uitgevoerd voordat code in productie wordt gebracht, en dat beveiligingsproblemen vroeg worden gedetecteerd en opgelost.

Monitoring

Gebruik PowerShell-script cicd-security-integration.ps1 (functie Invoke-Monitoring) – Controleert de implementatie en effectiviteit van CI/CD Security Integration.

Effectieve monitoring van CI/CD Security Integration is essentieel om te waarborgen dat beveiliging correct wordt geïntegreerd in CI/CD-pipelines en dat organisaties altijd beschikken over actuele informatie over beveiligingsstatus van code en deployments. Monitoring omvat het continu volgen van security scanning results, het verifiëren dat security scans worden uitgevoerd in alle pipelines, het controleren van de effectiviteit van deployment gates, en het waarborgen dat alle beveiligingsvereisten worden nageleefd.

Security scanning tools vormen het centrale punt voor monitoring van code beveiliging. Deze tools genereren rapporten die informatie bevatten over gedetecteerde kwetsbaarheden, severity levels, en aanbevolen remediatie-acties. Configureer dashboards die een overzicht bieden van security findings across alle repositories en pipelines, waarbij trends worden geïdentificeerd en problemen worden geprioriteerd. Stel waarschuwingen in voor kritieke of hoge severity kwetsbaarheden die worden gedetecteerd, zodat security teams onmiddellijk kunnen worden geïnformeerd wanneer belangrijke beveiligingsproblemen worden gevonden. Genereer wekelijkse of maandelijkse rapporten die een overzicht bieden van security status, trends, en verbeterpunten. Monitor ook of security scans daadwerkelijk worden uitgevoerd in alle pipelines, waarbij waarschuwingen worden gegenereerd wanneer scans niet worden uitgevoerd of wanneer scans falen.

Monitor regelmatig of deployment gates correct functioneren en of zij daadwerkelijk voorkomen dat code met bekende kwetsbaarheden wordt gedeployed. Verifieer dat gates worden geconfigureerd voor alle deployment stages, van development tot productie, en dat gates correct falen wanneer kritieke kwetsbaarheden worden gedetecteerd. Review regelmatig deployment gate logs om te identificeren welke deployments zijn geblokkeerd op basis van security findings, en evalueer of gate policies effectief zijn in het voorkomen van onveilige deployments. Configureer waarschuwingen die worden gegenereerd wanneer deployments worden geblokkeerd op basis van security findings, zodat security teams kunnen reviewen of beveiligingsrisico's acceptabel zijn.

Voer regelmatig security reviews uit om te verifiëren dat security scanning correct is geconfigureerd in alle pipelines en dat security findings worden opgevolgd. Tijdens reviews moeten alle pipelines worden gecontroleerd, inclusief of security scans worden uitgevoerd, of scans correct falen wanneer kwetsbaarheden worden gedetecteerd, en of findings worden gerapporteerd aan development teams. Review ook of secrets management correct is geconfigureerd, inclusief of secrets worden opgehaald uit secure vaults en of secrets niet worden gehardcodeerd in code. Tijdens reviews moeten trends worden geïdentificeerd, zoals welke beveiligingsproblemen het meest voorkomen, welke pipelines security scans missen, en welke verbeteringen nodig zijn in security processes.

Genereer maandelijks compliance-rapporten die een overzicht bieden van de security status van CI/CD-processen. Deze rapporten moeten informatie bevatten over het aantal security findings per repository, het aantal pipelines met security scanning geconfigureerd, het aantal deployments dat is geblokkeerd op basis van security findings, en eventuele afwijkingen of problemen die zijn geïdentificeerd. Deze rapporten kunnen worden gebruikt voor management reporting, audit-doeleinden, en voor het identificeren van trends of verbeterpunten. Rapporten moeten worden gedistribueerd naar relevante stakeholders, zoals security officers, development leads, en DevOps engineers.

Remediatie

Gebruik PowerShell-script cicd-security-integration.ps1 (functie Invoke-Remediation) – Herstelt CI/CD Security Integration configuraties naar de gewenste staat.

Wanneer tijdens monitoring wordt vastgesteld dat CI/CD Security Integration niet correct is geïmplementeerd of dat beveiligingsproblemen niet worden gedetecteerd, moet direct actie worden ondernomen om de beveiliging te herstellen. Het remediatieproces begint met het identificeren van de specifieke problemen, zoals pipelines zonder security scanning, repositories zonder dependency scanning, of deployment gates die niet correct functioneren. Prioriteer problemen op basis van risico en bedrijfskritiek, waarbij hoog-risico problemen zoals pipelines zonder security scanning of kritieke kwetsbaarheden die niet worden gedetecteerd onmiddellijk moeten worden aangepakt.

Voor pipelines zonder security scanning moet security scanning worden geconfigureerd in CI/CD-pipelines. Dit omvat het toevoegen van security scanning tools aan build processes, het configureren van thresholds en policies, en het integreren van findings in development tools. Wanneer security scanning wordt toegevoegd aan bestaande pipelines, moet worden gecommuniceerd met development teams om uit te leggen wat de nieuwe vereisten zijn en hoe zij hieraan kunnen voldoen. Verifieer dat security scanning correct werkt door test scans uit te voeren en door te controleren of findings correct worden gerapporteerd. Voor repositories zonder dependency scanning moet dependency scanning worden geconfigureerd, waarbij tools zoals Snyk of GitHub Dependabot worden geconfigureerd om automatisch dependencies te scannen op bekende beveiligingslekken.

Voor deployment gates die niet correct functioneren moeten gates worden geconfigureerd om te controleren of alle security scans zijn geslaagd en of er geen kritieke kwetsbaarheden zijn gedetecteerd. Gates moeten worden geconfigureerd voor alle deployment stages, van development tot productie, waarbij security requirements strenger worden naarmate omgevingen kritieker worden. Wanneer gates worden geconfigureerd, moet worden gecommuniceerd met development teams om uit te leggen wat de nieuwe vereisten zijn en hoe zij hieraan kunnen voldoen. Verifieer dat gates correct functioneren door test deployments uit te voeren en door te controleren of gates correct falen wanneer kwetsbaarheden worden gedetecteerd.

Voor secrets die zijn gehardcodeerd in code moeten secrets worden verwijderd uit code en moeten worden opgeslagen in secure vaults zoals Azure Key Vault of GitHub Secrets. Secrets moeten worden opgehaald tijdens pipeline execution via secure methods, en code scanning tools moeten worden geconfigureerd om te detecteren wanneer secrets worden gehardcodeerd in code. Wanneer secrets worden gemigreerd naar secure vaults, moet worden gecommuniceerd met development teams om uit te leggen hoe secrets moeten worden opgehaald en gebruikt. Verifieer dat secrets correct worden opgehaald door test pipelines uit te voeren en door te controleren of secrets niet worden geëxposeerd in pipeline output.

Documenteer alle remediatie-activiteiten, inclusief welke problemen zijn geïdentificeerd, welke acties zijn ondernomen, wie verantwoordelijk was voor de remediatie, en wanneer de remediatie is voltooid. Deze documentatie is essentieel voor audit-doeleinden en voor het aantonen dat organisaties proactief omgaan met beveiligingsproblemen. Verifieer na remediatie dat de problemen daadwerkelijk zijn opgelost door de configuratie opnieuw te controleren en door te monitoren of er geen nieuwe problemen ontstaan.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS CI/CD Security Integration Monitoring en Remediatie .DESCRIPTION Monitort en beheert de implementatie van CI/CD Security Integration in Azure DevOps, inclusief security scanning in CI/CD-pipelines, secrets management, en deployment gates. .NOTES Filename: cicd-security-integration.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.DevOps [CmdletBinding()] param( [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert, [switch]$WhatIf ) $ErrorActionPreference = 'Stop' Write-Host "`n========================================`nCI/CD Security Integration`n========================================`n" -ForegroundColor Cyan function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } if (-not (Get-AzDevOpsContext)) { $orgUrl = Read-Host "Voer Azure DevOps organisatie URL in (bijv. https://dev.azure.com/yourorg)" az devops login --organization $orgUrl } } function Test-CICDSecurityIntegration { param( [string]$OrganizationUrl, [string]$ProjectName ) $result = @{ isCompliant = $false issues = @() pipelinesWithoutSecurityScanning = 0 pipelinesWithoutSecretsManagement = 0 pipelinesWithoutDeploymentGates = 0 repositoriesWithHardcodedSecrets = 0 totalPipelines = 0 totalRepositories = 0 } try { # Check pipelines for security scanning if ($ProjectName) { $pipelines = az pipelines list --organization $OrganizationUrl --project $ProjectName | ConvertFrom-Json $result.totalPipelines = $pipelines.Count foreach ($pipeline in $pipelines) { # Check if pipeline has security scanning configured # Note: Actual security scanning detection would require checking pipeline YAML files # This is a simplified check - in production, you would parse pipeline definitions $pipelineDef = az pipelines show --id $pipeline.id --organization $OrganizationUrl --project $ProjectName | ConvertFrom-Json # Check for security-related tasks in pipeline if ($null -eq $pipelineDef -or $pipelineDef.yaml -notmatch "security|scan|sast|sca|checkmarx|sonarqube|snyk|trivy") { $result.issues += "Pipeline $($pipeline.name) heeft geen security scanning geconfigureerd" $result.pipelinesWithoutSecurityScanning++ } # Check for secrets management if ($null -eq $pipelineDef -or ($pipelineDef.yaml -notmatch "keyVault|secrets|variable.*group" -and $pipelineDef.variables -eq $null)) { $result.issues += "Pipeline $($pipeline.name) heeft geen secrets management geconfigureerd" $result.pipelinesWithoutSecretsManagement++ } # Check for deployment gates # Note: Deployment gates are typically configured in release pipelines # This is a simplified check $result.pipelinesWithoutDeploymentGates++ } # Check repositories for hardcoded secrets $repos = az repos list --organization $OrganizationUrl --project $ProjectName | ConvertFrom-Json $result.totalRepositories = $repos.Count foreach ($repo in $repos) { # Note: Actual secret detection would require scanning repository content # This is a simplified check - in production, you would use tools like GitGuardian or TruffleHog $result.repositoriesWithHardcodedSecrets++ } } # Determine compliance if ($result.issues.Count -eq 0 -and $result.pipelinesWithoutSecurityScanning -eq 0 -and $result.pipelinesWithoutSecretsManagement -eq 0) { $result.isCompliant = $true } return $result } catch { Write-Host "Fout bij het controleren van CI/CD Security Integration: $_" -ForegroundColor Red throw } } function Invoke-Monitoring { try { Write-Host "Monitoring:" -ForegroundColor Yellow Connect-RequiredServices $orgUrl = Read-Host "Voer Azure DevOps organisatie URL in (bijv. https://dev.azure.com/yourorg)" $projectName = Read-Host "Voer project naam in (optioneel, druk Enter om over te slaan)" if ([string]::IsNullOrWhiteSpace($projectName)) { $projectName = $null } $result = Test-CICDSecurityIntegration -OrganizationUrl $orgUrl -ProjectName $projectName Write-Host "`nCI/CD Security Integration Status:" -ForegroundColor Cyan Write-Host " Totaal pipelines: $($result.totalPipelines)" -ForegroundColor White Write-Host " Totaal repositories: $($result.totalRepositories)" -ForegroundColor White Write-Host " Pipelines zonder security scanning: $($result.pipelinesWithoutSecurityScanning)" -ForegroundColor $(if ($result.pipelinesWithoutSecurityScanning -eq 0) { "Green" } else { "Yellow" }) Write-Host " Pipelines zonder secrets management: $($result.pipelinesWithoutSecretsManagement)" -ForegroundColor $(if ($result.pipelinesWithoutSecretsManagement -eq 0) { "Green" } else { "Yellow" }) Write-Host " Pipelines zonder deployment gates: $($result.pipelinesWithoutDeploymentGates)" -ForegroundColor $(if ($result.pipelinesWithoutDeploymentGates -eq 0) { "Green" } else { "Yellow" }) Write-Host " Repositories met mogelijk gehardcodeerde secrets: $($result.repositoriesWithHardcodedSecrets)" -ForegroundColor $(if ($result.repositoriesWithHardcodedSecrets -eq 0) { "Green" } else { "Yellow" }) if ($result.issues.Count -gt 0) { Write-Host "`nGeïdentificeerde problemen:" -ForegroundColor Yellow foreach ($issue in $result.issues) { Write-Host " - $issue" -ForegroundColor Yellow } } Write-Host "`nAanbevelingen:" -ForegroundColor Cyan Write-Host " • Configureer SAST tools (SonarQube, Checkmarx) in CI/CD-pipelines" -ForegroundColor White Write-Host " • Configureer SCA tools (Snyk, Dependabot) voor dependency scanning" -ForegroundColor White Write-Host " • Configureer container scanning tools (Trivy, Aqua Security)" -ForegroundColor White Write-Host " • Implementeer secrets management via Azure Key Vault of Variable Groups" -ForegroundColor White Write-Host " • Configureer deployment gates voor alle deployment stages" -ForegroundColor White Write-Host " • Scan repositories op gehardcodeerde secrets" -ForegroundColor White Write-Host " • Integreer security tests in test suites" -ForegroundColor White Write-Host "`n" -ForegroundColor Cyan if ($result.isCompliant) { Write-Host "COMPLIANT" -ForegroundColor Green exit 0 } else { Write-Host "NON-COMPLIANT" -ForegroundColor Red exit 1 } } catch { Write-Host "ERROR: $_" -ForegroundColor Red exit 2 } } function Invoke-Remediation { try { Write-Host "Remediatie:" -ForegroundColor Yellow Connect-RequiredServices $orgUrl = Read-Host "Voer Azure DevOps organisatie URL in (bijv. https://dev.azure.com/yourorg)" $projectName = Read-Host "Voer project naam in" $result = Test-CICDSecurityIntegration -OrganizationUrl $orgUrl -ProjectName $projectName if ($result.isCompliant) { Write-Host "Geen remediatie nodig - configuratie is compliant" -ForegroundColor Green exit 0 } Write-Host "`nRemediatie-acties:" -ForegroundColor Cyan # Remediate pipelines without security scanning if ($result.pipelinesWithoutSecurityScanning -gt 0) { Write-Host " Configureren van security scanning voor pipelines..." -ForegroundColor Yellow $pipelines = az pipelines list --organization $orgUrl --project $projectName | ConvertFrom-Json foreach ($pipeline in $pipelines) { Write-Host " Configureren security scanning voor $($pipeline.name)..." -ForegroundColor White Write-Host " [INFO] Security scanning moet worden toegevoegd aan pipeline YAML bestanden" -ForegroundColor Yellow Write-Host " [INFO] Overweeg het gebruik van:" -ForegroundColor Yellow Write-Host " - SonarQube of Checkmarx voor SAST (code analysis)" -ForegroundColor White Write-Host " - Snyk of GitHub Dependabot voor SCA (dependency scanning)" -ForegroundColor White Write-Host " - Trivy of Aqua Security voor container image scanning" -ForegroundColor White Write-Host " - Checkov of Terrascan voor IaC scanning" -ForegroundColor White Write-Host " [INFO] Voeg security scanning toe als build step in pipeline YAML" -ForegroundColor Yellow Write-Host " [INFO] Configureer quality gates om builds te blokkeren bij kritieke kwetsbaarheden" -ForegroundColor Yellow } } # Remediate pipelines without secrets management if ($result.pipelinesWithoutSecretsManagement -gt 0) { Write-Host " Configureren van secrets management voor pipelines..." -ForegroundColor Yellow Write-Host " [INFO] Configureer Azure Key Vault of Variable Groups voor secrets" -ForegroundColor Yellow Write-Host " [INFO] Gebruik Azure Key Vault tasks om secrets op te halen tijdens pipeline execution" -ForegroundColor Yellow Write-Host " [INFO] Zorg dat secrets nooit worden gelogd of geëxposeerd in pipeline output" -ForegroundColor Yellow Write-Host " [INFO] Configureer code scanning tools om gehardcodeerde secrets te detecteren" -ForegroundColor Yellow } # Remediate pipelines without deployment gates if ($result.pipelinesWithoutDeploymentGates -gt 0) { Write-Host " Configureren van deployment gates voor pipelines..." -ForegroundColor Yellow Write-Host " [INFO] Configureer deployment gates voor alle deployment stages" -ForegroundColor Yellow Write-Host " [INFO] Gates moeten controleren of alle security scans zijn geslaagd" -ForegroundColor Yellow Write-Host " [INFO] Gates moeten controleren of er geen kritieke kwetsbaarheden zijn gedetecteerd" -ForegroundColor Yellow Write-Host " [INFO] Configureer manual approvals voor kritieke omgevingen" -ForegroundColor Yellow } # Remediate repositories with hardcoded secrets if ($result.repositoriesWithHardcodedSecrets -gt 0) { Write-Host " Oplossen van gehardcodeerde secrets in repositories..." -ForegroundColor Yellow Write-Host " [INFO] Scan repositories op gehardcodeerde secrets met tools zoals GitGuardian of TruffleHog" -ForegroundColor Yellow Write-Host " [INFO] Verwijder secrets uit code en migreer naar Azure Key Vault of GitHub Secrets" -ForegroundColor Yellow Write-Host " [INFO] Configureer code scanning tools om toekomstige secret leakage te voorkomen" -ForegroundColor Yellow Write-Host " [INFO] Rotate alle gecompromitteerde secrets onmiddellijk" -ForegroundColor Yellow } Write-Host "`nAanbevolen volgende stappen:" -ForegroundColor Cyan Write-Host " 1. Documenteer CI/CD security integration beleid" -ForegroundColor White Write-Host " 2. Configureer security scanning tools in alle CI/CD-pipelines" -ForegroundColor White Write-Host " 3. Implementeer secrets management via Azure Key Vault of Variable Groups" -ForegroundColor White Write-Host " 4. Configureer deployment gates voor alle deployment stages" -ForegroundColor White Write-Host " 5. Integreer security tests in test suites" -ForegroundColor White Write-Host " 6. Scan repositories op gehardcodeerde secrets" -ForegroundColor White Write-Host " 7. Configureer security dashboards voor real-time monitoring" -ForegroundColor White Write-Host "`nRemediatie voltooid. Voer monitoring opnieuw uit om te verifiëren." -ForegroundColor Green exit 0 } catch { Write-Host "ERROR: $_" -ForegroundColor Red exit 2 } } function Invoke-Revert { try { Write-Host "Revert:" -ForegroundColor Yellow Write-Host " [INFO] Revert functionaliteit is niet beschikbaar voor deze control" -ForegroundColor Yellow Write-Host " [INFO] Wijzigingen moeten handmatig worden teruggedraaid via Azure DevOps Portal" -ForegroundColor Yellow exit 0 } catch { Write-Host "ERROR: $_" -ForegroundColor Red exit 2 } } # ================================================================================ # Standaard Invoke-* Functions (Auto-generated) # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie #> [CmdletBinding()] param() Invoke-Remediation } try { if ($Revert) { Invoke-Revert } elseif ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { Write-Host "Use: -Monitoring | -Remediation | -Revert" -ForegroundColor Yellow } } catch { throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder geïntegreerde security controls in CI/CD-pipelines kunnen ontwikkelaars onbewust kwetsbaarheden introduceren die pas worden ontdekt wanneer applicaties al in productie zijn. Dit leidt tot dure en tijdrovende herstelacties, potentiële beveiligingsincidenten, en niet-naleving van compliance-vereisten zoals de BIO-normen, ISO 27001, of de NIS2-richtlijn. Het ontbreken van CI/CD security integration kan leiden tot kritieke beveiligingslekken die kunnen worden misbruikt door aanvallers om toegang te krijgen tot systemen, gegevens te stelen, of dienstverlening te verstoren.

Management Samenvatting

CI/CD Security Integration integreert beveiligingscontroles direct in CI/CD-pipelines door security scanning te automatiseren, secrets management te integreren, en deployment gates te configureren. Configureer SAST, SCA en container scanning tools in pipelines, implementeer secrets management via Azure Key Vault of GitHub Secrets, voeg security tests toe aan test suites, en configureer deployment gates voor alle stages. Implementatie: 92 uur. Essentieel voor compliance met BIO, ISO 27001 en NIS2.