Число брешей безопасности в облачных ресурсах растет из-за ошибок в их конфигурациях, которые можно предотвратить. Интеграция Tenable.cs и Terraform Cloud помогает эффективно от них избавится.
Современные облачные среды очень динамичны: постоянно выпускаются обновленные версии, а рабочие нагрузки увеличиваются и уменьшаются в зависимости от спроса клиентов.
В течение нескольких минут инженеры могут запустить и развернуть нужные ресурсы в облаке. С увеличением скорости во многих случаях возрастают и риски.
Уязвимости системы, вызванные неправильной конфигурацией, часто остаются незамеченными и могут не обнаруживаться месяцами.
Как следствие, масштабы и скорость утечек данных из облачных сред растут. Только из-за неправильной конфигурации облачной инфраструктуры в период с 2018 по 2020 год в результате 200 нарушений было раскрыто более 30 миллиардов учетных записей.
Как можно снизить вероятность нарушений, вызванных неправильной конфигурацией облачных ресурсов? В этом посте мы объясним, как Tenable и HashiCorp могут помочь в решении этой проблемы с помощью новой интеграции между Tenable.cs и Terraform Cloud Run Tasks.
Введение в облачную среду и Terraform
Предоставление облачных ресурсов является ключевым аспектом развертывания облачных рабочих нагрузок.
Хотя большинство облачных провайдеров имеют свои собственные утилиты предоставления ресурсов, лучшие в своем классе инструменты, такие как Hashicorp Terraform, предлагают преимущества, выходящие за рамки того, что предлагают облачные провайдеры.
Использование Terraform, инструмента Infrastructure as Code (IaC) с открытым исходным кодом, для обеспечения инфраструктуры дает множество преимуществ для управления и эксплуатации вашей среды. HashiCorp Configuration Language (HCL) обеспечивает возможность стандартизации многократно используемых модулей инфраструктуры, которые можно использовать в разных проектах и средах. При создании инфраструктуры Terraform считывает текущее состояние среды и определяет все изменения, необходимые для приведения среды в состояние, определенное в IaC.
Это упрощает процесс управления сложными архитектурами, которые при ручном обслуживании могут быть неустойчивыми. IaC позволяет контролировать версии кода и обеспечивает лучшую видимость того, как инфраструктура была предоставлена и настроена.
Вопросы безопасности ключа Terraform
Terraform также предлагает преимущества с точки зрения безопасности.
При принудительном использовании IaC для любых изменений в вашей среде, код может быть использован для работы с брешами безопасности, которые могут быть обнаружены и устранены до использования самой инфраструктуры.
Защитные процессы могут быть внедрены также с помощью CI/CD-конвейеров или других автоматизированных средств для обеспечения соответствия вашей среды политикам безопасности.
Использование таких инструментов, как Terraform, упрощает управление инфраструктурой. Вместе с этим критические ошибки в конфигурациях облачной инфраструктуры случаются часто. Основные области, вызывающие озабоченность при управлении уязвимостями в средах Terraform, включают следующее:
· Управление «секретами»: использование Terraform требует учетные данные для авторизации любых действий API, необходимых для обеспечения инфраструктуры, указанной в вашем коде. Поскольку эти учетные данные предоставляют привилегированный доступ для создания, управления и удаления вашей среды, следует позаботиться о том, чтобы они не попали в руки неавторизованных людей или процессов.
· Управление состоянием системы: Terraform использует файл состояния для отслеживания состояния предоставленных ресурсов инфраструктуры. По умолчанию файл состояния хранится в локальной файловой системе системы, на которой выполняется Terraform. Сохранение файлов состояния вместе с исходным кодом – плохая идея, поскольку они могут содержать секреты или другую конфиденциальную информацию.
· Управление зависимостями: Terraform использует плагины, называемые «поставщиками», для взаимодействия с удаленными API для ресурсов, определенных в вашем коде. Они загружаются в систему, на которой выполняется Terraform, при выполнении команды «terraform init». Поскольку поставщики управляют мощными операциями в вашей инфраструктуре, важно загружать их из надежных источников и подтверждать, что они не были подделаны, прежде чем их использовать.
· Управление изменениями: В любой сложной корпоративной среде во время выполнения могут происходить ручные изменения с помощью механизмов «разбивания стекла» или других средств. Эти изменения вызывают отклонение, называемое «дрейфом», между средой выполнения и тем, что было определено в коде Terraform. Если не внести исправления в исходный код, команды сборки будут продолжать использовать старую версию и/или системы перестанут отвечать требованиям безопасности.
Предотвращение уязвимостей Terraform с помощью Tenable.cs
Tenable.cs — это удобная платформа безопасности облачных приложений (CNASP), которая позволяет вашей организации защищать облачные ресурсы, образы контейнеров, другие облачные активы, обеспечивая сквозную безопасность на основе IaC.
Для оценки IaC есть возможность использовать Terrascan. Terrascan – это проект с открытым исходным кодом, который был создан компанией Tenable и является основой механизма сканирования для Tenable.cs. Terrascan включает сотни политик для нескольких провайдеров, написанных на языке Rego, и оценивает неправильную конфигурацию с помощью механизма Open Policy Agent (OPA).
Эти политики можно расширить, включив в них любые стандарты, характерные для вашей среды. Чтобы обеспечить их соблюдение в рамках рабочего процесса, вы можете включить задание в конвейер CI/CD, который использует Terrascan для сканирования любых изменений в файлах HCL на предмет проблем безопасности. Если обнаружены какие-либо проблемы, задание завершится неудачей с сообщением об ошибке, указывающим, что обнаружена проблема безопасности, которую необходимо решить.
Tenable.cs позволяет группам облачных операций и безопасности оценивать шаблоны Terraform на предмет нарушений политик. Вы можете интегрировать безопасность облачной инфраструктуры в конвейер DevOps, чтобы предотвратить попадание проблем в рабочую среду. Вы также можете быстро исправить неправильные конфигурации IaC непосредственно в средствах разработки, чтобы применять политики как во время сборки, так и во время выполнения.
Особенность сбоя политики Tenable.cs для шаблона Terraform: шифрование хранилища не включено в экземпляре RDS.
Для исправления и устранения сбоя рекомендуется включить шифрование хранилища в самом шаблоне Terraform.
Эффективное дополнение: автоматические исправления с помощью задач HashiCorp Terraform Cloud Run
Команда разработчиков Tenable расширила свои возможности по обеспечению безопасности Terraform с поддержкой новых задач Terraform Cloud Run от HashiCorp.
Terraform Cloud предоставляет хостинговое решение для создания и развертывания шаблонов Terraform.
С помощью новых задач Terraform Cloud Run Tasks вы можете использовать Tenable.cs для сканирования ваших шаблонов Terraform на этапе развертывания облака.
Terraform Cloud позволяет обнаруживать любые проблемы безопасности на основе IaC с помощью Tenable.cs на этапе планирования и использования облачных ресурсов.
К тому же, знание точных шагов по устранению проблем может потребовать много времени и усилий. Именно поэтому рекомендации по устранению проблем предоставляются в рамках интеграции в виде запроса на внесение изменений в репозиторий исходного кода, связанный с рабочим пространством Terraform, чтобы помочь устранить проблемы, до того, как они на что-то повлияют .
Клиенты могут использовать более 1500 политик в Tenable.cs для выполнения глубокого сканирования в Terraform Cloud.
Источник: https://bit.ly/3Bi8lsh
