Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 部落格

訂閱

利用 Tenable.cs 和 HashiCorp Terraform Cloud 管理與修復雲端基礎架構錯誤設定弱點

利用 Tenable.cs 和 HashiCorp Terraform Cloud 管理與修復雲端基礎架構錯誤設定弱點

因可預防的錯誤設定而造成的雲端資安外洩事件愈來愈常發生。 以下是您如何利用 Tenable.cs 與 Terraform Cloud 之間的全新整合功能降低風險的方式。

今日的雲端環境十分機動,不斷有新的軟體更新發布至生產環境,而依據客戶需求,工作負載也隨時在調整大小。 在幾分鐘內,工程師就能讓它們運作並將資源完全部署至雲端。不過就在速度加快數倍的同時,風險也隨之攀升。 因錯誤設定造成的系統弱點最常被輕忽,而且可能經過好幾個月的時間都沒有偵測出來。 因此,雲端資安外洩的規模和速度就不斷加劇。在 2018 年至 2020 年間,光是因雲端基礎架構錯誤設定造成的 200 起資安外洩事件中,就讓超過 300 億筆記錄遭到曝露。

您要如何降低因雲端錯誤設定造成的資安外洩機率?在本貼文中,我們將說明 Tenable 和 HashiCorp 如何透過 Tenable.cs 與 Terraform Cloud Run Tasks 最新的整合功能協助解決該問題。

雲端佈建與 Terraform 簡介

雲端資源佈建是部署雲端工作負載的關鍵層面。雖然大多數的雲端供應商都有自己的佈建工具程式,但業界最佳的工具 (如 Hashicorp Terraform) 可提供比雲端供應商更優異的效益。使用 Terraform 這套開放原始碼基礎架構即程式碼 (IaC) 工具來佈建基礎架構,可提供許多管理和操作您環境的優勢。Hashicorp Configuration Language (HCL) 能將可重複使用的基礎架構模組加以標準化,跨不同專案及環境使用。在建置基礎架構時,Terraform 會讀取目前的環境狀態並判斷將環境設定為您的 IaC 定義之狀態所需的一切變更。這樣可簡化管理複雜架構的流程,複雜的流程若採手動維護可能容易遭到破壞。IaC 能讓程式碼受到版本控制,並為基礎架構的佈建與設定方式提供更佳的能見度。

Terraform 的主要安全考量

Terraform 也提供了安全方面的優勢。使用基礎架構佈建工作流程可保護環境、解決資安問題。因應環境異動而強制使用 IaC 時可評估程式碼,確保在佈建基礎架構前可偵測出任何安全缺失並加以緩解。安全或操作方面的防護措施都可加以程式碼化並透過 CI/CD 工作流程、管道或其他自動化方式強制執行,確保企業環境符合企業制定的原則。

雖然使用像是 Terraform 的工具能簡化管理基礎架構的工作,但還是經常會發生雲端基礎架構的重大錯誤設定。Terraform 環境弱點管理的重要考量部分包括:

  • 密碼管理: Terraform 需要憑證來授權佈建任何您程式碼中指定的基礎架構必要的 API 動作。由於這些憑證可提供特殊存取權限,能夠建立、管理甚至摧毀您的環境,因此要特別留意,確保它們不會向未經授權的人員或流程曝露。
  • 系統狀態管理:Terraform 會使用狀態檔案來記錄佈建之基礎架構資源的狀態。在預設情況下,狀態檔案儲存在 Terraform 執行所在的系統本機檔案內。將狀態檔案與原始程式碼存放在一起並不保險,因為這些檔案可能內含私密金鑰或其他機密資訊。
  • 相依性管理: Terraform 會使用名為「提供者」的外掛程式來與程式碼中定義之資源所用的遠端 API 互動。執行「terraform init」命令時,會將這些外掛程式下載至執行 Terraform 的系統。由於提供者可對基礎架構執行影響甚鉅的操作,因此請務必從受信任的來源下載這些外掛程式,同時在使用前確認它們未遭到竄改。
  • 偏移管理: 在任何複雜的企業環境中,都有可能在執行階段透過「緊急因應流程」機制或其他方式進行手動變​更。這些變更會與原本的架構有所偏差,造成執行階段環境與 Terraform 程式碼定義之間的「偏移」。如果在原始程式碼中沒有更正,建構團隊就會繼續使用舊版本,因而系統將不再符合安全要求。 

如需更多有關 Terraform 重要安全考量的資訊,歡迎閱讀「專為 DevOps 設計的 Terraform 安全指南」白皮書。

利用 Tenable.cs 預防 Terraform 弱點

Tenable.cs 是一套專為開發人員設計的雲端原生應用程式保護平台 (CNAPP),它能讓貴公司保障雲端資源、容器映像和雲端資產,提供從程式碼到雲端再到工作負載的端對端安全性。要強制執行最佳做法,您可以使用靜態程式碼分析工具 (如 Terrascan) 來評估程式碼。 Terrascan 是一項由 Tenable 建立的開放原始碼專案,它也是 Tenable.cs 掃描引擎的基石。Terrascan 包含以 Rego 語言撰寫、通用於多個提供者的數以百計原則,它使用 Open Policy Agent (OPA) 引擎來評估錯誤設定。這些原則可加以延伸,使其囊括企業環境特有的標準。若要在工作流程中強制執行這些原則,可將作業納入 CI/CD 工作流程內,使用 Terrascan 掃描 HCL 檔案的一切變更是否會造成安全問題。若偵測出任何問題,該作業就會失敗並產生錯誤訊息,表示發生安全問題,必須予以解決。

Tenable.cs 能讓雲端操作和安全團隊評估 Terraform 範本是否有違反原則的情形。您可以將雲端基礎架構安全與 DevOps 工作流程加以整合,以防止資安問題禍延到生產環境中。您可以直接在開發工具中快速修復 IaC 錯誤設定,就能同時在建構階段與執行階段強制執行原則。
 

未能符合 Tenable.cs 原則
未能符合針對 Terraform 範本的 Tenable.cs 原則 (在 RDS 執行個體上未啟用儲存加密)

Tenable.cs 建議採取修復行動
Tenable.cs 建議採取修復行動,以解決未符合原則的情形。 (在 Terraform 範本中啟用儲存加密)

最新!利用 HashiCorp Terraform Cloud Run Tasks 強化的自動化修復支援功能

現在,Tenable 正在利用支援 HashiCorp 最新的 Terraform Cloud Run Tasks,大幅提升保護 Terraform 的能力。Terraform Cloud 提供了一套建立與部署 Terraform 範本的託管解決方案。使用全新的 Terraform Cloud Run Tasks,您可以在 Terraform 雲端部署階段中充分運用 Tenable.cs 來掃描您的 Terraform 範本。該整合性能讓 Terraform Cloud 的客戶在其 IaC 中使用 Tenable.cs 做為執行 Terraform 規劃階段的一環,來偵測任何安全問題。 透過將支援 Terraform Cloud Run Tasks 的功能新增至 Tenable.cs 中,我們能協助開發人員在其 IaC 中偵測與修復合規性與安全性風險,如此一來,他們就能在雲端基礎架構佈建之前減輕問題的嚴重性。

此外,想瞭解確實的修復步骤是非常耗時且深具挑戰的事。這也是為什麼我們在此整合功能中提供修復建議的原因,以對於 Terraform 工作空間相關的原始程式碼存放庫提取要求的形式,在其佈建之前協助修復在 Terraform 範本中發現的問題。客戶可以運用 Tenable.cs 商用產品中超過 1,500 個原則,在 Terraform Cloud 中執行深度掃描。 有興趣參閱設定指南,瞭解如何將 Tenable.cs 與 Terraform Cloud 工作空間連接的使用者,可以在此找到詳細的說明文件。


如要深入瞭解 Tenable.cs,請參閱產品說明或存取隨需網路研討會:「全新推出的 Tenable.cs:從程式碼到雲端的雲端原生安全性」。

相關文章

您是否容易受到最新攻擊程式危害?

輸入您的電子郵件地址,以便收到最新 cyber exposure 警示。

tenable.io

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

您的 Tenable.io Vulnerability Management 試用版也包含 Tenable Lumin、Tenable.io Web Application Scanning 和 Tenable.cs Cloud Security。

tenable.io 購買

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

65 項資產

選取您的訂閱選項:

立即購買

免費試用 Nessus Professional

免費試用 7 天

Nessus® 是現今市場上功能最全面的弱點掃描工具。Nessus Professional 能協助自動化弱點掃描程序、節省您達到合規性的時間並讓您的 IT 團隊合作。

購買 Nessus Professional

Nessus® 是現今市場上功能最全面的弱點掃描工具。Nessus Professional 能協助自動化弱點掃描程序、節省您達到合規性的時間並讓您的 IT 團隊合作。

購買多年期授權,節省更多。新增 365 天全年無休 24 小時全天候可使用電話、社群及對談的進階支援。

選擇您的授權

購買多年期授權,節省更多。

增加支援與訓練

Tenable.io

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

您的 Tenable.io Vulnerability Management 試用版也包含 Tenable Lumin、Tenable.io Web Application Scanning 和 Tenable.cs Cloud Security。

Tenable.io 購買

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

65 項資產

選取您的訂閱選項:

立即購買

試用 Tenable.io Web Application Scanning

享受我們專為現代應用程式而設計,屬於 Tenable.io 平台一部分的最新 Web 應用程式掃描產品的所有功能。不需耗費大量人力或中斷重要 Web 應用程式,即可高度準確且安全地掃描您整個線上產品系列中是否含有任何弱點。 立即註冊。

您的 Tenable Web Application Scanning 試用版也包含 Tenable.io Vulnerability Management、Tenable Lumin 和 Tenable.cs Cloud Security。

購買 Tenable.io Web Application Scanning

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

5 個 FQDN

$3,578

立即購買

試用 Tenable.io Container Security

享受整合至弱點管理平台中的唯一容器安全產品的完整功能。監控容器映像中是否有弱點、惡意軟體及政策違規的情形。與持續整合和持續部署 (CI/CD) 系統整合,以支援 DevOps 作法、加強安全性並支援企業政策合規性。

購買 Tenable.io Container Security

Tenable.io Container Security 整合了建置程序,能提供包含弱點、惡意軟體和政策違規等容器映像安全性的能見度,讓您無縫並安全地啟用 DevOps 流程。

試用 Tenable Lumin

透過 Tenable Lumin,能夠以視覺方式呈現 Cyber Exposure 並加以探索,長期追蹤風險降低狀況,以及對照同業進行指標分析。

您的 Tenable Lumin 試用版也包含 Tenable.io Vulnerability Management、Tenable.io Web Application Scanning 和 Tenable.cs Cloud Security。

購買 Tenable Lumin

聯絡業務代表,瞭解 Lumin 如何協助您獲得整個企業的深入洞見,並管理網路風險。

試用 Tenable.cs

享受完全存取偵測與修復雲端基礎架構錯誤設定及檢視執行階段弱點的功能。立即登入取得您的免費試用軟體。

您的 Tenable.cs Cloud Security 試用版也包含 Tenable.io Vulnerability Management、Tenable Lumin 和 Tenable.io Web Application Scanning。

聯絡業務代表購買 Tenable.cs

聯絡業務代表,以深入瞭解 Tenable.cs Cloud Security 如何輕鬆讓您的雲端帳戶上線,以及如何在數分鐘內輕鬆取得雲端錯誤設定與弱點的能見度。

免費試用 Nessus Expert

免費試用 7 天

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

您已擁有 Nessus Professional 嗎?
升級至 Nessus Expert,免費試用 7 天。

購買 Nessus Expert

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

選擇您的授權

促銷價格延長至 2 月 28 日截止。
購買多年期授權省更多!

增加支援與訓練