利用 Tenable.cs 和 HashiCorp Terraform Cloud 管理與修復雲端基礎架構錯誤設定弱點

因可預防的錯誤設定而造成的雲端資安外洩事件愈來愈常發生。 以下是您如何利用 Tenable.cs 與 Terraform Cloud 之間的全新整合功能降低風險的方式。

今日的雲端環境十分機動，不斷有新的軟體更新發布至生產環境，而依據客戶需求，工作負載也隨時在調整大小。 在幾分鐘內，工程師就能讓它們運作並將資源完全部署至雲端。不過就在速度加快數倍的同時，風險也隨之攀升。 因錯誤設定造成的系統弱點最常被輕忽，而且可能經過好幾個月的時間都沒有偵測出來。 因此，雲端資安外洩的規模和速度就不斷加劇。在 2018 年至 2020 年間，光是因雲端基礎架構錯誤設定造成的 200 起資安外洩事件中，就讓超過 300 億筆記錄遭到曝露。

您要如何降低因雲端錯誤設定造成的資安外洩機率？在本貼文中，我們將說明 Tenable 和 HashiCorp 如何透過 Tenable.cs 與 Terraform Cloud Run Tasks 最新的整合功能協助解決該問題。

雲端佈建與 Terraform 簡介

雲端資源佈建是部署雲端工作負載的關鍵層面。雖然大多數的雲端供應商都有自己的佈建工具程式，但業界最佳的工具 (如 Hashicorp Terraform) 可提供比雲端供應商更優異的效益。使用 Terraform 這套開放原始碼基礎架構即程式碼 (IaC) 工具來佈建基礎架構，可提供許多管理和操作您環境的優勢。Hashicorp Configuration Language (HCL) 能將可重複使用的基礎架構模組加以標準化，跨不同專案及環境使用。在建置基礎架構時，Terraform 會讀取目前的環境狀態並判斷將環境設定為您的 IaC 定義之狀態所需的一切變更。這樣可簡化管理複雜架構的流程，複雜的流程若採手動維護可能容易遭到破壞。IaC 能讓程式碼受到版本控制，並為基礎架構的佈建與設定方式提供更佳的能見度。

Terraform 的主要安全考量

Terraform 也提供了安全方面的優勢。使用基礎架構佈建工作流程可保護環境、解決資安問題。因應環境異動而強制使用 IaC 時可評估程式碼，確保在佈建基礎架構前可偵測出任何安全缺失並加以緩解。安全或操作方面的防護措施都可加以程式碼化並透過 CI/CD 工作流程、管道或其他自動化方式強制執行，確保企業環境符合企業制定的原則。

雖然使用像是 Terraform 的工具能簡化管理基礎架構的工作，但還是經常會發生雲端基礎架構的重大錯誤設定。Terraform 環境弱點管理的重要考量部分包括：

• 密碼管理： Terraform 需要憑證來授權佈建任何您程式碼中指定的基礎架構必要的 API 動作。由於這些憑證可提供特殊存取權限，能夠建立、管理甚至摧毀您的環境，因此要特別留意，確保它們不會向未經授權的人員或流程曝露。
• 系統狀態管理：Terraform 會使用狀態檔案來記錄佈建之基礎架構資源的狀態。在預設情況下，狀態檔案儲存在 Terraform 執行所在的系統本機檔案內。將狀態檔案與原始程式碼存放在一起並不保險，因為這些檔案可能內含私密金鑰或其他機密資訊。
• 相依性管理： Terraform 會使用名為「提供者」的外掛程式來與程式碼中定義之資源所用的遠端 API 互動。執行「terraform init」命令時，會將這些外掛程式下載至執行 Terraform 的系統。由於提供者可對基礎架構執行影響甚鉅的操作，因此請務必從受信任的來源下載這些外掛程式，同時在使用前確認它們未遭到竄改。
• 偏移管理： 在任何複雜的企業環境中，都有可能在執行階段透過「緊急因應流程」機制或其他方式進行手動變​更。這些變更會與原本的架構有所偏差，造成執行階段環境與 Terraform 程式碼定義之間的「偏移」。如果在原始程式碼中沒有更正，建構團隊就會繼續使用舊版本，因而系統將不再符合安全要求。 

如需更多有關 Terraform 重要安全考量的資訊，歡迎閱讀「專為 DevOps 設計的 Terraform 安全指南」白皮書。

利用 Tenable.cs 預防 Terraform 弱點

Tenable.cs 是一套專為開發人員設計的雲端原生應用程式保護平台 (CNAPP)，它能讓貴公司保障雲端資源、容器映像和雲端資產，提供從程式碼到雲端再到工作負載的端對端安全性。要強制執行最佳做法，您可以使用靜態程式碼分析工具 (如 Terrascan) 來評估程式碼。 Terrascan 是一項由 Tenable 建立的開放原始碼專案，它也是 Tenable.cs 掃描引擎的基石。Terrascan 包含以 Rego 語言撰寫、通用於多個提供者的數以百計原則，它使用 Open Policy Agent (OPA) 引擎來評估錯誤設定。這些原則可加以延伸，使其囊括企業環境特有的標準。若要在工作流程中強制執行這些原則，可將作業納入 CI/CD 工作流程內，使用 Terrascan 掃描 HCL 檔案的一切變更是否會造成安全問題。若偵測出任何問題，該作業就會失敗並產生錯誤訊息，表示發生安全問題，必須予以解決。

Tenable.cs 能讓雲端操作和安全團隊評估 Terraform 範本是否有違反原則的情形。您可以將雲端基礎架構安全與 DevOps 工作流程加以整合，以防止資安問題禍延到生產環境中。您可以直接在開發工具中快速修復 IaC 錯誤設定，就能同時在建構階段與執行階段強制執行原則。
 

最新！利用 HashiCorp Terraform Cloud Run Tasks 強化的自動化修復支援功能

現在，Tenable 正在利用支援 HashiCorp 最新的 Terraform Cloud Run Tasks，大幅提升保護 Terraform 的能力。Terraform Cloud 提供了一套建立與部署 Terraform 範本的託管解決方案。使用全新的 Terraform Cloud Run Tasks，您可以在 Terraform 雲端部署階段中充分運用 Tenable.cs 來掃描您的 Terraform 範本。該整合性能讓 Terraform Cloud 的客戶在其 IaC 中使用 Tenable.cs 做為執行 Terraform 規劃階段的一環，來偵測任何安全問題。 透過將支援 Terraform Cloud Run Tasks 的功能新增至 Tenable.cs 中，我們能協助開發人員在其 IaC 中偵測與修復合規性與安全性風險，如此一來，他們就能在雲端基礎架構佈建之前減輕問題的嚴重性。

此外，想瞭解確實的修復步骤是非常耗時且深具挑戰的事。這也是為什麼我們在此整合功能中提供修復建議的原因，以對於 Terraform 工作空間相關的原始程式碼存放庫提取要求的形式，在其佈建之前協助修復在 Terraform 範本中發現的問題。客戶可以運用 Tenable.cs 商用產品中超過 1,500 個原則，在 Terraform Cloud 中執行深度掃描。 有興趣參閱設定指南，瞭解如何將 Tenable.cs 與 Terraform Cloud 工作空間連接的使用者，可以在此找到詳細的說明文件。

如要深入瞭解 Tenable.cs，請參閱產品說明或存取隨需網路研討會：「全新推出的 Tenable.cs：從程式碼到雲端的雲端原生安全性」。