Bewährte Methoden für die Gewährleistung der Sicherheit - AWS Präskriptive Leitlinien
Folgen Sie dem Prinzip der geringsten RechteVerwenden von IAM-RollenVerwenden Sie einzigartige IAM-Benutzer mit älteren AutomatisierungstoolsKontinuierliche Überwachung, Validierung und Optimierung der geringsten RechteSicherer Remote-State-SpeicherVerwenden AWS Secrets ManagerScannen Sie kontinuierlich Infrastruktur und QuellcodeSetzen Sie Richtlinienprüfungen durch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Gewährleistung der Sicherheit

Die ordnungsgemäße Verwaltung von Authentifizierung, Zugriffskontrollen und Sicherheit ist für die sichere Nutzung des Terraform Providers von entscheidender Bedeutung. AWS In diesem Abschnitt werden bewährte Methoden in folgenden Bereichen beschrieben:

  • IAM-Rollen und -Berechtigungen für den Zugriff mit den geringsten Rechten

  • Sicherung von Anmeldeinformationen, um unbefugten Zugriff auf Konten und Ressourcen zu verhindern AWS

  • Verschlüsselung per Fernzugriff zum Schutz sensibler Daten

  • Scannen von Infrastruktur und Quellcode zur Identifizierung von Fehlkonfigurationen

  • Zugriffskontrollen für den Remote-State-Speicher

  • Durchsetzung der Richtlinien von Sentinel zur Implementierung von Leitplanken

Die Einhaltung dieser bewährten Methoden trägt dazu bei, Ihre Sicherheitslage zu stärken, wenn Sie Terraform zur Verwaltung der Infrastruktur verwenden. AWS

Folgen Sie dem Prinzip der geringsten Rechte

Die geringsten Rechte sind ein grundlegendes Sicherheitsprinzip, das sich darauf bezieht, dass einem Benutzer, Prozess oder System nur die Mindestberechtigungen gewährt werden, die erforderlich sind, damit ein Benutzer, Prozess oder System die vorgesehenen Funktionen ausführen kann. Es ist ein Kernkonzept der Zugriffskontrolle und eine vorbeugende Maßnahme gegen unbefugten Zugriff und potenzielle Datenschutzverletzungen.

Das Prinzip der geringsten Rechte wird in diesem Abschnitt mehrfach hervorgehoben, da es sich direkt darauf bezieht, wie Terraform sich authentifiziert und Aktionen gegen Cloud-Anbieter wie ausführt. AWS

Wenn Sie Terraform zur Bereitstellung und Verwaltung von AWS Ressourcen verwenden, handelt es im Namen einer Entität (Benutzer oder Rolle), die entsprechende Berechtigungen für API-Aufrufe benötigt. Die Nichteinhaltung der geringsten Rechte birgt große Sicherheitsrisiken:

  • Wenn Terraform über zu viele Berechtigungen verfügt, die über die erforderlichen Berechtigungen hinausgehen, kann eine unbeabsichtigte Fehlkonfiguration zu unerwünschten Änderungen oder Löschungen führen.

  • Zu freizügige Zugriffsberechtigungen erhöhen den Wirkungsbereich, wenn Terraform-Statusdateien oder Anmeldeinformationen kompromittiert werden.

  • Die Nichteinhaltung der geringsten Rechte verstößt gegen bewährte Sicherheitsverfahren und die Einhaltung gesetzlicher Vorschriften zur Gewährung eines nur minimal erforderlichen Zugriffs.

Verwenden von IAM-Rollen

Verwenden Sie nach Möglichkeit IAM-Rollen anstelle von IAM-Benutzern, um die Sicherheit mit dem AWS Terraform Provider zu erhöhen. IAM-Rollen stellen temporäre Sicherheitsanmeldedaten bereit, die automatisch rotieren, sodass die Verwaltung langfristiger Zugriffsschlüssel entfällt. Rollen bieten außerdem präzise Zugriffskontrollen durch IAM-Richtlinien.

Gewähren Sie mithilfe von IAM-Richtlinien Zugriff mit geringsten Rechten

Erstellen Sie sorgfältig IAM-Richtlinien, um sicherzustellen, dass Rollen und Benutzer nur über die Mindestberechtigungen verfügen, die für ihre Arbeitslast erforderlich sind. Beginnen Sie mit einer leeren Richtlinie und fügen Sie schrittweise zulässige Dienste und Aktionen hinzu. Um dies zu erreichen:

  • Aktivieren Sie IAM Access Analyzer, um Richtlinien auszuwerten und ungenutzte Berechtigungen hervorzuheben, die entfernt werden können.

  • Überprüfen Sie die Richtlinien manuell, um alle Funktionen zu entfernen, die für die vorgesehene Verantwortung der Rolle nicht unbedingt erforderlich sind.

  • Verwenden Sie IAM-Richtlinienvariablen und -Tags, um die Rechteverwaltung zu vereinfachen.

Gut ausgearbeitete Richtlinien gewähren gerade genug Zugriff, um die Aufgaben des Workloads zu erfüllen, mehr nicht. Definieren Sie Aktionen auf Vorgangsebene und lassen Sie Aufrufe nur für bestimmte Ressourcen zu, die benötigt werden APIs .

Die Befolgung dieser bewährten Methode reduziert das Ausmaß der Auswirkungen und entspricht den grundlegenden Sicherheitsprinzipien der Aufgabentrennung und des geringsten Zugriffs. Fangen Sie bei Bedarf schrittweise mit striktem und offenem Zugang an, anstatt zunächst offen zu beginnen und zu versuchen, den Zugriff später einzuschränken.

Nehmen Sie IAM-Rollen für die lokale Authentifizierung an

Wenn Sie Terraform lokal ausführen, vermeiden Sie die Konfiguration statischer Zugriffsschlüssel. Verwenden Sie stattdessen IAM-Rollen, um vorübergehend privilegierten Zugriff zu gewähren, ohne langfristige Anmeldeinformationen preiszugeben.

Erstellen Sie zunächst eine IAM-Rolle mit den erforderlichen Mindestberechtigungen und fügen Sie eine Vertrauensbeziehung hinzu, sodass die IAM-Rolle von Ihrem Benutzerkonto oder Ihrer föderierten Identität übernommen werden kann. Dadurch wird die temporäre Nutzung der Rolle autorisiert.

Beispiel für eine Vertrauensbeziehungsrichtlinie:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/terraform-execution"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Führen Sie dann den AWS CLI Befehl aws sts assume-role aus, um kurzlebige Anmeldeinformationen für die Rolle abzurufen. Diese Anmeldeinformationen sind in der Regel eine Stunde lang gültig.

AWS CLI Beispiel für einen Befehl:

aws sts assume-role --role-arn arn:aws:iam::111122223333:role/terraform-execution --role-session-name terraform-session-example

Die Ausgabe des Befehls enthält einen Zugriffsschlüssel, einen geheimen Schlüssel und ein Sitzungstoken, mit denen Sie sich authentifizieren können für AWS:

{
    "AssumedRoleUser": {
        "AssumedRoleId": "AROA3XFRBF535PLBIFPI4:terraform-session-example",
        "Arn": "arn:aws:sts::111122223333:assumed-role/terraform-execution/terraform-session-example"
    },
    "Credentials": {
        "SecretAccessKey": " wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
        "SessionToken": " AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4OlgkBN9bkUDNCJiBeb/AXlzBBko7b15fjrBs2+cTQtpZ3CYWFXG8C5zqx37wnOE49mRl/+OtkIKGO7fAE",
        "Expiration": "2024-03-15T00:05:07Z",
        "AccessKeyId": "ASIAIOSFODNN7EXAMPLE"
    }
}

Der AWS Anbieter kann die Übernahme der Rolle auch automatisch übernehmen.

Beispiel für die Anbieterkonfiguration für die Übernahme einer IAM-Rolle:

provider "aws" {
  assume_role {
    role_arn     = "arn:aws:iam::111122223333:role/terraform-execution"
    session_name = "terraform-session-example"
  }
}

Dadurch werden erweiterte Rechte ausschließlich für die Dauer der Terraform-Sitzung gewährt. Die temporären Schlüssel können nicht durchgesickert werden, da sie nach der maximalen Sitzungsdauer automatisch ablaufen.

Zu den wichtigsten Vorteilen dieser bewährten Methode gehören eine verbesserte Sicherheit im Vergleich zu langlebigen Zugriffsschlüsseln, detaillierte Zugriffskontrollen für die Rolle mit den geringsten Rechten und die Möglichkeit, den Zugriff einfach zu widerrufen, indem die Berechtigungen der Rolle geändert werden. Durch die Verwendung von IAM-Rollen müssen Sie außerdem Geheimnisse nicht direkt lokal in Skripten oder auf der Festplatte speichern, sodass Sie die Terraform-Konfiguration sicher im gesamten Team gemeinsam nutzen können.

Verwenden Sie IAM-Rollen für die Amazon-Authentifizierung EC2

Wenn Sie Terraform von Amazon Elastic Compute Cloud (Amazon EC2) -Instances aus ausführen, vermeiden Sie es, langfristige Anmeldeinformationen lokal zu speichern. Verwenden Sie stattdessen IAM-Rollen und Instanzprofile, um automatisch Berechtigungen mit den geringsten Rechten zu gewähren.

Erstellen Sie zunächst eine IAM-Rolle mit den Mindestberechtigungen und weisen Sie die Rolle dem Instanzprofil zu. Das Instanzprofil ermöglicht es EC2 Instanzen, die in der Rolle definierten Berechtigungen zu erben. Starten Sie dann Instances, indem Sie dieses Instanzprofil angeben. Die Instanz authentifiziert sich über die zugeordnete Rolle.

Bevor Sie Terraform-Operationen ausführen, stellen Sie sicher, dass die Rolle in den Instanz-Metadaten vorhanden ist, um sicherzustellen, dass die Anmeldeinformationen erfolgreich vererbt wurden.

TOKEN=$(curl -s -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600")

curl -H "X-aws-ec2-metadata-token: $TOKEN" -s http://169.254.169.254/latest/meta-data/iam/security-credentials/

Bei diesem Ansatz wird vermieden, dass permanente AWS Schlüssel in Skripten oder in der Terraform-Konfiguration innerhalb der Instanz fest codiert werden. Die temporären Anmeldeinformationen werden Terraform transparent über die Instanzrolle und das Profil zur Verfügung gestellt.

Zu den wichtigsten Vorteilen dieser bewährten Methode gehören eine verbesserte Sicherheit gegenüber langfristigen Anmeldeinformationen, ein geringerer Aufwand für die Verwaltung von Anmeldeinformationen und die Konsistenz zwischen Entwicklungs-, Test- und Produktionsumgebungen. Die IAM-Rollenauthentifizierung vereinfacht die Ausführung von EC2 Terraform-Instanzen aus und erzwingt gleichzeitig den Zugriff mit den geringsten Rechten.

Verwenden Sie dynamische Anmeldeinformationen für HCP Terraform-Arbeitsbereiche

HCP Terraform ist ein verwalteter Service von, der Teams dabei unterstützt HashiCorp , Terraform zur Bereitstellung und Verwaltung der Infrastruktur für mehrere Projekte und Umgebungen zu verwenden. Wenn Sie Terraform in HCP Terraform ausführen, verwenden Sie dynamische Anmeldeinformationen, um die Authentifizierung zu vereinfachen und zu sichern. AWS Terraform tauscht bei jedem Lauf automatisch temporäre Anmeldeinformationen aus, ohne dass eine IAM-Rollenübernahme erforderlich ist.

Zu den Vorteilen gehören eine einfachere geheime Rotation, eine zentralisierte Verwaltung von Anmeldeinformationen in allen Arbeitsbereichen, Berechtigungen mit den geringsten Rechten und der Wegfall fest codierter Schlüssel. Die Verwendung von kurzlebigen Hash-Schlüsseln erhöht die Sicherheit im Vergleich zu langlebigen Zugriffsschlüsseln.

Verwenden Sie IAM-Rollen in AWS CodeBuild

Führen Sie Ihre Builds unter Verwendung einer IAM-Rolle aus, die dem CodeBuild Projekt zugewiesen ist. AWS CodeBuild Dadurch kann jeder Build automatisch temporäre Anmeldeinformationen von der Rolle erben, anstatt langfristige Schlüssel zu verwenden.

Führen Sie GitHub Aktionen remote auf HCP Terraform aus

Konfigurieren Sie GitHub Aktions-Workflows, um Terraform remote auf HCP Terraform-Workspaces auszuführen. Verlassen Sie sich auf dynamische Anmeldeinformationen und Fernsperren von Zuständen statt auf die Verwaltung von Geheimnissen. GitHub

Verwenden Sie GitHub Aktionen mit OIDC und konfigurieren Sie die AWS Aktion „Anmeldeinformationen“

Verwenden Sie den OpenID Connect (OIDC) -Standard, um die Identität von GitHub Actions über IAM zu bündeln. Verwenden Sie die Aktion AWS Anmeldeinformationen konfigurieren, um das GitHub Token gegen temporäre AWS Anmeldeinformationen auszutauschen, ohne langfristige Zugriffsschlüssel zu benötigen.

Verwenden Sie es GitLab mit OIDC und AWS CLI

Verwenden Sie den OIDC-Standard, um GitLab Identitäten über IAM für den temporären Zugriff zu föderieren. Wenn Sie sich auf OIDC verlassen, müssen Sie langfristige Zugriffsschlüssel nicht direkt innerhalb von OIDC verwalten. AWS GitLab Anmeldeinformationen werden ausgetauscht just-in-time, was die Sicherheit verbessert. Je nach den Berechtigungen in der IAM-Rolle erhalten Benutzer außerdem Zugriff mit den geringsten Rechten.

Verwenden Sie einzigartige IAM-Benutzer mit älteren Automatisierungstools

Wenn Sie über Automatisierungstools und Skripts verfügen, die keine native Unterstützung für die Verwendung von IAM-Rollen bieten, können Sie individuelle IAM-Benutzer erstellen, um programmatischen Zugriff zu gewähren. Das Prinzip der geringsten Rechte gilt weiterhin. Reduzieren Sie die Anzahl der Richtlinienberechtigungen und verlassen Sie sich auf separate Rollen für jede Pipeline oder jedes Skript. Beginnen Sie bei der Migration zu moderneren Tools oder Skripten damit, Rollen nativ zu unterstützen, und wechseln Sie schrittweise zu diesen Rollen.

Warnung

IAM-Benutzer verfügen über langfristige Anmeldeinformationen, die ein Sicherheitsrisiko darstellen. Um dieses Risiko zu minimieren, empfehlen wir, diesen Benutzern nur die Berechtigungen zu gewähren, die sie für die Ausführung der Aufgabe benötigen, und diese Benutzer zu entfernen, wenn sie nicht mehr benötigt werden.

Verwenden Sie das Plugin Jenkins AWS Credentials

Verwenden Sie das AWS Credentials-Plugin in Jenkins, um Anmeldeinformationen zentral zu konfigurieren und dynamisch in Builds AWS einzufügen. Dadurch wird vermieden, dass Geheimnisse in die Quellcodeverwaltung eingecheckt werden.

Kontinuierliche Überwachung, Validierung und Optimierung der geringsten Rechte

Im Laufe der Zeit können zusätzliche Berechtigungen erteilt werden, die die erforderlichen Mindestrichtlinien überschreiten können. Analysieren Sie kontinuierlich den Zugriff, um unnötige Berechtigungen zu identifizieren und zu entfernen.

Überwachen Sie kontinuierlich die Verwendung von Zugriffsschlüsseln

Wenn Sie die Verwendung von Zugriffsschlüsseln nicht vermeiden können, verwenden Sie IAM-Anmeldedatenberichte, um nach ungenutzten Zugriffsschlüsseln zu suchen, die älter als 90 Tage sind, und inaktive Schlüssel sowohl für Benutzerkonten als auch für Computerrollen zu widerrufen. Weisen Sie die Administratoren darauf hin, das Entfernen von Schlüsseln für aktive Mitarbeiter und Systeme manuell zu bestätigen.

Durch die Überwachung der Schlüsselnutzung können Sie Ihre Berechtigungen optimieren, da Sie ungenutzte Berechtigungen identifizieren und entfernen können. Wenn Sie diese bewährte Methode bei der Rotation von Zugriffsschlüsseln befolgen, wird die Lebensdauer der Anmeldeinformationen begrenzt und der Zugriff mit den geringsten Rechten durchgesetzt.

AWS stellt mehrere Dienste und Funktionen bereit, mit denen Sie Warnmeldungen und Benachrichtigungen für Administratoren einrichten können. Hier sind einige Optionen:

  • AWS Config: Sie können AWS Config Regeln verwenden, um die Konfigurationseinstellungen Ihrer AWS Ressourcen, einschließlich der IAM-Zugriffsschlüssel, auszuwerten. Sie können benutzerdefinierte Regeln erstellen, um nach bestimmten Bedingungen zu suchen, z. B. nach ungenutzten Zugriffsschlüsseln, die älter als eine bestimmte Anzahl von Tagen sind. Wenn eine Regel verletzt wird, AWS Config kann eine Bewertung zur Behebung gestartet oder Benachrichtigungen an ein Amazon Simple Notification Service (Amazon SNS) -Thema gesendet werden.

  • AWS Security Hub: Security Hub bietet einen umfassenden Überblick über den Sicherheitsstatus Ihres AWS Kontos und kann Ihnen helfen, potenzielle Sicherheitsprobleme zu erkennen und Sie darüber zu informieren, einschließlich ungenutzter oder inaktiver IAM-Zugangsschlüssel. Security Hub kann mit Amazon EventBridge und Amazon SNS oder Amazon Q Developer in Chat-Anwendungen integriert werden, um Benachrichtigungen an Administratoren zu senden.

  • AWS Lambda: Lambda-Funktionen können durch verschiedene Ereignisse aufgerufen werden, einschließlich Amazon CloudWatch Events oder AWS Config Regeln. Sie können benutzerdefinierte Lambda-Funktionen schreiben, um die Verwendung von IAM-Zugriffsschlüsseln zu bewerten, zusätzliche Prüfungen durchzuführen und Benachrichtigungen zu senden, indem Sie Dienste wie Amazon SNS oder Amazon Q Developer in Chat-Anwendungen verwenden.

Überprüfen Sie kontinuierlich die IAM-Richtlinien

Verwenden Sie IAM Access Analyzer, um Richtlinien zu bewerten, die Rollen zugeordnet sind, und um ungenutzte Dienste oder überflüssige Aktionen zu identifizieren, denen gewährt wurde. Führen Sie regelmäßige Zugriffsprüfungen durch, um manuell zu überprüfen, ob die Richtlinien den aktuellen Anforderungen entsprechen.

Vergleichen Sie die bestehende Richtlinie mit der von IAM Access Analyzer generierten Richtlinie und entfernen Sie alle nicht benötigten Berechtigungen. Sie sollten den Benutzern auch Berichte zur Verfügung stellen und ungenutzte Berechtigungen nach Ablauf einer Übergangsfrist automatisch widerrufen. Auf diese Weise wird sichergestellt, dass nur minimale Richtlinien in Kraft bleiben.

Durch den proaktiven und häufigen Widerruf veralteter Zugriffe werden die Anmeldedaten minimiert, die bei einer Sicherheitsverletzung gefährdet sein könnten. Die Automatisierung sorgt für eine nachhaltige, langfristige Hygiene von Anmeldedaten und eine Optimierung der Zugriffsberechtigungen. Die Einhaltung dieser bewährten Methode begrenzt den Wirkungsbereich, indem proaktiv die geringsten Rechte für AWS Identitäten und Ressourcen durchgesetzt werden.

Sicherer Remote-State-Speicher

Remote-State-Speicher bezieht sich auf das Remote-Speichern der Terraform-Statusdatei statt lokal auf dem Computer, auf dem Terraform ausgeführt wird. Die Statusdatei ist von entscheidender Bedeutung, da sie die von Terraform bereitgestellten Ressourcen und deren Metadaten verfolgt.

Wenn der Remotestatus nicht gesichert wird, kann dies zu schwerwiegenden Problemen wie dem Verlust von Statusdaten, der Unfähigkeit, die Infrastruktur zu verwalten, dem versehentlichen Löschen von Ressourcen und der Offenlegung vertraulicher Informationen führen, die möglicherweise in der Statusdatei enthalten sind. Aus diesem Grund ist die Sicherung des Remote-State-Speichers für die Nutzung von Terraform in Produktionsqualität von entscheidender Bedeutung.

Aktivieren Sie Verschlüsselung und Zugriffskontrollen

Verwenden Sie die serverseitige Verschlüsselung (SSE) von Amazon Simple Storage Service (Amazon S3), um den Remote-Status im Ruhezustand zu verschlüsseln.

Beschränken Sie den direkten Zugriff auf kollaborative Workflows

  • Strukturieren Sie Workflows für die Zusammenarbeit in HCP Terraform oder in einer CI/CD-Pipeline innerhalb Ihres Git-Repositorys, um den direkten Statuszugriff einzuschränken.

  • Verlassen Sie sich auf Pull-Requests, führen Sie Genehmigungen, Richtlinienprüfungen und Benachrichtigungen durch, um Änderungen zu koordinieren.

Die Einhaltung dieser Richtlinien trägt dazu bei, vertrauliche Ressourcenattribute zu schützen und Konflikte mit Änderungen der Teammitglieder zu vermeiden. Verschlüsselung und strenger Zugriffsschutz tragen dazu bei, die Angriffsfläche zu reduzieren, und Workflows für die Zusammenarbeit fördern die Produktivität.

Verwenden AWS Secrets Manager

Es gibt viele Ressourcen und Datenquellen in Terraform, die geheime Werte im Klartext in der Statusdatei speichern. Vermeiden Sie es, Geheimnisse im Status zu speichern — verwenden Sie stattdessen. AWS Secrets Manager

Anstatt zu versuchen, sensible Werte manuell zu verschlüsseln, sollten Sie sich auf die integrierte Unterstützung von Terraform für die Verwaltung sensibler Zustände verlassen. Stellen Sie beim Exportieren sensibler Werte in die Ausgabe sicher, dass die Werte als sensibel gekennzeichnet sind.

Scannen Sie kontinuierlich Infrastruktur und Quellcode

Scannen Sie sowohl die Infrastruktur als auch den Quellcode proaktiv und kontinuierlich auf Risiken wie offengelegte Anmeldeinformationen oder Fehlkonfigurationen, um Ihre Sicherheitslage zu verbessern. Korrigieren Sie die Ergebnisse umgehend, indem Sie Ressourcen neu konfigurieren oder patchen.

Verwenden Sie AWS Dienste für dynamisches Scannen

Verwenden Sie AWS native Tools wie Amazon Inspector AWS Security Hub, Amazon Detective und Amazon, GuardDuty um die bereitgestellte Infrastruktur konten- und regionsübergreifend zu überwachen. Planen Sie wiederkehrende Scans in Security Hub, um Bereitstellungs- und Konfigurationsabweichungen zu verfolgen. Scannen Sie EC2 Instanzen, Lambda-Funktionen, Container, S3-Buckets und andere Ressourcen.

Führen Sie eine statische Analyse durch

Betten Sie statische Analysatoren wie Checkov direkt in CI/CD-Pipelines ein, um den Terraform-Konfigurationscode (HCL) zu scannen und Risiken vor der Bereitstellung präventiv zu identifizieren. Dadurch werden Sicherheitsüberprüfungen an einen früheren Punkt im Entwicklungsprozess verlagert (als Verlagerung nach links bezeichnet) und eine falsch konfigurierte Infrastruktur verhindert.

Sorgen Sie für eine schnelle Problembehebung

Stellen Sie bei allen Scanergebnissen eine schnelle Behebung sicher, indem Sie entweder die Terraform-Konfiguration aktualisieren, Patches anwenden oder Ressourcen je nach Bedarf manuell neu konfigurieren. Senken Sie das Risiko, indem Sie die Grundursachen angehen.

Sowohl das Scannen von Infrastrukturen als auch das Scannen von Code bieten umfassende Einblicke in die Terraform-Konfigurationen, die bereitgestellten Ressourcen und den Anwendungscode. Durch präventive, detektive und reaktive Kontrollen werden Risiken und die Einhaltung gesetzlicher Vorschriften maximiert und gleichzeitig die Sicherheit bereits zu einem früheren Zeitpunkt in den Softwareentwicklungszyklus (SDLC) integriert.

Setzen Sie Richtlinienprüfungen durch

Verwenden Sie Code-Frameworks wie HashiCorp Sentinel-Richtlinien, um Governance-Richtlinien und standardisierte Vorlagen für die Infrastrukturbereitstellung mit Terraform bereitzustellen.

Sentinel-Richtlinien können Anforderungen oder Einschränkungen für die Terraform-Konfiguration definieren, um sie an die Unternehmensstandards und Best Practices anzupassen. Sie können Sentinel-Richtlinien beispielsweise verwenden, um:

  • Erfordert Tags für alle Ressourcen.

  • Beschränken Sie die Instanztypen auf eine Liste mit genehmigten Instanzen.

  • Erzwingen Sie obligatorische Variablen.

  • Verhindern Sie die Zerstörung von Produktionsressourcen.

Die Einbettung von Richtlinienprüfungen in die Lebenszyklen der Terraform-Konfiguration ermöglicht die proaktive Durchsetzung von Standards und Architekturrichtlinien. Sentinel bietet eine gemeinsame Richtlinienlogik, die dazu beiträgt, die Entwicklung zu beschleunigen und gleichzeitig nicht genehmigte Praktiken zu verhindern.