基础设施即代码面临的三大安全风险及其预防措施

基础设施即代码面临的三大安全风险及其预防措施

最初发布者 神圣的奥达齐 上 哈克曼巴 .

在基础架构即代码 (IaC) 之前，管理 IT 基础架构是一项艰巨的任务。系统管理员、运营团队和开发人员必须手动配置和管理应用程序运行所需的所有硬件和软件。

借助 IaC，开发人员可以快速配置具有特定操作系统的服务器、运行容器、Kubernetes 集群，甚至使用机器可读模板集成第三方服务。

通过 IaC，组织可以更快地构建可扩展且具有弹性的软件，从而降低成本并解决开发和生产环境之间的不一致问题。但是，与所有这些好处一样，与每个软件过程一样，存在安全风险。

本文讨论了基础架构即代码面临的三大安全风险，以及 DevOps 团队可以采取的避免攻击的措施。前 3 大安全风险是：

• IaC 模板中的错误配置
• 基础设施漂移
• 幽灵资源

IaC 模板中的错误配置

IaC 模板（例如 YAML 文件、Terraform 或 Helm 图表）中的错误配置很容易暴露组织的环境，使其容易受到攻击。

根据 Palo Alto Networks 的这份报告 ，近 200,000 个不安全的 IaC 模板在生产环境中使用，其中大部分漏洞是由于配置错误造成的。最重要的是，目前超过 43% 的云数据库未加密，只有 60% 的云存储服务启用了日志记录。

现在有人可能会问，这些错误配置是如何发生的，为什么会达到这样的规模？它们之所以如此规模，是因为随着越来越多的人编写开源样板模板和博客文章，大多数人忘记了审查以确保它们符合 IaC 安全最佳实践。

下图来自本次谈话 基础设施即代码安全 显示错误配置的开源 Terraform 模块的数据。

这些配置错误的模块被下载了 1000 万次，如下图所示。

尽管使用这些错误配置提供的服务不一定可利用，但它们仍然构成巨大风险。

如何防止 IaC 模板配置错误

为防止 IaC 模板配置错误，DevOps 团队必须在预生产期间扫描这些模板。扫描 IaC 预生产模板中的错误配置意味着在开发阶段引入检查

要将此步骤集成到他们的 DevOps 工作流程中，组织可以使用诸如 桥接员 跟踪其 IaC 中的每个更改，扫描这些更改，并在错误配置迁移到生产环境之前自动修复它们。

基础设施漂移

在 IaC 中， 漂移 表示配置中最初定义的值与生产中运行的值之间的差异。一个 漂移 可以由外部参与者（人类或脚本）或 IaC 对外部数据源的依赖引入。

外部演员的漂移

如果随叫随到的 SRE（站点可靠性工程师）登录到云环境并手动创建或修改由 Terraform 控制的资源，他们会引入偏差。此外，假设外部脚本更新 Kubernetes 集群的方式与其 CloudFormation 定义冲突；在这种情况下，这也是一种漂移。

外部数据源的漂移

如果外部数据源有任何变化，它也会显示为漂移。例如，如果负载均衡器只希望接收来自 亚马逊云前 ，DevOps 团队可能希望将入口限制在预定义的 IP 地址范围内。但是，该范围可能是动态的，并且他们的 IaC 工具在每次运行时都会对其进行查询。

当发生上述任何漂移时，如果不加以管理，可能会导致：

• 数据泄露
• 应用程序停机时间
• 可能的部署失败

如何减轻基础设施漂移

在上述情况下，外部参与者造成的漂移是紧急情况或流程中断的不良副产品。由外部数据源引起的漂移既是可取的，也是不可避免的。也就是说，很明显会发生漂移，团队无法完全阻止它。

但是团队能做什么？好吧，DevOps 团队可以做的是在漂移发生时检测和协调漂移。了解以下工具如何帮助团队检测和协调偏差：

• 使用 Bridgecrew 进行漂移检测
• 使用 Spacelift 进行漂移检测
• 使用 Snyk 进行漂移管理

幽灵资源

在开发过程中标记云资产对于确保 IaC 中的合规性和治理至关重要。在 IaC 操作期间未能标记资产可能会导致“幽灵”资源。由于这些资产的可观察性可能不等同于系统的其余部分，因此开发人员很难检测到这些未标记的资产，也很难观察到这些资产。

幽灵资产可能会在很长一段时间内未被检测到，同时消耗资源并为组织的基础设施即代码创建潜在的攻击向量。除了对安全性的影响之外，幽灵资源还使得评估对成本、维护和可靠性等运营的影响变得非常具有挑战性。

如何防止幽灵资源

减轻幽灵资源的唯一方法是仔细标记和监视未标记的资源。

结论

本文解释了基础架构即代码面临的三大安全风险，以及 DevOps 团队可以采取的避免攻击的措施。

要了解有关 IaC 面临的其他安全风险的更多信息，请查看以下资源：

• 保护基础设施即代码
• DevOps 安全最佳实践
• 8 基础设施即代码安全最佳实践

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明

本文链接：https://www.qanswer.top/10994/10090209