alphaspirit - stock.adobe.com
Infrastructure as Code: Sicherheitslücken erkennen
Infrastructure-as-code-Vorlagen helfen Unternehmen, Cloud-Assets und andere wichtige Elemente zu überwachen. Mit einer IaC-Überprüfung lassen sich Security-Risiken reduzieren.
Im Zuge der Umstellung der Branche auf DevOps und Cloud-Engineering gewinnt Infrastructure as Code zunehmend an Bedeutung, da immer mehr Unternehmen beginnen, Objekte, Assets, Dienste und andere Cloud-Konfigurationsobjekte in IaC-Vorlagen zu definieren.
Alle großen Cloud Service Provider (CSPs) bieten IaC-Dienste und Vorlagenformate an, darunter AWS CloudFormation, Azure Resource Manager und Google Cloud Deployment Manager. Cloud-neutrale Produkte und Dienste sind auch von Anbietern wie HashiCorp und Pulumi erhältlich.
Trotz aller Vorteile können IaC-Vorlagen jedoch auch von böswilligen Hackern und anderen Bedrohungsakteuren ausgenutzt werden. Da IT-Teams Sicherheitskontrollen in die DevOps-Pipeline integrieren, werden IaC-Sicherheitsscans immer gebräuchlicher. Durch Scannen können Teams potenzielle Sicherheitsprobleme oder Richtlinienverstöße erkennen und beheben, bevor Vorlagen in Laufzeitumgebungen instanziiert werden.
Merkmale der IaC-Sicherheitsüberprüfungen
Um erfolgreich zu sein, sollten IaC-Scans eine Reihe von häufigen Anwendungsfällen abdecken, darunter die folgenden:
- Aufdeckung bekannter Plattform-Schwachstellen. In IaC-Plattformen, Open-Source-Bibliotheken und Paketen, die in Container- und Kubernetes-Bereitstellungen verwendet werden, wurde eine Vielzahl von Schwachstellen aufgedeckt. Viele IaC-Scanner sind in der Lage, alle drei Bereiche zu bewerten und nach potenziellen Problemen zu suchen, die in Containern, VM-Images und IaC-Diensten ausgenutzt werden. IaC-Scans können zunehmend mit anderen Tools zum Scannen von Schwachstellen und mit Berichtsmechanismen integriert werden.
- Erkennung von Konfigurationsfehlern. Konfigurationsfehler in Cloud-Ressourcen und -Diensten sind ein häufiges Problem (siehe auch Das größte Risiko in der Cloud sind Fehlkonfigurationen). IaC-Sicherheitsscans können Szenarien identifizieren, in denen Cloud-Implementierungen Schwachstellen in die Cloud-Struktur einführen, z. B. zu freizügige Identitätsrichtlinien, versehentliche Exposition von Assets und Services gegenüber dem Internet und mangelhafte Netzwerkisolierung. Außerdem können moderne IaC-Scanner dabei helfen, die Konfigurationseinstellungen an Industriestandards wie die Benchmarks des Center for Internet Security, CSP-Empfehlungen und Spezifikationen von BSI, NIST und anderen sowie an die internen Anforderungen von Sicherheitsteams anzupassen.
- Zentralisierung der Verwaltung von Sicherheitsrichtlinien für Cloud-Implementierungen. Alle führenden Scanning-Tools decken die wichtigsten Cloud-Anbieter ab, was die Zentralisierung der Sicherheitsrichtlinien und deren Durchsetzung in verschiedenen Umgebungen, wie sie in großen Multi-Cloud-Implementierungen vorkommen, erleichtert.
- Identifizierung offengelegter Geheimnisse und sensibler Daten. Viele IaC-Vorlagen enthalten Verweise auf Zugriffsschlüssel, kryptografische Schlüssel und Informationen sowie Berechtigungsnachweise, die bei der Bereitstellung von Cloud-Diensten verwendet werden. In Übereinstimmung mit den Richtliniendefinitionen sollte das IaC-Scanning ermitteln, wo Anmeldeinformationen und Geheimnisse potenziell offengelegt werden, damit DevOps- und Sicherheitsteams sie besser schützen können.
- Berichterstattung. Konsistentes IaC-Sicherheitsscanning erweitert und verbessert die Berichtsmöglichkeiten eines Unternehmens für das Schwachstellenmanagement - vor allem, wenn es eine kontinuierliche, automatisierte Analyse von Implementierungen in verschiedenen CSP-Umgebungen ermöglicht. Viele Unternehmen integrieren die Ergebnisse von IaC-Scans und Warnmeldungen in Change-Management- und Cloud-Governance-Workflows.
IaC-Sicherheitsscanner
Sicherheitsteams können die Vorteile einer Vielzahl von IaC-Sicherheitsscan-Tools und -Anbietern nutzen. Einige sind quelloffen und kostenlos, andere sind kommerziell erhältlich und bieten eine Vielzahl von Integrations- und Berichtsoptionen. Einige dieser Optionen sind die folgenden, ohne Anspruch auf Vollständigkeit:
- -Palo Alto Networks Prisma Cloud und Checkov als eigenständiger Scanner.
- Snyk IaC
- PingSafe
- Sysdig
- Tfsec
- TFLint
- Terrafirma
- Tenable Cloud Security, vormals Tenable.cs
- Aqua Security
- Terrascan
- Checkmarx
Um das beste Tool für die Anforderungen Ihres Teams zu finden, sollten Sie die Optionen für IaC-Sicherheitsscans unter Berücksichtigung der Kosten, der Abdeckung von CSP-Umgebungen und -Diensten, der Integration mit anderen Sicherheits- und Beobachtungstools, der Automatisierung über APIs und der Berichtsfunktionen prüfen. Idealerweise sollten Sie IaC-Scanning-Tools in die DevOps-Pipeline integrieren und sicherstellen, dass sie mit den Veränderungen der CSP-Umgebungen Schritt halten.