Infrastructure as Code: Sicherheitslücken erkennen

Merkmale der IaC-Sicherheitsüberprüfungen

Um erfolgreich zu sein, sollten IaC-Scans eine Reihe von häufigen Anwendungsfällen abdecken, darunter die folgenden:

• Aufdeckung bekannter Plattform-Schwachstellen. In IaC-Plattformen, Open-Source-Bibliotheken und Paketen, die in Container- und Kubernetes-Bereitstellungen verwendet werden, wurde eine Vielzahl von Schwachstellen aufgedeckt. Viele IaC-Scanner sind in der Lage, alle drei Bereiche zu bewerten und nach potenziellen Problemen zu suchen, die in Containern, VM-Images und IaC-Diensten ausgenutzt werden. IaC-Scans können zunehmend mit anderen Tools zum Scannen von Schwachstellen und mit Berichtsmechanismen integriert werden.
• Erkennung von Konfigurationsfehlern. Konfigurationsfehler in Cloud-Ressourcen und -Diensten sind ein häufiges Problem (siehe auch Das größte Risiko in der Cloud sind Fehlkonfigurationen). IaC-Sicherheitsscans können Szenarien identifizieren, in denen Cloud-Implementierungen Schwachstellen in die Cloud-Struktur einführen, z. B. zu freizügige Identitätsrichtlinien, versehentliche Exposition von Assets und Services gegenüber dem Internet und mangelhafte Netzwerkisolierung. Außerdem können moderne IaC-Scanner dabei helfen, die Konfigurationseinstellungen an Industriestandards wie die Benchmarks des Center for Internet Security, CSP-Empfehlungen und Spezifikationen von BSI, NIST und anderen sowie an die internen Anforderungen von Sicherheitsteams anzupassen.
• Zentralisierung der Verwaltung von Sicherheitsrichtlinien für Cloud-Implementierungen. Alle führenden Scanning-Tools decken die wichtigsten Cloud-Anbieter ab, was die Zentralisierung der Sicherheitsrichtlinien und deren Durchsetzung in verschiedenen Umgebungen, wie sie in großen Multi-Cloud-Implementierungen vorkommen, erleichtert.
• Identifizierung offengelegter Geheimnisse und sensibler Daten. Viele IaC-Vorlagen enthalten Verweise auf Zugriffsschlüssel, kryptografische Schlüssel und Informationen sowie Berechtigungsnachweise, die bei der Bereitstellung von Cloud-Diensten verwendet werden. In Übereinstimmung mit den Richtliniendefinitionen sollte das IaC-Scanning ermitteln, wo Anmeldeinformationen und Geheimnisse potenziell offengelegt werden, damit DevOps- und Sicherheitsteams sie besser schützen können.
• Berichterstattung. Konsistentes IaC-Sicherheitsscanning erweitert und verbessert die Berichtsmöglichkeiten eines Unternehmens für das Schwachstellenmanagement - vor allem, wenn es eine kontinuierliche, automatisierte Analyse von Implementierungen in verschiedenen CSP-Umgebungen ermöglicht. Viele Unternehmen integrieren die Ergebnisse von IaC-Scans und Warnmeldungen in Change-Management- und Cloud-Governance-Workflows.

IaC-Sicherheitsscanner

Sicherheitsteams können die Vorteile einer Vielzahl von IaC-Sicherheitsscan-Tools und -Anbietern nutzen. Einige sind quelloffen und kostenlos, andere sind kommerziell erhältlich und bieten eine Vielzahl von Integrations- und Berichtsoptionen. Einige dieser Optionen sind die folgenden, ohne Anspruch auf Vollständigkeit:

• -Palo Alto Networks Prisma Cloud und Checkov als eigenständiger Scanner.
• Snyk IaC
• PingSafe
• Sysdig
• Tfsec
• TFLint
• Terrafirma
• Tenable Cloud Security, vormals Tenable.cs
• Aqua Security
• Terrascan
• Checkmarx

Um das beste Tool für die Anforderungen Ihres Teams zu finden, sollten Sie die Optionen für IaC-Sicherheitsscans unter Berücksichtigung der Kosten, der Abdeckung von CSP-Umgebungen und -Diensten, der Integration mit anderen Sicherheits- und Beobachtungstools, der Automatisierung über APIs und der Berichtsfunktionen prüfen. Idealerweise sollten Sie IaC-Scanning-Tools in die DevOps-Pipeline integrieren und sicherstellen, dass sie mit den Veränderungen der CSP-Umgebungen Schritt halten.