1、浅谈基础架构即代码(IaC)及安全天弘基金刘义杰议程基础架构即代码(IaC)所面临的挑战浅谈基础架构即代码(IaC)安全从传统基础架构到云一从传统基础架构到云二Gartner 预计,到 2023 年,至少 99%的云安全故障将是客户的错-主要表现为云资源配置错误。追.上DevOps三云上安全归因2021年数据泄露事件(部分)云基础架构管理对比基础设施即代码(IaC)Infrastructure as Code只需要一个源代码存储库(gitlab)和应用程序数据备份 即可随时重建业务。基础设施即代码(IaC)Infrastructure as Code软件开发CI/CD流水线基础设施即代码(Ia
2、C)定义Infrastructure as Code“基础设施即代码是一种使用新的技术来构建和管理动态基础设施的方式。它把基础设施、工具和服务以及对基础设施的管理本身作为一个软件系统,采纳软件工程实践以结构化的安全的方式来管理对系统的变更。”-Kief在Infrastructure As Code一书中对基础设施即代码定义 再生性 一致性 快速反馈 可见性 标准化 自动化 可视化 使用DSL描述环境 自测试系统 一切进行版本化基础设施即代码 Infrastructure as Code一TerraForm IaC工具二TerraForm Providerhttps:/registry.terr
3、aform.io/browse/providers三TerraForm 基础设施即代码的主要方式 命令式 vs 声明式不可变基础设施(Immutable Infrastructure)基础设施即代码-DevOps提升自助服务速度和安全性文档化版本控制验证重用议程云原生下的基础架构即代码(IaC)浅谈基础架构即代码(IaC)安全互联网暴露基础架构即代码(IaC)风险基础镜像漏洞未经授权的权限提升配置漂移影子服务器未遵从合规要求数据泄露硬编码禁用审计日志镜像源不可信议程云原生下的基础架构即代码(IaC)基础架构即代码(IaC)所面临的挑战以集成开发方式执行基础架构即代码工具状态文件安全杜绝硬密码扫
4、描IaC代码以检查错误配置AttributecheckovSnykterrascantfsecPricingFREEFREE/PAIDFREEFREEOpen-sourceY(agent part only)YYLicenseApache-2.0Apache-2.0Apache-2.0MITSupported IAC:-TF AWSYYYY-TF GCPYYYY-TF AzureYYYY-CloudFormationYNNN-KubernetesYYNNCLI(UNIX)YYYYIntegrations to CI/CD:-GitLabY Y Y N(but has JUnitXml)-Git
5、HubY Y Y Y-BitBucketY Y NNWhitelisting rulesY(via CLI option)NY NBlacklisting rulesY(via CLI option)NY Y(via CLI option)Blacklisting specific issueY(via comment)Y(via scan report)Y Y(via comment)Adding own custom rulesY NNY Auto-Fix issuesNYNNOutput formats:-CLI outputYYYY-JSONYYYY-XML(as JUnitXML only)NY(as JUnitXML only)-JUnitXMLYNNY-SarifNYNY-HTMLNY NN-github_failed_onlyYNNN-CheckstyleNNNY-CSVNNNY-YAMLNNYNDocumentationY Y Y Y 将IaC安全扫描自动化到开发人员工作流程中一漂移治理二建立中央治理,引入控制自动化三拥抱云基础架构安全终态: