Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 博客

订阅

使用 Tenable.cs 和 HashiCorp Terraform Cloud 管理和修复云基础设施错误配置漏洞

使用 Tenable.cs 和 HashiCorp Terraform Cloud 管理和修复云基础设施错误配置漏洞

因可预防的错误配置造成云数据泄露事件越来越多。下面介绍如何使用 Tenable.cs 和 Terraform Cloud 之间的全新集成降低风险。

当今的云环境具有高度动态的特点,不断有新的软件更新发布到生产环境中,而且工作负载也会根据客户需求增大和缩小。在几分钟内,云工程师就可以启动资源并将其完全部署到云中。不过,随着速度增加数倍的同时,风险也随之增加。由错误配置引起的系统漏洞经常被忽视,并且可能经过几个月都未被检测到。因此,云数据泄露不论在规模上还是在速度上都在增加。从 2018 到 2020 年,单单因云基础设施错误配置造成的 200 起数据泄露事件中,就暴露了 300 亿条记录。

您如何降低因云错误配置造成的数据泄露概率?在本博客文章中,我们介绍 Tenable 和 HashiCorp 如何通过 Tenable.cs 和 Terraform Cloud Run Tasks 的全新集成帮助解决此问题。

云调配和 Terraform 简介

云资源调配是部署云工作负载的关键一环。尽管大多数云提供商都有自己的调配实用程序,但 Hashicorp Terraform 等业界最佳工具所具备的优势是云提供商无法达到的。使用开源基础设施即代码 (IaC) 工具 Terraform 来调配基础设施可为您提供许多环境管理和运营优势。Hashicorp Configuration Language (HCL) 能够将可重用的基础设施模块标准化,使其可跨项目和环境使用。当启用基础设施时,Terraform 会读取环境的当前状态,并确定将环境配置为 IaC 中定义的状态所需的任何更改。这简化了复杂架构的管理流程,因为如果手动维护该流程,可能容易遭到破坏。IaC 支持对代码进行版本控制,并为调配和配置基础设施的方式提供更佳的可见性。

Terraform 的关键安全考虑事项

Terraform 还提供安全方面的好处。围绕基础架构调配的工作流可用于保护环境免受安全问题的影响。在对环境中的任何更改强制使用 IaC 时,就可以对代码进行评估,以确保在调配基础设施之前发现存在的安全缺陷,并采取相应的缓解措施。可以通过 CI/CD 管道、闸门或其他自动化手段编码和实施安全或操作护栏,以确保环境符合策略。

虽然使用 Terraform 等工具简化了基础设施的管理,但还会经常发生云基础设施的严重配置错误。Terraform 环境漏洞管理的关键考虑部分包括:

  • 密码管理: Terraform 需要凭据才能对调配代码中指定的基础设施所需的任何 API 操作进行授权。由于这些凭据提供了对您环境的创建、管理和销毁特权访问,因此应特别小心,确保不会将凭据暴露给未经授权的人员或流程。
  • 系统状态管理:Terraform 会使用状态文件来跟踪已调配的基础设施资源状态。默认情况下,状态文件存储在用于执行 Terraform 的系统的本地文件系统中。不建议在源代码中持久保存状态文件,因为这些文件可能包含机密或其他敏感信息。
  • 依赖性管理: Terraform 会使用名为“提供程序”的插件与代码中定义的资源进行远程 API 交互。执行“terraform init”命令时,这些插件将下载到执行 Terraform 的系统中。由于提供程序可以管理基础设施中的强大操作,因此请务必从可信来源下载这些插件,并在使用之前确认其未经篡改。
  • 漂移管理: 在任何复杂的企业环境中,可能会在运行时通过“紧急因应”机制或其他方法进行手动更改。这些更改会在运行时环境和 Terraform 代码中定义的基础设施之间产生偏差,称为“漂移”。如果在源代码中没有更正,构建团队将继续使用旧版本,因而系统将不再符合安全要求。 

有关 Terraform 安全关键考虑事项的更多信息,请阅读白皮书“专为 DevOps 设计的 Terraform 安全指南”。

使用 Tenable.cs 预防 Terraform 漏洞

Tenable.cs 是一款对开发人员友好的、云原生应用程序保护平台 (CNAPP),该平台支持企业保护云资源、容器映像和云资产的安全,提供从代码到云再到工作负载的端到端安全。要强制实施最佳实践,您可以使用 Terrascan 等静态代码分析工具评估您的代码。Terrascan 是一个由 Tenable 创建的开源项目,也是 Tenable.cs 的基础扫描引擎。Terrascan 包含数百个以 Rego 语言编写的跨多个提供程序的策略,并使用开放策略代理 (OPA) 引擎评估错误配置。这些策略可以扩展到囊括环境特定的任何标准。要将这些策略实施为工作流的一部分,可以在 CI/CD 管道中加入一项作业,使用 Terrascan 扫描 HCL 文件的更改,以查找安全问题。如果检测到问题,作业将失败,并显示一条错误消息,表明已发现需要解决的安全问题。

Tenable.cs 支持云运营和安全团队评估 Terraform 模板是否有违反策略的情形。您可以将云基础设施安全集成到 DevOps 管道中,以防止安全问题蔓延到生产环境中。您还可以直接在开发工具中快速修复 IaC 错误配置,就能同时在构建时和运行时强制实施策略。 

失败的 Tenable.cs 策略
Terraform 模板失败的 Tenable.cs 策略(在 RDS 实例中未启用存储加密)

Tenable.cs 建议的修复操作
Tenable.cs 解决失败策略的建议修复操作。(在 Terraform 模板中启用存储加密)

新功能!! 使用 HashiCorp Terraform Cloud Run Tasks 增强了自动化修复支持

现在,Tenable 正在通过对 HashiCorp 的全新 Terraform Cloud Run Tasks 提供支持大幅提高了保护 Terraform 安全的能力。Terraform Cloud 提供了一个托管解决方案来构建和部署 Terraform 模板。使用新的 Terraform Cloud Run Tasks,您可以在 Terraform 云部署阶段中充分利用 Tenable.cs 来扫描您的 Terraform 模板。该集成支持 Terraform Cloud 客户在 Terraform 执行的规划阶段使用 Tenable.cs 检测其 IaC 内的任何问题。通过在 Tenable.cs 中增加对 Terraform Cloud Run Tasks 的支持,我们可以帮助开发人员检测和修复其 IaC 中的合规和安全风险,这样他们就可以在调配云基础设施之前缓解问题。

此外,了解确切的修复步骤可能非常耗时且极具挑战性。这就是在此集成中提供修复建议的原因,采用对与 Terraform 工作空间相关联的源代码存储库拉取请求的形式,帮助在 Terraform 模板调配之前修复其中发现的问题。客户可以充分利用 Tenable.cs 商业产品中的 1,500 多个策略在 Terraform Cloud 中执行深度扫描。如用户有兴趣查看设置指南,了解如何将 Tenable.cs 与 Terraform Cloud Workspace 相连,可以在这里查阅详细的文档。


要深入了解 Tenable.cs,请查阅产品资料或访问按需网络研讨会“全新推出 Tenable.cs:代码到云,全程护航”。

相关文章

您是否易受最新漏洞利用的攻击?

输入您的电子邮件以在收件箱中接收最新的 Cyber Exposure 警报。

tenable.io

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。

Tenable.io Vulnerability Management 试用版还包括 Tenable Lumin、Tenable.io Web Application Scanning 和 Tenable.cs Cloud Security。

tenable.io 购买

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

65 项资产

选择您的订阅选项:

立即购买

免费试用 Nessus Professional

免费试用 7 天

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买 Nessus Professional

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买多年期许可,即享优惠价格添加高级支持功能,获取一年 365 天、一天 24 小时的电话、社区和聊天支持。

选择您的许可证

购买多年期许可,即享优惠价格

添加支持和培训

Tenable.io

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。

Tenable.io Vulnerability Management 试用版还包括 Tenable Lumin、Tenable.io Web Application Scanning 和 Tenable.cs Cloud Security。

Tenable.io 购买

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

65 项资产

选择您的订阅选项:

立即购买

试用 Tenable.io Web Application Scanning

完整享有专为现代化应用程序而设、属于 Tenable.io 平台组成部分的最新 Web 应用程序扫描功能。可安全扫描全部在线资产组合的漏洞,具有高度准确性,而且无需繁重的手动操作或中断关键的 Web 应用程序。 立即注册。

Tenable Web Application Scanning 试用版还包括 Tenable.io Vulnerability Management、Tenable Lumin 和 Tenable.cs Cloud Security。

购买 Tenable.io Web Application Scanning

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

5 个 FQDN

$3,578

立即购买

试用 Tenable.io Container Security

完整获得已集成至漏洞管理平台之唯一容器安全产品的功能。监控容器映像中的漏洞、恶意软件和策略违规。与持续集成和持续部署 (CI/CD) 系统进行整合,以支持 DevOps 实践、增强安全性并支持企业政策合规。

购买 Tenable.io Container Security

Tenable.io Container Security 经由与构建流程的集成,可供全面了解容器映像的安全性,包括漏洞、恶意软件和策略违规,借以无缝且安全地启用 DevOps 流程。

试用 Tenable Lumin

通过 Tenable Lumin 直观呈现及探索 Cyber Exposure,长期追踪风险降低状况,并比照同行业者进行基准度量。

Tenable Lumin 试用版还包括 Tenable.io Vulnerability Management、Tenable.io Web Application Scanning 和 Tenable.cs Cloud Security。

购买 Tenable Lumin

联系销售代表,了解 Lumin 如何帮助获取整个企业的洞见并管理网络安全风险。

试用 Tenable.cs

获取检测和修复云基础设施错误配置以及查看运行时漏洞的完全访问权限。立即注册,免费试用。

Tenable.cs Cloud Security 试用版还包括 Tenable.io Vulnerability Management、Tenable Lumin 和 Tenable.io Web Application Scanning。

联系销售代表购买 Tenable.cs

联系销售代表,了解有关 Tenable.cs 云安全的更多信息,并了解如何轻松加入您的云帐户,并在几分钟内获得云错误配置和漏洞的可见性。

免费试用 Nessus Expert

免费试用 7 天

Nessus Expert 针对现代攻击面而量身打造,可以查看更多信息,保护企业免遭从 IT 到云中漏洞的攻击。

已经有 Nessus Professional?
免费升级到 Nessus Expert 7 天。

购买 Nessus Expert

Nessus Expert 针对现代攻击面而量身打造,可以查看更多信息,保护企业免遭从 IT 到云中漏洞的攻击。

选择您的许可证

促销价格已延长到 2 月 28 日。
购买多年许可证,节省幅度更大。

添加支持和培训