Verifique se há vulnerabilidades de segurança e erros de formatação - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Verifique se há vulnerabilidades de segurança e erros de formatação

A infraestrutura como código (IaC) e a automação se tornaram essenciais para as empresas. Com a IaC sendo tão robusta, você tem uma grande responsabilidade de gerenciar os riscos de segurança. Os riscos comuns de segurança da IaC podem incluir:

  • Privilégios excessivamente permissivos AWS Identity and Access Management () IAM

  • Escopo dos grupos de segurança

  • Recursos não criptografados

  • Logs de acesso não ativados

Abordagens e ferramentas de segurança

Recomendamos implementar as seguintes abordagens de segurança:

  • Detecção de vulnerabilidades no desenvolvimento: a correção de vulnerabilidades na produção é cara e demorada devido à complexidade de desenvolver e distribuir patches de software. Além disso, as vulnerabilidades na produção causam o risco de exploração. Recomendamos usar a varredura de código em seus recursos de IaC para que as vulnerabilidades possam ser detectadas e corrigidas antes da liberação para produção.

  • Conformidade e remediação automática — AWS Config oferece regras AWS gerenciadas. Essas regras ajudam a impor a conformidade e permitem que você tente a remediação automática usando a automação.AWS Systems Manager Você também pode criar e associar documentos de automação personalizados usando AWS Config regras.

Ferramentas de desenvolvimento comuns

As ferramentas abordadas nesta seção ajudam você a estender suas funcionalidades integradas com suas próprias regras personalizadas. Recomendamos que você alinhe suas regras personalizadas com os padrões da sua organização. Alguns fatores comuns a considerar são:

  • Use cfn-nag para identificar problemas de segurança da infraestrutura, como IAM regras permissivas ou literais de senha, em modelos. CloudFormation Para obter mais informações, consulte o repositório GitHub cfn-nag da Stelligent.

  • Use cdk-nag, inspirado no cfn-nag, para validar se as estruturas dentro de um determinado escopo estão em conformidade com um conjunto definido de regras. Você também pode usar o cdk-nag para suprimir regras e relatórios de conformidade. A ferramenta cdk-nag valida construções estendendo aspectos no. AWS CDK Para obter mais informações, consulte Gerenciar a segurança e a conformidade de aplicativos com o AWS Cloud Development Kit (AWS CDK) e cdk-nag no blog. AWS DevOps

  • Use a ferramenta de código aberto Checkov para realizar análises estáticas em seu ambiente de IaC. O Checkov ajuda a identificar configurações incorretas na nuvem escaneando seu código de infraestrutura em Kubernetes, Terraform ou. CloudFormation Você pode usar o Checkov para obter saídas em diferentes formatos, incluindo JSON JUnitXML, ou. CLI O Checkov pode lidar com variáveis de forma eficaz criando um gráfico que mostra a dependência dinâmica do código. Para obter mais informações, consulte o repositório GitHub Checkov da Bridgecrew.

  • Use TFLint para verificar erros e sintaxe obsoleta e para ajudar você a aplicar as melhores práticas. Observe que isso TFLint pode não validar problemas específicos do provedor. Para obter mais informações sobreTFLint, consulte o GitHub TFLintrepositório do Terraform Linters.

  • Use o Amazon Q Developer para realizar verificações de segurança. Quando usado em um ambiente de desenvolvimento integrado (IDE), o Amazon Q Developer fornece assistência de desenvolvimento de software com inteligência artificial. Ele pode conversar sobre código, fornecer preenchimentos de código em linha, gerar novos códigos, escanear seu código em busca de vulnerabilidades de segurança e fazer atualizações e melhorias no código.