劉義杰-淺談基礎架構即代碼及安全（29頁）.pdf

1、淺談基礎架構即代碼（IaC）及安全天弘基金劉義杰議程基礎架構即代碼（IaC）所面臨的挑戰淺談基礎架構即代碼（IaC）安全從傳統基礎架構到云一從傳統基礎架構到云二Gartner 預計，到 2023 年，至少 99%的云安全故障將是客戶的錯-主要表現為云資源配置錯誤。追.上DevOps三云上安全歸因2021年數據泄露事件（部分）云基礎架構管理對比基礎設施即代碼(IaC)Infrastructure as Code只需要一個源代碼存儲庫（gitlab）和應用程序數據備份 即可隨時重建業務?；A設施即代碼(IaC)Infrastructure as Code軟件開發CI/CD流水線基礎設施即代碼(Ia

2、C)定義Infrastructure as Code“基礎設施即代碼是一種使用新的技術來構建和管理動態基礎設施的方式。它把基礎設施、工具和服務以及對基礎設施的管理本身作為一個軟件系統，采納軟件工程實踐以結構化的安全的方式來管理對系統的變更?！?Kief在Infrastructure As Code一書中對基礎設施即代碼定義 再生性 一致性 快速反饋 可見性 標準化 自動化 可視化 使用DSL描述環境 自測試系統 一切進行版本化基礎設施即代碼 Infrastructure as Code一TerraForm IaC工具二TerraForm Providerhttps:/registry.terr

3、aform.io/browse/providers三TerraForm 基礎設施即代碼的主要方式 命令式 vs 聲明式不可變基礎設施（Immutable Infrastructure）基礎設施即代碼-DevOps提升自助服務速度和安全性文檔化版本控制驗證重用議程云原生下的基礎架構即代碼（IaC）淺談基礎架構即代碼（IaC）安全互聯網暴露基礎架構即代碼（IaC）風險基礎鏡像漏洞未經授權的權限提升配置漂移影子服務器未遵從合規要求數據泄露硬編碼禁用審計日志鏡像源不可信議程云原生下的基礎架構即代碼（IaC）基礎架構即代碼（IaC）所面臨的挑戰以集成開發方式執行基礎架構即代碼工具狀態文件安全杜絕硬密碼掃

4、描IaC代碼以檢查錯誤配置AttributecheckovSnykterrascantfsecPricingFREEFREE/PAIDFREEFREEOpen-sourceY(agent part only)YYLicenseApache-2.0Apache-2.0Apache-2.0MITSupported IAC:-TF AWSYYYY-TF GCPYYYY-TF AzureYYYY-CloudFormationYNNN-KubernetesYYNNCLI(UNIX)YYYYIntegrations to CI/CD:-GitLabY Y Y N(but has JUnitXml)-Git

5、HubY Y Y Y-BitBucketY Y NNWhitelisting rulesY(via CLI option)NY NBlacklisting rulesY(via CLI option)NY Y(via CLI option)Blacklisting specific issueY(via comment)Y(via scan report)Y Y(via comment)Adding own custom rulesY NNY Auto-Fix issuesNYNNOutput formats:-CLI outputYYYY-JSONYYYY-XML(as JUnitXML only)NY(as JUnitXML only)-JUnitXMLYNNY-SarifNYNY-HTMLNY NN-github_failed_onlyYNNN-CheckstyleNNNY-CSVNNNY-YAMLNNYNDocumentationY Y Y Y 將IaC安全掃描自動化到開發人員工作流程中一漂移治理二建立中央治理，引入控制自動化三擁抱云基礎架構安全終態：