【51CTO.com快譯】基礎架構即代碼(IaC)使云資源配置更快速、更簡(jiǎn)單、更具擴展性。它還使我們有機會(huì )進(jìn)行比較簡(jiǎn)單的更改，從而對我們的云安全狀況產(chǎn)生持久影響。

為了表明這一點(diǎn)，我們分析了實(shí)際環(huán)境中的IaC模塊最常見(jiàn)的亞馬遜網(wǎng)絡(luò )服務(wù)(AWS)安全錯誤。我們在本文中剖析了最常見(jiàn)的不合規AWS策略以及相關(guān)的風(fēng)險。我們還將介紹解決每個(gè)錯誤所需的簡(jiǎn)單的構建時(shí)Terraform配置。

確保存儲在S3存儲桶中的所有數據安全地靜態(tài)加密

S3支持使用AES-256加密標準進(jìn)行簡(jiǎn)單的免費加密。眾所周知，有人可能訪(fǎng)問(wèn)存儲您數據的硬盤(pán)，而S3存儲桶靜態(tài)加密對于防止數據暴露在這些人的面前很重要。

為了符合該策略——PCI-DSS和NIST-800要求這樣，需要默認情況下對相關(guān)存儲桶設置加密。這將使保存到該S3存儲桶的所有后續項目都被自動(dòng)加密。

將以下塊添加到Terraform S3資源以添加AES-256加密：

server_side_encryption_configuration { 

  rule { 

    apply_server_side_encryption_by_default { 

      sse_algorithm = "AES256" 

    } 

  } 

} 

確保存儲在Launch Configuration EBS中的所有數據已安全加密

亞馬遜彈性塊存儲(EBS)卷支持內置加密，但默認情況下不加密。EBS Launch Configurations指定了可被Auto Scaling組用來(lái)配置Amazon EC2實(shí)例的Amazon EC2 Auto Scaling啟動(dòng)配置。

加密整個(gè)EBS卷后，靜態(tài)存儲在卷上的數據、磁盤(pán)I/O、從該卷創(chuàng )建的快照以及EBS和EC2之間的傳輸中數據都將被加密。

讓您的數據保持靜態(tài)加密可確保未經(jīng)授權的人無(wú)法訪(fǎng)問(wèn)。PCI-DSS也要求遵守該策略。 為防止Terraform模塊中出現該AWS錯誤，確保為EBS Launch Configurations啟用了加密：

resource "aws_launch_configuration" "as_conf" { 

  name_prefix = "terraform-lc-example-" 

  image_id = data.aws_ami.ubuntu.id 

  instance_type = "t2.micro" 

+ encrypted = enabled 

確保對客戶(hù)創(chuàng )建的CMK進(jìn)行輪換已啟用

AWS密鑰管理服務(wù)(KMS)允許客戶(hù)輪換備用密鑰。密鑰材料存儲在KMS中，并與客戶(hù)主密鑰(CMK)的密鑰ID綁定在一起。備用密鑰用于執行加密操作，比如加密和解密。密鑰自動(dòng)輪換目前保留所有先前的備用密鑰，以便透明地進(jìn)行加密數據解密。

密鑰未輪換的時(shí)間越長(cháng)，使用它加密的數據就越多，被危及的可能性就越大。泄露這種密鑰會(huì )泄露使用該密鑰加密的所有數據，因此強烈建議每年輪換一次加密密鑰。

默認情況下，CMK自動(dòng)輪換未啟用，但是建議啟用以幫助減小密鑰泄漏的潛在影響。還需要啟用它，以符合PCI-DSS、CSI和ISO27001。

想解決Terraform中的這個(gè)錯誤配置，啟用密鑰輪換：

resource "aws_kms_key" "kms_key_1" { 

  description = "kms_key_1" 

  deletion_window_in_days = 10 

  key_usage = "ENCRYPT_DECRYPT" 

  is_enabled = true 

 + enable_key_rotation = true 

} 

確保DynamoDB時(shí)間點(diǎn)恢復(備份)已啟用

Amazon DynamoDB的時(shí)間點(diǎn)恢復(PITR)讓您只需點(diǎn)擊一下即可恢復DynamoDB表數據。您在深入研究數據泄露和數據損壞攻擊時(shí)，這提供了故障保護，這也是PIC-DSS、CIS和ISO27001所要求的。

然而要創(chuàng )建和訪(fǎng)問(wèn)DynamoDB備份，您需要啟用PITR，PITR提供了可使用各種編程參數來(lái)控制的持續備份。

通過(guò)在DynamoDB表上配置point_in_time配置，解決該錯誤配置：

resource "aws_dynamodb_table" "basic-dynamodb-table" { 

  name = "GameScores" 

  billing_mode = "PROVISIONED" 

  read_capacity = 20 

  write_capacity = 20 

  hash_key = "UserId" 

  range_key = "GameTitle" 

+ point_in_time-recovery = enabled 

確保推送時(shí)進(jìn)行ECR圖像掃描已啟用

Amazon ECR支持使用“常見(jiàn)漏洞和披露”(CVE)數據庫來(lái)掃描容器鏡像中的漏洞。 建議您在每次推送時(shí)啟用ECR，幫助識別不良鏡像以及將漏洞引入到鏡像中的特定標簽。

ISO27001要求，必須在每次推送時(shí)啟用ECR掃描。要修復構建時(shí)資源，請將scan_on_push設置為true：

resource "aws_ecr_repository" "foo" { 

  name = "bar" 

  image_tag_mutability = "MUTABLE" 

  image_scanning_configuration { 

+ scan_on_push = true 

  } 

} 

確保存儲在SQS隊列中的所有數據已加密

Amazon簡(jiǎn)單隊列服務(wù)(Amazon SQS)允許對通過(guò)每個(gè)隊列發(fā)送的消息進(jìn)行加密。通過(guò)基于消息的加密來(lái)拒絕訪(fǎng)問(wèn)特定數據，這實(shí)現了另一級別的數據訪(fǎng)問(wèn)管理，并通過(guò)進(jìn)行加密來(lái)保護敏感數據。

如果您置身于受監管的市場(chǎng)，比如要遵守醫療界的HIPAA、金融界的PCI DSS和政府界的FedRAMP，需要確保用服務(wù)傳遞的敏感數據消息是靜態(tài)加密的。

可通過(guò)指定SQS用來(lái)加密SQS配置塊上數據的KMS密鑰，避免這種錯誤配置。

在Terraform中，設置時(shí)間長(cháng)度(以秒為單位)，在該時(shí)間長(cháng)度內Amazon SQS可在再次調用AWS KMS之前重復使用數據密鑰來(lái)加密或解密消息。

resource "aws_sqs_queue" "terraform_queue" { 

  name = "terraform-example-queue" 

+ kms_master_key_id = "alias/aws/sqs" 

+ kms_data_key_reuse_period_seconds = 300 

} 

結論

如您所見(jiàn)，修復IaC錯誤配置常常需要向已經(jīng)存在的塊添加簡(jiǎn)單的缺少的配置參數，或者將不正確的值改為合規狀態(tài)。然而，進(jìn)行這些小的更改可能產(chǎn)生重大影響，因為它們將為將來(lái)的部署提供信息。

通過(guò)構建時(shí)在IaC模板和模塊中實(shí)施常見(jiàn)的安全策略，您可以解決現有問(wèn)題，防止新的錯誤配置被部署。這也是一個(gè)好方法，可以節省這方面的時(shí)間：新的基礎架構啟用后，揪出生產(chǎn)環(huán)境中一再出現的問(wèn)題。這就是為什么我們認為IaC對于日益關(guān)注云的組織而言必不可少。

原文標題：Avoid the 5 Most Common Amazon Web Services Misconfigurations in Build-Time，作者：Nimrod Kor

【51CTO譯稿，合作站點(diǎn)轉載請注明原文譯者和出處為51CTO.com】