IaaS: Terraform-Schwachstellenscanner im Detail
Terrascan bringt einen Regelsatz mit, um Terraform-Skripte zu prĂĽfen. Eigene Complianceregeln oder spezielle Anforderungen sind auch umsetzbar. Ein Ăśberblick.
- Armin Berberovic
Viele Unternehmen betreiben heute Anwendungen in Public Clouds und nutzen für die konsistente und wiederholbare Bereitstellung Infrastructure-as-Code-Tools (IaC) wie Terraform. Im Zuge dieser Entwicklung entstanden an die IaC-Plattform angepasste Scanner wie Terrascan. Darüber lässt sich IT-Sicherheit in die CI/CD-Pipelines und somit tief in den Software Development Lifecycle integrieren.
Wer weniger von einem Hersteller abhängig sein möchte oder anstrebt, interne Unternehmensrichtlinien automatisiert durchzusetzen, der kann solche Scanner in Eigenregie modifizieren. Wir zeigen, wie man praxistaugliche Scanner selbst erweitert.
Dazu ist es zunächst hilfreich, den Aufbau und die Funktionsweise der Terraform-Scanner im Detail zu verstehen. Sie machen sich Prinzipien der statischen Codeanalyse zunutze. Daher folgt zunächst ein Blick darauf, was statische Analyse ist und wie die Scanner diese implementieren. Dann zeigen wir mit Terrascan und AWS exemplarisch, wie man die Produkte erweitern kann, um nach selbst definierten Schwachstellen zu suchen. Die Auswahl erfolgte aufgrund der Popularität. Die hier vorgestellten Prinzipien und Tools kommen auch bei anderen Scannern zum Einsatz und lassen sich einfach auf andere Cloud-Service-Provider übertragen.
Das war die Leseprobe unseres heise-Plus-Artikels "IaaS: Terraform-Schwachstellenscanner im Detail". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
