Infrastructure as Code: Yor-Framework erleichtert die Analyse von Cloud-Set-ups
Palo Alto Networks stellt mit Yor ein neues Open-Source-Werkzeug für den Infrastructure-as-Code-Ansatz vor.
(Bild: whiteMocca/Shutterstock.com)
- Robert Lippert
Mit Yor hat Palo Alto Networks ein neues Werkzeug für Cloud-Administratoren veröffentlicht. Das Open-Source-Tool taggt automatisch Cloud-Ressourcen innerhalb der Infrastructure-as-Code-(IaC)-Frameworks Terraform, AWS CloudFormation und Serverless Framework. Anwenderinnen und Anwender können damit sicherheitsrelevante Fehlkonfigurationen vom Code bis in die Cloud nachverfolgen, ohne sich manuell um das Tagging einzelner Ressourcen kümmern zu müssen.
Palo Alto Networks verspricht sich durch Yor einen effektiveren Umgang im deklarativen, automatisierten Betrieb Cloud-nativer Anwendungen (auch als GitOps-Konzept geläufig). Konkrete, typische Anwendungsfälle sind anstehende Fixes oder Zugriffsbeschränkungen, wo Zeit oder auch die nötigen Rechte fehlen, um Logs manuell durchzugehen, nur um am Ende das richtige Team oder die richtigen Ansprechpartner zu finden.
Vorfälle mit standardisierten Tags schneller lösen
Yor analysiert automatisiert genutzte Infrastrukturressourcen und wertet dazu die entsprechenden IaC- und Git-Historiendaten aus, um rückwirkend aussagekräftige Tags vergeben zu können. Das Werkzeug liest gängige IaC-Dateiformate zu Terraform (AWS, GCP und Azure), CloudFormation (YAML und JSON) sowie Serverless. Dabei liefert Yor stets eine eindeutige ID, sodass Cloud-Administratoren die Abweichungen zwischen Buildtime- und Runtime-Ressourcen jederzeit nachvollziehen können – auch über verschiedene IaC-Frameworks und Cloud-Provider hinweg.
Per Default unterstützt das Tool eine Reihe definierter Git-Tags für die Verschlagwortung, wie git_org, git_commit oder git_modifiers und andere. Anwender, die ein detaillierteres Tracing wünschen, können über Umgebungsvariablen, YAML-Konfigurationen, sowie per Golang-Einstellungen oder direkt über die Kommandozeile eigene Tags und Tag-Gruppen festlegen. Entsprechend soll sich das System komfortabel in eigene CI/CD-Pipelines integrieren lassen.
Lesen Sie auch
GitOps in der Praxis
Ein weiteres Werkzeug im DevSecOps-Baukasten
Yor wurde ursprünglich von Bridgecrew entwickelt, dem Team hinter dem bekannten Open-Source-IaC-Scanner Checkov. Bridecrew wiederum wurde im März 2021 von Palo Alto Networks übernommen, das das Tool jetzt quelloffen unter der Apache-2.0-Lizenz auf GitHub veröffentlicht hat. Das Werkzeug ergänzt den stetig wachsenden DevSecOps-Baukasten als Hilfsmittel für eine effektivere Zusammenarbeit und eine kürzere mittlere Zeit bis zur Lösung von Vorfällen.
Dabei ist das Thema Infrastructure as Code jedoch nur eine der Herausforderungen, die künftig auf den Beruf des IT-Systemadministrators zukommen, wie die iX in einem aktuellen Hintergrundbericht feststellt.
(map)