IaaS-Security: Schwachstellenscanner für Terraform-Skripte im Test
Terraform nutzt man zur Umsetzung von Infrastructure as Code. Für die Jagd auf Schwachstellen in Terraform-Code gibt es Scanner – wir zeigen, was sie leisten.
- Armin Berberovic
DevOps und Public Cloud dominieren heute den Alltag in vielen Unternehmen. Sind Infrastrukturkomponenten als Code (IaC) beschrieben und werden sie über Tools wie Terraform automatisiert in der Cloud bereitgestellt, können Sicherheitsexperten schon in frühen Phasen der DevOps-Prozesse aktiv werden. Da die Beschreibung der Infrastruktur als Code vorliegt, können sie diesen, wie jeden anderen Code auch, bereits vor dem Bereitstellen in der Public Cloud auf Schwachstellen hin überprüfen. So lässt sich verhindern, dass verwundbare Infrastrukturen in der Public Cloud überhaupt erst entstehen.
Dieser Artikel widmet sich einigen speziellen Scannern, die für die Suche von Schwachstellen in solchem Code entwickelt worden sind. Die Wahl fiel auf die drei Scanner tfsec, Terrascan und Snyk IaC auf Grundlage ihrer Beliebtheit bei GitHub. Die drei mussten mit der Kombination Terraform als IaC-Werkzeug und AWS als Public Cloud ihre Fähigkeiten unter Beweis stellen. Ziel der Untersuchung war herauszufinden, welche Fehler den Scannern unterlaufen, um Leser bei der Wahl eines Scanners zu unterstützen.
Bei allen Kandidaten handelt es sich um Tools zur statischen Codeanalyse. Sie unterziehen den Quellcode einer Reihe automatisierter Prüfungen nach Schwachstellen, ohne ihn jedoch auszuführen. Die Scanner sind für alle gängigen Betriebssysteme verfügbar und lassen sich oft über Paketverwaltungen wie Homebrew für macOS oder Chocolatey (Download) für Windows installieren. Alternativ gibt es je nach Produkt auch Binärdateien, Installationsskripte oder vorgefertigte Docker-Images. Mit Ausnahme von Snyk IaC lassen sich alle Scanner ohne Accounteinrichtung beim Hersteller nutzen. Neben AWS arbeiten alle Scanner ebenfalls mit den beiden anderen großen Cloud-Anbietern Azure und GCP sowie mit Kubernetes – Letzteres sowohl in der Cloud als auch lokal.
Das war die Leseprobe unseres heise-Plus-Artikels "IaaS-Security: Schwachstellenscanner für Terraform-Skripte im Test". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.