刘义杰-浅谈基础架构即代码及安全

议程与背景

• 议程包括：从传统基础架构到云、云上安全归因、2021年数据泄露事件、云基础架构管理对比、基础架构即代码（IaC）及其优势、软件开发CI/CD流水线、云原生下的IaC、IaC安全挑战、IaC所面临的挑战、IaC安全解决方案。
• Gartner预测，到2023年，至少99%的云安全故障将是客户的错，主要表现为云资源配置错误。

基础设施即代码（IaC）定义与优势

• 定义：IaC是一种使用新技术构建和管理动态基础设施的方式，将基础设施、工具和服务以及对基础设施的管理本身作为一个软件系统，采纳软件工程实践以结构化的安全方式管理对系统的变更。
• 优势：再生性、一致性、快速反馈、可见性、标准化、自动化、可视化、使用DSL描述环境、自测试系统、一切进行版本化。
• 主要方式：命令式 vs 声明式，不可变基础设施（Immutable Infrastructure）。
• DevOps提升：自助服务、速度和安全性、文档化、版本控制、验证、重用。

IaC工具与示例

• TerraForm：IaC工具，通过Provider管理不同云平台资源。
• 示例：TerraForm Provider浏览链接：https://registry.terraform.io/browse/providers。

云原生下的IaC

• IaC风险：互联网暴露、基础镜像漏洞、未经授权的权限提升、配置漂移、影子服务器、未遵从合规要求、数据泄露、硬编码、禁用审计日志、镜像源不可信。

IaC所面临的挑战与解决方案

• 挑战：集成开发方式执行IaC工具、状态文件安全、杜绝硬密码。
• 解决方案：
  • 扫描IaC代码以检查错误配置（工具：Attributecheckov、Snyk、terrascan、tfsec）。
  • 将IaC安全扫描自动化到开发人员工作流程中。
  • 漂移治理：建立中央治理，引入控制自动化。
  • 拥抱云基础架构安全终态。

IaC安全工具对比

• 工具对比表：
  • 支持的IAC：TF AWS、TF GCP、TF Azure、CloudFormation。
  • 集成到CI/CD：GitLab、GitHub、BitBucket。
  • 特性：白名单/黑名单规则、自动修复、输出格式、文档等。

安世加简介

• 安世加专注于网络安全行业，通过互联网平台、线下沙龙、峰会、人才招聘等多种形式，致力于创建亚太地区最好的甲乙双方交流、学习的平台。官方网站：https://www.anshijia.net.cn，微信公众号：asjeiss。