Terraform-Schwachstellenscanner aufgebohrt!
Schwachstellenscanner wie Terrascan bringen einen umfangreichen Regelsatz mit, um Terraform-Skripte zu überprüfen. Mit zusätzlichen selbst erstellten Tests lassen sich eigene Complianceregeln oder spezielle Anforderungen umsetzen.
Viele Unternehmen betreiben heute Anwendungen in Public Clouds und nutzen für die konsistente und wiederholbare Bereitstellung Infrastructure-as-Code-Tools (IaC) wie Terraform. Wie der Artikel „Schwachstellenscanner für Terraform-Skripte“ [1] detailliert beschreibt, entstanden im Zuge dieser Entwicklung an die IaC-Plattform angepasste Scanner wie Terrascan. Darüber lässt sich IT-Sicherheit in die CI/CD-Pipelines und somit tief in den Software Development Lifecycle integrieren. Wer weniger von einem Hersteller abhängig sein möchte oder anstrebt, interne Unternehmensrichtlinien automatisiert durchzusetzen, der kann solche Scanner in Eigenregie modifizieren. Dieser Artikel zeigt, wie man praxistaugliche Scanner selbst erweitert.
Dazu ist es zunächst hilfreich, den Aufbau und die Funktionsweise der Terraform-Scanner im Detail zu verstehen. Sie machen sich Prinzipien der statischen Codeanalyse zunutze. Daher folgt zunächst ein Blick darauf, was statische Analyse ist und wie die Scanner diese implementieren. Dann zeigen wir mit Terrascan und AWS exemplarisch, wie man die Produkte erweitern kann, um nach selbst definierten Schwachstellen zu suchen. Die Auswahl erfolgte aufgrund der Popularität. Selbst wenn man auf andere Technologien setzt, ist der Artikel dennoch eine Lektüre wert: Die hier vorgestellten Prinzipien und Tools kommen auch bei anderen Scannern zum Einsatz und lassen sich einfach auf andere Cloud-Service-Provider übertragen.