Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren

Verwaltung und Behebung von Fehlkonfigurationen in Cloud-Infrastrukturen mit Tenable.cs und HashiCorp Terraform Cloud

Verwaltung und Behebung von Fehlkonfigurationen in Cloud-Infrastrukturen mit Tenable.cs und HashiCorp Terraform Cloud

Aufgrund von vermeidbaren Fehlkonfigurationen häufen sich Sicherheitsverletzungen in der Cloud. Hier erfahren Sie, wie Sie Ihr Risiko mithilfe einer neuen Integration zwischen Tenable.cs und Terraform Cloud reduzieren können.

Die heutigen Cloud-Umgebungen sind äußerst dynamisch, da ständig neue Updates in der Produktionsumgebung veröffentlicht werden und Workloads je nach Kundenbedarf nach oben oder unten skaliert werden. Innerhalb weniger Minuten können Cloud Engineers Ressourcen in der Cloud aufsetzen und vollständig bereitstellen. Doch mit erhöhter Geschwindigkeit geht oft auch ein erhöhtes Risiko einher. Durch Fehlkonfigurationen verursachte Systemschwachstellen werden oftmals übersehen und können über Monate hinweg unerkannt bleiben. Dies führt dazu, dass das Ausmaß und die Geschwindigkeit von Sicherheitsverletzungen in der Cloud zunehmen. Allein aufgrund von Fehlkonfigurationen in der Cloud-Infrastruktur wurden zwischen 2018 und 2020 im Rahmen von 200 Angriffen über 30 Milliarden Datensätze offengelegt.

Wie können Sie das Risiko von Angriffen verringern, die durch Cloud-Fehlkonfigurationen verursacht werden? In diesem Beitrag erklären wir, wie Tenable und HashiCorp mit einer neuen Integration zwischen Tenable.cs und Terraform Cloud Run Tasks bei diesem Problem Abhilfe schaffen können. 

Einführung in Cloud-Bereitstellung und Terraform

Das Provisioning von Cloud-Ressourcen ist ein wichtiger Aspekt bei der Bereitstellung von Cloud-Workloads. Zwar verfügen die meisten Cloud-Provider über eigene Bereitstellungsprogramme, aber Best-of-Breed-Tools wie Hashicorp Terraform bieten Vorteile, die über das hinausgehen, was Cloud-Provider anbieten. Die Verwendung von Terraform, einem quelloffenen IaC-Tool (Infrastructure as Code), zur Bereitstellung von Infrastruktur bietet viele Vorteile für die Verwaltung und den Betrieb Ihrer Umgebung. Hashicorp Configuration Language (HCL) bietet die Möglichkeit, wiederverwendbare Infrastrukturmodule zu standardisieren, die über Projekte und Umgebungen hinweg eingesetzt werden können. Beim Einrichten der Infrastruktur erfasst Terraform den aktuellen Zustand Ihrer Umgebung und ermittelt alle Änderungen, die erforderlich sind, um die Umgebung auf den in Ihrer IaC definierten Zustand zu konfigurieren. Hierdurch wird der Prozess für die Verwaltung komplexer Architekturen vereinfacht, die bei manueller Wartung anfällig sein können. IaC ermöglicht eine Versionskontrolle für den Code und bietet einen besseren Einblick in die Art und Weise, wie die Infrastruktur bereitgestellt und konfiguriert wurde.

Wichtige Überlegungen zur Terraform-Sicherheit

Terraform bietet außerdem Vorteile bei der Sicherheit. Der Workflow der Infrastrukturbereitstellung kann verwendet werden, um Ihre Umgebung vor Sicherheitsproblemen zu schützen. Wenn für sämtliche Änderungen in Ihrer Umgebung die Verwendung von IaC erzwungen wird, kann Code bewertet werden, um sicherzustellen, dass Sicherheitsmängel vor der Bereitstellung von Infrastruktur erkannt und behoben werden. Sicherheits- oder betriebsrelevante Schutzvorkehrungen können in Code eingebunden und über CI/CD-Pipelines, Gates oder sonstige automatisierte Mechanismen durchgesetzt werden, um Richtlinienkonformität in Ihrer Umgebung zu gewährleisten.

Obwohl der Einsatz von Tools wie Terraform die Verwaltung der Infrastruktur vereinfacht, kommt es dennoch immer wieder zu kritischen Fehlkonfigurationen in Cloud-Infrastruktur. Zu den wichtigsten Bereichen für das Schwachstellenmanagement in Terraform-Umgebungen gehören:

  • Verwaltung von Secrets: Terraform erfordert Zugangsdaten, um alle API-Aktionen zu autorisieren, die zur Bereitstellung der in Ihrem Code spezifizierten Infrastruktur erforderlich sind. Da diese Zugangsdaten einen privilegierten Zugriff gewähren, mit dem Ihre Umgebung erstellt, verwaltet und gelöscht werden kann, sollte darauf geachtet werden, dass sie nicht für unbefugte Personen oder Prozesse zugänglich sind.
  • Verwaltung des Systemzustands: Terraform verwendet eine Zustandsdatei, um den Zustand von bereitgestellten Infrastrukturressourcen im Blick zu behalten. Standardmäßig wird die Zustandsdatei im lokalen Dateisystem des Systems gespeichert, auf dem Terraform ausgeführt wird. Persistenz von Zustandsdateien zusammen mit Ihrem Quellcode ist keine gute Idee, da diese Secrets oder andere sensible Daten enthalten könnten.
  • Verwaltung von Abhängigkeiten: Zur Interaktion mit Remote-APIs für die in Ihrem Code definierten Ressourcen verwendet Terraform Plugins, die als „Provider“ bezeichnet werden. Bei Ausführung des Befehls „terraform init“ werden diese in das System heruntergeladen, auf dem Terraform ausgeführt wird. Da Provider leistungsstarke Vorgänge in Ihrer Infrastruktur managen, ist es wichtig, diese von vertrauenswürdigen Quellen herunterzuladen und sich vor der Verwendung zu vergewissern, dass sie nicht manipuliert wurden.
  • Verwaltung von Drifts: In jeder komplexen Unternehmensumgebung können manuelle Änderungen über Notfall-Mechanismen oder andere Mittel zur Laufzeit vorgenommen werden. Diese Änderungen verursachen eine Abweichung zwischen Ihrer Runtime-Umgebung und den Definitionen in Ihrem Terraform-Code, die als „Drift“ bezeichnet wird. Wenn dies nicht ebenfalls im Quellcode korrigiert wird, verwenden Build-Teams weiterhin die alte Version und/oder die Systeme entsprechen nicht mehr den Sicherheitsanforderungen. 

Weitere Informationen zu wichtigen Überlegungen im Zusammenhang mit Terraform-Sicherheit finden Sie im Whitepaper „DevOps-Leitfaden für Terraform-Sicherheit“

Verhinderung von Terraform-Schwachstellen mithilfe von Tenable.cs

Tenable.cs ist eine entwicklerfreundliche Cloud-Native Application Protection Platform (CNAPP), die es Ihrem Unternehmen ermöglicht, Cloud-Ressourcen, Container-Images und Cloud-Assets abzusichern und so eine durchgängige Sicherheit vom Code über die Cloud bis hin zur Workload zu gewährleisten. Um Best Practices umzusetzen, können Sie Ihren Code mit einem statischen Code-Analyse-Tool wie Terrascan bewerten. Terrascan ist ein Open-Source-Projekt, das von Tenable entwickelt wurde und als Grundlage für die Scan-Engine von Tenable.cs dient. Terrascan enthält Hunderte von Richtlinien für mehrere Provider in Rego-Sprache und bewertet diese mithilfe der OPA-Engine (Open Policy Agent) auf Fehlkonfigurationen. Diese Richtlinien können um beliebige Standards erweitert werden, die speziell für Ihre Umgebung gelten. Um diese im Rahmen Ihres Workflows durchzusetzen, können Sie einen Job in Ihre CI/CD-Pipeline aufnehmen, der mittels Terrascan sämtliche Änderungen an Ihren HCL-Dateien auf Sicherheitsprobleme scannt. Sollten Probleme erkannt werden, wird der Job mit einer Fehlermeldung abgebrochen. Aus dieser geht hervor, dass ein Sicherheitsproblem festgestellt wurde, das behoben werden muss.

Mit Tenable.cs können Teams, die für den Betrieb und die Sicherheit der Cloud zuständig sind, Terraform-Vorlagen auf Richtlinienverstöße hin überprüfen. Sie können Cloud-Infrastruktur-Sicherheit in die DevOps-Pipeline integrieren, um zu verhindern, dass Sicherheitsprobleme in die Produktionsumgebung gelangen. Außerdem können Sie IaC-Fehlkonfigurationen schnell und direkt in den Entwicklungstools beheben, um Richtlinien sowohl in der Build-Phase als auch zur Laufzeit durchzusetzen.
 

Verstoß gegen Tenable.cs-Richtlinie
Verstoß gegen eine Tenable.cs-Richtlinie für eine Terraform-Vorlage (Speicherverschlüsselung auf RDS-Instanz nicht aktiviert)

Von Tenable.cs empfohlene Korrekturmaßnahme
Von Tenable.cs empfohlene Korrekturmaßnahme zur Beseitigung des Richtlinienverstoßes (Speicherverschlüsselung in Terraform-Vorlage aktivieren)

Neu! Erweiterte Unterstützung für automatische Korrekturmaßnahmen mit HashiCorp Terraform Cloud Run Tasks

Jetzt erweitert Tenable seine Funktionen zur Absicherung von Terraform durch die Unterstützung der neuen Terraform Cloud Run Tasks von HashiCorp. Terraform Cloud bietet eine gehostete Lösung zur Erstellung und Bereitstellung von Terraform-Vorlagen. Mit den neuen Terraform Cloud Run Tasks können Sie Tenable.cs dazu verwenden, Ihre Terraform-Vorlagen während des Terraform-Schritts für die Cloud-Bereitstellung zu scannen. Die Integration versetzt Terraform Cloud-Kunden in die Lage, Sicherheitsprobleme innerhalb ihrer IaC mithilfe von Tenable.cs bereits in der Planungsphase der Terraform-Ausführung zu erkennen. Indem wir diese Unterstützung für Terraform Cloud Run Tasks in Tenable.cs hinzufügen, helfen wir Entwicklern, Compliance- und Sicherheitsrisiken in ihrer IaC zu erkennen und zu beheben, sodass sie Probleme beseitigen können, bevor Cloud-Infrastruktur bereitgestellt wird. 

Außerdem kann es zeitaufwendig und schwierig sein, die genauen Behebungsschritte zu bestimmen. Aus diesem Grund werden als Teil der Integration auch Empfehlungen zur Fehlerbehebung in Form eines Pull-Requests für das mit dem Terraform-Workspace verknüpfte Quellcode-Repository bereitgestellt, um bei der Behebung von Problemen in Terraform-Vorlagen zu helfen, bevor diese bereitgestellt werden. Kunden können über 1.500 Richtlinien aus dem kommerziellen Angebot von Tenable.cs nutzen, um tiefgreifende Scans in Terraform Cloud durchzuführen. Nutzer, die sich für die Anleitung zur Einrichtung der Verbindung von Tenable.cs mit Terraform Cloud Workspace interessieren, finden eine ausführliche Dokumentation hier.


Mehr über Tenable.cs erfahren Sie im Datenblatt oder im On-Demand-Webinar „Introducing Tenable.cs: Secure Every Step From Code to Cloud“.

Verwandte Artikel

Sind Sie durch die neuesten Exploits gefährdet?

Geben Sie Ihre E-Mail-Adresse ein, um die neuesten Warnmeldungen zu Cyberrisiken in Ihrem Posteingang zu erhalten.

tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable.io Vulnerability Management umfasst außerdem Tenable Lumin, Tenable.io Web Application Scanning und Tenable.cs Cloud Security.

tenable.io KAUFEN

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Testen Sie Nessus Professional kostenlos

7 TAGE KOSTENLOS

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Nessus Professional kaufen

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support und Training hinzufügen

Tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable.io Vulnerability Management umfasst außerdem Tenable Lumin, Tenable.io Web Application Scanning und Tenable.cs Cloud Security.

Tenable.io KAUFEN

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable.io Web Application Scanning testen

Profitieren Sie vom vollen Zugriff auf unser neuestes Angebot zum Scannen von Web-Applikationen, das als Teil der Tenable.io-Plattform für moderne Applikationen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Applikationen. Melden Sie sich jetzt an.

Ihre Testversion von Tenable Web Application Scanning umfasst außerdem Tenable.io Vulnerability Management, Tenable Lumin und Tenable.cs Cloud Security.

Tenable.io Web Application Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Tenable.io Container Security testen

Profitieren Sie von vollem Zugriff auf die einzige Lösung für Containersicherheit, die in eine Schwachstellen-Management-Plattform integriert ist. Überwachen Sie Container-Images auf Schwachstellen, Malware und Richtlinienverstöße. Kann in Systeme für kontinuierliche Integration und Bereitstellung (CI/CD) eingebunden werden, um DevOps-Praktiken zu unterstützen, die Sicherheit zu stärken und die Einhaltung von Unternehmensrichtlinien zu fördern.

Tenable.io Container Security kaufen

Tenable.io Container Security ermöglicht eine nahtlose und sichere Umsetzung von DevOps-Prozessen, indem es die Sicherheit von Container-Images – einschließlich Schwachstellen, Malware und Richtlinienverletzungen – durch Integration in den Build-Prozess transparent macht.

Tenable Lumin testen

Mit Tenable Lumin können Sie Ihre Cyber Exposure visualisieren und genauer untersuchen, die allmähliche Reduzierung von Risiken nachverfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Ihre Tenable Lumin-Testversion umfasst außerdem Tenable.io Vulnerability Management, Tenable.io Web Application Scanning und Tenable.cs Cloud Security.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Lumin Sie dabei unterstützen kann, Einblick in Ihr gesamtes Unternehmen zu erhalten und Cyberrisiken zu managen.

Tenable.cs testen

Profitieren Sie von vollem Zugriff, um Fehlkonfigurationen in Cloud-Infrastruktur zu erkennen und zu beheben und Schwachstellen in der Laufzeitumgebung anzuzeigen. Melden Sie sich jetzt für Ihre kostenlose Testversion an.

Ihre Tenable.cs Cloud Security Testversion umfasst außerdem Tenable.io Vulnerability Management, Tenable Lumin und Tenable.io Web Application Scanning.

Kontaktieren Sie einen Vertriebsmitarbeiter, um Tenable.cs zu kaufen

Kontaktieren Sie einen unserer Vertriebsmitarbeiter, um mehr über Tenable.cs Cloud Security zu erfahren und herauszufinden, wie einfach es ist, Ihre Cloud-Konten einzurichten und innerhalb von Minuten Einblick in Cloud-Fehlkonfigurationen und Schwachstellen zu erhalten.

Nessus Expert kostenlos testen

7 TAGE KOSTENLOS

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Sie nutzen bereits Nessus Professional?
Upgraden Sie auf Nessus Expert – 7 Tage kostenlos.

Nessus Expert kaufen

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Lizenz auswählen

Sonderpreise bis 31. Dezember verlängert.
Mehrjahreslizenz kaufen und noch mehr sparen!

Support und Training hinzufügen