IaaS-Security: Schwachstellenscanner für Terraform-Skripte im Test

Inhaltsverzeichnis

DevOps und Public Cloud dominieren heute den Alltag in vielen Unternehmen. Sind Infrastrukturkomponenten als Code (IaC) beschrieben und werden sie über Tools wie Terraform automatisiert in der Cloud bereitgestellt, können Sicherheitsexperten schon in frühen Phasen der DevOps-Prozesse aktiv werden. Da die Beschreibung der Infrastruktur als Code vorliegt, können sie diesen, wie jeden anderen Code auch, bereits vor dem Bereitstellen in der Public Cloud auf Schwachstellen hin überprüfen. So lässt sich verhindern, dass verwundbare Infrastrukturen in der Public Cloud überhaupt erst entstehen.

Dieser Artikel widmet sich einigen speziellen Scannern, die für die Suche von Schwachstellen in solchem Code entwickelt worden sind. Die Wahl fiel auf die drei Scanner tfsec, Terrascan und Snyk IaC auf Grundlage ihrer Beliebtheit bei GitHub. Die drei mussten mit der Kombination Terraform als IaC-Werkzeug und AWS als Public Cloud ihre Fähigkeiten unter Beweis stellen. Ziel der Untersuchung war herauszufinden, welche Fehler den Scannern unterlaufen, um Leser bei der Wahl eines Scanners zu unterstützen.

Mehr zu Cloud-Sicherheit

• IT-Security mit Intel TDX: Wie Confidential Computing Schutz in der Cloud bietet
• Ausfall bei AWS: Wenn Managementclients Produktivsysteme lahmlegen
• Cloud-Sicherheit: Konzepte von Amazon, Microsoft und Google auf dem Prüfstand
• Cloud-Sicherheit: Cloud Security Operations Center im Vergleich
• Analyse: So verlässlich sind europäsche Cloud-Dienste
• Kryptografie: Sichere Verschlüsselung bei kollaborativer Datenverarbeitung
• Maßnahmen zur sicheren Nutzung von Public Clouds
• Netzwerksicherheit: So schützt Cisco Umbrella mobile Nutzer & Cloud-Strukturen
• OpenStack absichern: REST-APIs und Datenbanken härten

Armin Berberovic

Armin Berberovic ist aktuell als Senior IT Security Architect in der Luftfahrtindustrie tätig und hat mehrere Jahre Berufserfahrung im Bereich Cloud-Sicherheit und Sicherheit Cloud-nativer Technologien.

Bei allen Kandidaten handelt es sich um Tools zur statischen Codeanalyse. Sie unterziehen den Quellcode einer Reihe automatisierter Prüfungen nach Schwachstellen, ohne ihn jedoch auszuführen. Die Scanner sind für alle gängigen Betriebssysteme verfügbar und lassen sich oft über Paketverwaltungen wie Homebrew für macOS oder Chocolatey (Download) für Windows installieren. Alternativ gibt es je nach Produkt auch Binärdateien, Installationsskripte oder vorgefertigte Docker-Images. Mit Ausnahme von Snyk IaC lassen sich alle Scanner ohne Accounteinrichtung beim Hersteller nutzen. Neben AWS arbeiten alle Scanner ebenfalls mit den beiden anderen großen Cloud-Anbietern Azure und GCP sowie mit Kubernetes – Letzteres sowohl in der Cloud als auch lokal.

Das war die Leseprobe unseres heise-Plus-Artikels "IaaS-Security: Schwachstellenscanner für Terraform-Skripte im Test". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Fernsehen mit und ohne Kabel: So gucken Mieter weiter

Nach der Umstellung auf DVB-T2 vor gut fünf Jahren grätscht nun das Nebenkostenprivileg in den gewohnten TV-Empfang. Diese Alternativen gibt es.

---

Selbstständig machen mit eigenem Softwareprojekt: GmbH oder UG gründen

Mit der Gründung einer GmbH oder UG macht man sein Projekt zum Beruf – und wird Chef. Wir zeigen, wie die Online-Gründung abläuft.

---

Gefährdete Router: Verkehr mit dubiosen Internetdomains verhindern

Unbekannte haben einen dubiosen Server unter dem Domainnamen fritz.box betrieben. Wir zeigen, wie man unerwünschten Verkehr mit zweifelhaften Servern vermeidet.

---

Das deutsche Gasnetz: Was daraus werden soll und was Verbraucher wissen müssen

Erdgas steht vor dem Aus und das Gasnetz vor dem Umbau: In welche Richtung es sich entwickeln kann und was das für die Gaskunden bedeutet.

---

Datensicherheit für Solaranlagen: Dem Inverter auf den Zahn gefühlt

Unsichere Balkonsolaranlagen können Daten ins Internet senden. Wir haben dagegen eine Lösung zum Nachrüsten, für die Sie nur ein ESP-Board benötigen.

---

Smartes Klimagerät: Ecoflow Wave 2 im Test

Wenn man ein Balkonkraftwerk betreibt, ist ein Klimagerät kein Luxus mehr. Denn wenn es richtig heiß ist, steht auch genügend günstiger Solarstrom bereit.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Fernsehen mit und ohne Kabel: So gucken Mieter weiter

Nach der Umstellung auf DVB-T2 vor gut fünf Jahren grätscht nun das Nebenkostenprivileg in den gewohnten TV-Empfang. Diese Alternativen gibt es.

---

Selbstständig machen mit eigenem Softwareprojekt: GmbH oder UG gründen

Mit der Gründung einer GmbH oder UG macht man sein Projekt zum Beruf – und wird Chef. Wir zeigen, wie die Online-Gründung abläuft.

---

Gefährdete Router: Verkehr mit dubiosen Internetdomains verhindern

Unbekannte haben einen dubiosen Server unter dem Domainnamen fritz.box betrieben. Wir zeigen, wie man unerwünschten Verkehr mit zweifelhaften Servern vermeidet.

---

Das deutsche Gasnetz: Was daraus werden soll und was Verbraucher wissen müssen

Erdgas steht vor dem Aus und das Gasnetz vor dem Umbau: In welche Richtung es sich entwickeln kann und was das für die Gaskunden bedeutet.

---

Datensicherheit für Solaranlagen: Dem Inverter auf den Zahn gefühlt

Unsichere Balkonsolaranlagen können Daten ins Internet senden. Wir haben dagegen eine Lösung zum Nachrüsten, für die Sie nur ein ESP-Board benötigen.

---

Smartes Klimagerät: Ecoflow Wave 2 im Test

Wenn man ein Balkonkraftwerk betreibt, ist ein Klimagerät kein Luxus mehr. Denn wenn es richtig heiß ist, steht auch genügend günstiger Solarstrom bereit.