基礎結構即程式碼 (IaC) 安全性

在 Terraform、CloudFormation、ARM、Kubernetes 和其他 IaC 範本中識別及修正錯誤設定
Infrastructure as Code (IaC) Security Front
Infrastructure as Code (IaC) Security Back

基礎結構即程式碼 (IaC) 可讓工程師進行雲端基礎結構的版本控制、部署及效能提升,同時充分利用 DevOps 程序。它也讓您有機會主動改善雲端基礎結構的狀況,並減輕安全和營運團隊的負擔。

深入了解如何將您的雲端安全性測試左移

自動化的基礎結構即程式碼安全性

Prisma Cloud 提供的 Bridgecrew 運用了開放原始碼的技術來掃描 IaC 範本以找出整個開發生命週期中的錯誤設定,將安全性嵌入至整合的開發環境、持續整合工具、儲存庫和執行階段環境中。Bridgecrew 在早期階段透過自動化來執行政策即程式碼,以防止部署錯誤設定並提供自動化修正。
  • 持續監管以透過程式碼執行政策
  • 內嵌在 DevOps 工作流程和工具中
  • 透過提取要求實現錯誤設定修正自動化
  • 由社群所支援
    由社群所支援
  • 適用於開發人員的整合
    適用於開發人員的整合
  • 自動化修正
    自動化修正
  • 內建防護措施
    內建防護措施
  • 偏差偵測
    偏差偵測
  • 合規性基準
    合規性基準

PRISMA CLOUD 推出的 BRIDGECREW 解決方案

我們的 IaC 安全方法

由社群所支援

Bridgecrew 內建於開放原始碼專案 Checkov 中。Checkov 是一種下載超過百萬次的政策即程式碼工具,可用來檢查 Terraform、CloudFormation、Kubernetes、Helm、ARM 範本和無伺服器架構等 IaC 範本中的錯誤設定。使用者可利用數百種立即可用的政策並新增自訂規則。Bridgecrew 也透過簡化的使用者體驗和企業功能來增強 Checkov。

  • 檢查政策錯誤設定

    Checkov 會透過以 CIS 等基準為依據的數百種立即可用的政策以及源自社群的檢查對 IaC 範本進行檢查。

  • 充分利用脈絡感知政策

    Checkov 的政策包含了以圖形為基礎的檢查,允許複雜政策的多層級資源關係,例如面向網際網路的資源會有更高的嚴重性等級。

  • 擴充的功能和整合

    Checkov 具有可擴充的設計,除了可新增自訂政策和標籤以外,CLI 也設計為可新增至持續整合和其他 DevOps 工具。

  • 與 Bridgecrew 整合以擴充其功能

    Bridgecrew 可擴充 Checkov 的開放原始碼功能以取得掃描記錄、額外的整合和自動修正等等功能。

由社群所支援

將 IaC 整合為管道的一部分

讓開發人員參與補救是解決問題的最快方法。Bridgecrew 可在最常見的 DevOps 中直接提供意見反應,包括整合式開發環境 (IDE)、持續整合 (CI) 工具和版本控制系統 (VCS)。Bridgecrew 平台也提供額外的彙總及報告。

  • 在整個開發生命週期提供快速意見反應

    Bridgecrew 會與 IDE、CI 工具和 VCS 整合,在開發人員已使用的工具中提供意見反應和防護措施。

  • 透過程式碼審核註解啟用修正程式

    與 VCS 的原生整合可針對識別的錯誤設定,透過每個新的提取要求產生程式碼註解,因此可更容易找到並修正錯誤設定。

  • 在單一位置檢視所有程式碼錯誤設定

    Bridgecrew 包含了集中化的檢視,可在掃描的儲存庫中檢視所有錯誤設定,並透過篩選和搜尋找出程式碼區塊和擁有者。

  • 在 DevOps 工作流程中建立補救工作

    與協作和票證工具之間的整合可產生票證和警示,以通知適當的團隊在 DevOps 工作中加入補救方法。

パイプラインの一部として統合されたIaC

脈絡感知與可採取行動的意見反應

當開發人員為了趕在期限內完成任務而竭盡所能時,只公佈政策違規卻不加以說明則只會讓他們感到無比挫折。Bridgecrew 包含了對於許多政策的自動補救以及所有政策的指南,可提供關於如何修正錯誤設定的詳細資訊。

  • 脈絡感知可視性和政策

    Bridgecrew 會揭示出關於資源和相依性的政策違規,且這些政策也會以特定脈絡為根據,例如網際網路暴露違規的嚴重性等級會較高,因此可協助排定優先順序。

  • 提供可採取行動的指南

    每一種政策違規都會隨附與錯誤設定有關、可採取行動的指導方針,並提供補救該問題的指南。

  • 透過程式碼擁有者從雲端追蹤至程式碼以加快補救速度

    雲端資源可透過程式碼修改程式往回追蹤至 IaC 範本,以尋找正確的資源和團隊來加快補救問題的速度。

  • 啟用 GitOps 工作流程

    將雲端錯誤設定的問題往回追蹤至程式碼,就可透過程式碼修正在執行階段中發現的問題,因此可維持 IaC 範本可擴充性和可稽核性的優勢。

脈絡感知與可採取行動的意見反應

執行的防護措施及預防偏差

在即時交付功能的壓力之下,開發人員總是會依循那些阻力最小的方式。同樣地,當事件發生時,工程師都急著想直接在雲端環境中進行修正,而來不及與 IaC 範本保持同步。因此,您可以建立一個安全的黃金管道來檢查基礎結構即程式碼,並利用防護措施及偏差偵測來執行 GitOps 最佳實務以維護程式碼中的設定。

  • 封鎖嚴重的錯誤設定,防止有人將其新增至儲存庫並進行部署

    在與 CI 工具整合之後,就可透過驗證失敗的方式封鎖錯誤設定,以防止其進入儲存庫或部署程序。

  • 設定自訂層級以封鎖組建

    您可以依個別儲存庫、政策排除和資源抑制來設定驗證失敗的政策層級。

  • 透過自訂政策擴充政策集

    使用 Python、YAML 或 UI 政策編輯器來新增自訂政策,以套用企業特定的政策,包括多個資源、以圖形為基礎的政策。

  • 針對失敗的部署提供可採取行動的資訊

    每個掃描都包含了程式碼審核,其中列出各種錯誤設定以及補救問題的指南,並可自動修正在提取要求中找到的問題。

  • 偵測並補救偏差

    Bridgecrew 可將執行階段設定與 IaC 範本進行比較,以找出直接在雲端環境中進行的變更,並將雲端設定往回追蹤至程式碼和擁有者以將程式碼與雲端同步。

執行的防護措施及預防偏差

合規性基準

一開始就符合開發階段中的合規性。Bridgecrew 以及 Checkov 背後的社群會將常用的基準對應至 IaC 範本,以在部署之前檢查雲端基礎結構中的合規性問題。

  • 檢查 CIS 基準違規

    依照網際網路安全中心 (CIS) 基準持續稽核 IaC 設定。

  • 將資源設定與其他常用的基準比較

    依 SOC2、HIPAA、PCI-DSS 等等的需求建立 IaC 設定的基準。

  • 根據資源記錄維護稽核追蹤

    針對會導致問題和補救的 IaC 資源,審查其設定變更的記錄。

  • 在個別架構中匯出報告

    以基準評估結果為基礎的報告可匯出至預先格式化的 PDF 以進行內部審查或外部稽核。

合規性基準

雲端安全狀況管理模組

可視性、合規性和監管

持續監控全部雲端資源中是否有設定錯誤、弱點和其他安全威脅。簡化合規性報告。

威脅偵測

使用機器學習式以及威脅情報式偵測,加上脈絡式分析來找出風險度最高的安全問題。

數據安全性

持續監控雲端儲存中的安全威脅,控制檔案存取,並緩解惡意軟體攻擊。

基礎結構即程式碼安全性

自動化的 IaC 安全性已嵌入開發人員工作流程。