クラウドセキュリティを体系化する開発者ファーストのプラットフォームであるBridgecrewは、最近、State of Open Source Terraform Securityレポートを公開した。パブリックおよびオープンソースのTerraformレジストリ内で約2,600のTerraformモジュールをスキャンするために、同社はオープンソースのInfrastructure-as-Code(IaC)静的分析ツールであるCheckovを利用した。重要な発見の1つは、AWSリソースのプロビジョニングに使用されるモジュールが誤って構成されている可能性が高いということである。
報告書では、Terraformが盛況であることを強調されており、2020年第2四半期にTerraformレジストリ内のモジュールに対するコントリビューションが劇的に増加したことが述べられている。ただし、IaCセキュリティはコミュニティの最優先事項ではないようで、これらのモジュールの48%が誤って構成されている。Bridgecrewの共同創設者兼製品担当副社長であるGuy Eisenkot氏は、「組織がDevSecOpsの原則をますます採用しているときに、IaCレベルでのセキュリティカバレッジと認識のギャップに驚きました」と述べている。
レポートは、Checkovチェックの大部分が失敗したことを強調している。その理由は、エンジニアリングチームがデータのセキュリティとトレーサビリティを強化するためのモジュールのオプションの引数を定義しなかったためである。チェックは、クラウドプロバイダー全体に適用可能なインターネットセキュリティセンター(CIS)によって定義された分類に従ってカテゴライズされた。
レポートにより、IaCレベルでのロギングの定義についての認識の欠如が指摘され、バックアップとリカバリのカテゴリが、失敗したチェックの81%を占めており、最も共通して失敗したチェックカテゴリであることが示された。ロギングと暗号化はそれぞれ2位と3位であった。AWSモジュールでは、これらのカテゴリのチェックの半分以上が失敗した。
レジストリモジュールのダウンロードを見ると、1500万を超えるダウンロードに誤って構成されたリソースが含まれていた。レポートでは、これらの設定ミスがリスクを表していないことが明らかにされ、影響が組織の全体的なコンプライアンス態勢にあることが説明された。レポートはさらに、ダウンロード数が最も多い上位10のモジュールのうち、8つに設定ミスが含まれていると結論付けた。最もダウンロードされている誤って設定されたモジュールには、AWS RDS、AWS EKS、AWS ELB、AWS IAMなどのトップクラスの広く使用されているサービスが含まれている。
並行して、HashiCorpの広報担当者は、The New Stackに対してEnterpriseエディションの利点を強調した。「HashiCorpでは、オープンソースの利点を犠牲にすることなく、組織やチームにガバナンスをもたらすことに重点を置いています。Terraform CloudとEnterpriseの製品はこのレポートで述べられているシナリオを回避するためのガバナンスとコンプライアンスを備えた組織を支援します。」
これに加えて、Terraformレジストリには、Hashicorpがモジュールの信頼性を確認したことを示す「確認済み」ステータスがあるが、これはHashicorpがモジュールの内容をレビューしたことを示すものではない。
結論として、レポートは、設定ミスを迅速かつ早期に修正することを推奨している。これは、バックアップとログの監査ポリシーを組み込み、ネットワークまたはIAMのサイズ変更に対する包括的なアプローチを採用することで実現される。そして、既存の非IaCワークロードを、保存時および転送時に明示的な暗号化定義を使用して事前に検証されたモジュールに移行することで実現される。
State of Open Source Terraform Security 2020の完全版は、BridgecrewのWebサイトからダウンロードできる。