Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog da Tenable

Inscrever-se

Gerencie e corrija vulnerabilidades de configuração incorreta da infraestrutura de nuvem com o Tenable.cs e o Terraform Cloud da HashiCorp

Gerencie e corrija vulnerabilidades de configuração incorreta da infraestrutura de nuvem com o Tenable.cs e o Terraform Cloud da HashiCorp

As violações na nuvem estão em alta devido a configurações incorretas evitáveis. Veja como você pode reduzir seus riscos com uma nova integração entre Tenable.cs e Terraform Cloud.

Os ambientes na nuvem atuais são altamente dinâmicos, com novas atualizações continuamente lançadas em produção e cargas de trabalho aumentando e diminuindo com base na demanda do cliente. Em poucos minutos, os engenheiros de nuvem podem ativar e implantar totalmente os recursos na nuvem. Mas, com o aumento da velocidade, muitas vezes vem o aumento do risco. As vulnerabilidades do sistema causadas por configurações incorretas geralmente são ignoradas e podem permanecer meses sem serem detectadas. Como resultado, as violações na nuvem estão aumentando em escala e velocidade. Mais de 30 bilhões de registros foram expostos em 200 violações entre 2018 e 2020 devido apenas a configurações incorretas da infraestrutura na nuvem.

Como você pode reduzir suas chances de sofrer violações causadas por configurações incorretas na nuvem? Nesta postagem, explicamos como a Tenable e a HashiCorp podem ajudar com esse problema, através de uma nova integração entre o Tenable.cs e o Terraform Cloud Run Tasks

Introdução ao provisionamento na nuvem e o Terraform

O provisionamento de recursos na nuvem é um aspecto fundamental da implantação de cargas de trabalho na nuvem. Embora a maioria dos provedores de nuvem tenham seus próprios utilitários de provisionamento, ferramentas de ponta como o Terraform da Hashicorp oferecem benefícios que vão além do que os provedores de nuvem oferecem. O uso do Terraform, uma ferramenta de infraestrutura como código (IaC) de código aberto, para provisionar infraestrutura oferece muitos benefícios para o gerenciamento e as operações do seu ambiente. A Hashicorp Configuration Language (HCL) permite padronizar módulos reutilizáveis de infraestrutura que podem ser usados em projetos e ambientes. Ao usar a infraestrutura, o Terraform lê o estado atual do seu ambiente e determina as alterações necessárias para configurar o ambiente para o estado definido em sua IaC. Isso simplifica o processo de gerenciamento de arquiteturas complexas que podem ser frágeis se mantidas manualmente. A IaC permite que o código seja controlado por versão e fornece melhor visibilidade de como a infraestrutura foi provisionada e configurada.

Principais considerações de segurança do Terraform 

O Terraform também oferece benefícios de segurança. O fluxo de trabalho que envolve o provisionamento de infraestrutura pode ser usado para proteger seu ambiente contra problemas de segurança. Ao aplicar o uso de IaC para alterações no seu ambiente, o código pode ser avaliado para garantir que eventuais defeitos de segurança sejam detectados e mitigados antes que a infraestrutura seja provisionada. As proteções de segurança ou operacionais podem ser codificadas e aplicadas por meio de pipelines CI/CD, portas ou outros meios automatizados para garantir que seu ambiente esteja em conformidade com suas políticas.

Embora o uso de ferramentas como o Terraform simplifique o gerenciamento da infraestrutura, ainda é comum que ocorram erros críticos de configuração da infraestrutura em nuvem. As principais áreas de preocupação para o gerenciamento de vulnerabilidades para ambientes do Terraform incluem:

  • Gerenciamento de segredos: o Terraform requer credenciais para autorizar quaisquer ações de API, necessárias para provisionar a infraestrutura especificada em seu código. Como essas credenciais fornecem acesso privilegiado para criar, gerenciar e destruir seu ambiente, deve-se tomar cuidado para garantir que elas não sejam expostas a pessoas ou processos não autorizados.
  • Gerenciamento do estado do sistema: o Terraform usa um arquivo de estado para rastrear o estado dos recursos de infraestrutura provisionados. Por padrão, o arquivo de estado é armazenado no sistema de arquivos local do sistema em que o Terraform é executado. A persistência de arquivos de estado com o seu código-fonte é uma má ideia, pois eles podem conter segredos ou outras informações confidenciais.
  • Gerenciamento de dependências: o Terraform usa plug-ins chamados "provedores" para interagir com APIs remotas para os recursos definidos no seu código, que são baixados para o sistema onde o Terraform é executado ao acionar o comando "terraform init". Como os provedores gerenciam operações potentes em sua infraestrutura, é importante baixá-los de fontes confiáveis e confirmar, antes de usá-los, que não foram adulterados.
  • Gerenciamento de desvios: em qualquer ambiente empresarial complexo, as alterações manuais podem ocorrer no tempo de execução por meio de mecanismos de emergência ou outros meios. Essas alterações causam um desvio entre o ambiente do tempo de execução e o que foi definido no código do Terraform. Se não for corrigido no código-fonte, as equipes de compilação continuarão usando a versão antiga e/ou os sistemas não atenderão mais aos requisitos de segurança. 

Para obter mais informações sobre as principais considerações de segurança do Terraform, leia a publicação “Guia de DevOps para segurança do Terraform”. 

Como evitar vulnerabilidades do Terraform com o Tenable.cs

O Tenable.cs é uma plataforma de proteção de aplicações nativas da nuvem (CNAPP) voltada ao desenvolvedor e fácil de usar que permite que sua organização proteja recursos de nuvem, imagens de contêiner e ativos de nuvem, fornecendo segurança de ponta a ponta entre código, nuvem e carga de trabalho. Para aplicar as práticas recomendadas, você pode avaliar seu código usando uma ferramenta de análise de código estático, como Terrascan. O Terrascan é um projeto de código aberto criado pela Tenable e é o mecanismo de verificação básico do Tenable.cs. O Terrascan inclui centenas de políticas em vários provedores escritas na linguagem Rego e avalia erros de configuração usando o mecanismo Open Policy Agent (OPA). Essas políticas podem ser estendidas para incluir padrões específicos do seu ambiente. Para aplicá-las ao seu fluxo de trabalho, você pode incluir uma tarefa como parte do seu pipeline de CI/CD que usa o Terrascan para verificar alterações e buscar problemas de segurança nos arquivos HCL. Se algum problema for detectado, a tarefa falhará e uma mensagem de erro indicará que um problema de segurança foi encontrado e precisa ser resolvido.

O Tenable.cs permite que as equipes de segurança e operações na nuvem avaliem os modelos do Terraform quanto a violações de políticas. Você pode integrar a segurança da infraestrutura em nuvem ao pipeline de DevOps para evitar que problemas de segurança cheguem à produção. Você também pode corrigir rapidamente configurações incorretas de IaC diretamente nas ferramentas de desenvolvimento para aplicar políticas no tempo de compilação e no tempo de execução.
 

Falha na política do Tenable.cs
Falha na política do Tenable.cs para um modelo do Terraform (criptografia de armazenamento não habilitada na instância do RDS)

Ação de correção recomendada pelo Tenable.cs
Ação de correção recomendada pelo Tenable.cs para resolver a política com falha. (Ative a criptografia de armazenamento no modelo do Terraform)

Novo! Suporte aprimorado de correção automatizada com o HashiCorp Terraform Cloud Run Tasks

Agora, a Tenable está aprimorando seus recursos para proteger o Terraform com suporte para as novas tarefas do Terraform Cloud Run Tasks da HashiCorp. O Terraform Cloud fornece uma solução hospedada para criar e implantar modelos do Terraform. Usando o novo Terraform Cloud Run Tasks, você pode aproveitar o Tenable.cs para verificar seus modelos do Terraform durante a etapa de implantação do Terraform na nuvem. A integração permite que os clientes do Terraform Cloud detectem quaisquer problemas de segurança em sua IaC usando o Tenable.cs como parte da fase de planejamento da execução do Terraform. Ao adicionar esse suporte para o Terraform Cloud Run Tasks no Tenable.cs, estamos ajudando os desenvolvedores a detectar e corrigir riscos de conformidade e segurança na IaC para que possam mitigar problemas antes que a infraestrutura de nuvem seja provisionada. 

Além disso, conhecer as etapas exatas de correção pode ser demorado e desafiador. É por isso que as recomendações de correção são fornecidas como parte da integração, na forma de uma solicitação pull para o repositório de código-fonte associado ao espaço de trabalho do Terraform, para ajudar a corrigir problemas encontrados nos modelos do Terraform antes de serem provisionados. Os clientes podem aproveitar mais de 1.500 políticas na oferta comercial da Tenable.cs para realizar verificações profundas no Terraform Cloud. Os usuários interessados em ver o guia de configuração sobre como conectar o Tenable.cs ao Terraform Cloud Workspace podem encontrar documentação detalhada aqui.


Para saber mais sobre o Tenable.cs, consulte a ficha de dados ou acesse o webinar sob demanda “Introducing Tenable.cs: Secure Every Step From Code to Cloud”.

Artigos relacionados

Você está vulnerável às últimas explorações?

Insira seu e-mail para receber os alertas de cyber exposure mais recentes em sua caixa de entrada.

tenable.io

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes.

A avaliação do Tenable.io Vulnerability Management também inclui o Tenable Lumin, o Tenable.io Web Application Scanning e o Tenable.cs Cloud Security.

tenable.io COMPRAR

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

65 ativos

Escolha sua opção de assinatura:

Compre já

Teste gratuitamente o Nessus Professional

GRÁTIS POR 7 DIAS

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Comprar o Nessus Professional

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Compre uma licença para vários anos e economize. Inclua o Suporte avançado para ter acesso ao suporte por telefone, pela comunidade e por bate-papo 24 horas por dia, 365 dias por ano.

Selecione sua licença

Compre uma licença para vários anos e economize.

Adicionar suporte e treinamento

Tenable.io

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes.

A avaliação do Tenable.io Vulnerability Management também inclui o Tenable Lumin, o Tenable.io Web Application Scanning e o Tenable.cs Cloud Security.

Tenable.io COMPRAR

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

65 ativos

Escolha sua opção de assinatura:

Compre já

Teste o Tenable.io Web Application Scanning

Tenha acesso completo à nossa oferta mais recente de verificação de aplicações Web desenvolvida para aplicações modernas como parte da plataforma do Tenable.io. Verifique com segurança por vulnerabilidades em todo o seu portfólio online com um alto grau de precisão sem grandes esforços manuais ou interrupção de aplicações Web críticas. Inscreva-se agora mesmo.

A avaliação do Tenable Web Application Scanning também inclui o Tenable.io Vulnerability Management, o Tenable Lumin e o Tenable.cs Cloud Security.

Comprar o Tenable.io Web Application Scanning

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

5 FQDNs

US$ 3.578,00

Compre já

Teste o Tenable.io Container Security

Tenha acesso completo à única oferta de segurança de contêiner integrada a uma plataforma de gerenciamento de vulnerabilidades. Monitore imagens de contêiner por vulnerabilidades, malware e violações de segurança. Unifique sistemas de integração contínua e implantação contínua (CI/CD) para dar suporte às práticas de DevOps, reforçar a segurança e ajudar na conformidade com as políticas da empresa.

Comprar o Tenable.io Container Security

O Tenable.io Container Security habilita com perfeição e segurança os processos de DevOps ao fornecer visibilidade da segurança das imagens de contêiner, incluindo vulnerabilidades, malware e violações de segurança através da integração com o processo de compilação.

Avalie o Tenable Lumin

Visualize e explore sua Cyber Exposure, monitore a redução do risco ao longo do tempo e faça uma análise comparativa com outras empresas do mesmo setor com o Tenable Lumin.

A avaliação do Tenable Lumin também inclui o Tenable.io Vulnerability Management, o Tenable.io Web Application Scanning e o Tenable.cs Cloud Security.

Compre o Tenable Lumin

Entre em contato com um representante de vendas para ver como o Lumin pode ajudar você a obter informações sobre toda a organização e gerenciar o risco cibernético.

Experimente o Tenable.cs

Aproveite o acesso completo para detectar e corrigir erros de configuração da infraestrutura da nuvem e ver vulnerabilidades no tempo de execução. Inscreva-se para uma avaliação gratuita agora mesmo.

A avaliação do Tenable.cs Cloud Security também inclui o Tenable.io Vulnerability Management, o Tenable Lumin e o Tenable.io Web Application Scanning.

Entre em contato com um representante de vendas para comprar o Tenable.cs

Entre em contato com um representante de vendas para saber mais sobre o Tenable.cs Cloud Security e veja como é fácil integrar suas contas na nuvem e obter visibilidade das configurações incorretas e vulnerabilidades da nuvem em questão de minutos.

Teste o Nessus Expert gratuitamente

GRÁTIS POR 7 DIAS

Desenvolvido para a superfície de ataque moderna, o Nessus Expert permite ver mais e proteger sua organização de vulnerabilidades, da TI à nuvem.

Já tem uma licença do Nessus Professional?
Atualize para o Nessus Expert gratuitamente por 7 dias.

Comprar o Nessus Expert

Desenvolvido para a superfície de ataque moderna, o Nessus Expert permite ver mais e proteger sua organização de vulnerabilidades, da TI à nuvem.

Selecione sua licença

Preço promocional prorrogado até 28 de fevereiro.
Compre uma licença para vários anos e economize mais.

Adicionar suporte e treinamento