Terrascan加入Nessus社区,使Nessus验证现代云基础设施
![Terrascan加入Nessus社区](http://www.yyueer.com/de/sites/default/files/images/articles/AdobeStock_167188458.jpeg)
添加Terrascan Nessus家庭的产品帮助用户更好的安全云本地基础设施通过识别错误配置,安全漏洞,违反政策通过扫描基础设施代码存储库。尝试Terrascan在您的浏览器中Terrascan沙箱。
23年前,当Nessus是由Renaud Deraison,电脑扫描引擎是专为物理上连接到集线器和交换机,很少改变,总是可用,除非有人周末关闭他们的系统。快进到当前日期:几乎每一个组织都有一个云战略和新的工作负载可以在几分钟内上下旋转在全球各地只需要点击几下。
这只会遵循安全专家的策略和工具用来评估系统的安全需要改变。特别是在处理云原生环境需要安全从业者做深入探究的核心配置文件(即基础设施代码)为了验证秘密管理、RBAC、加密、用户权限和其他控制由个体开发人员配置。
这就是为什么我们决定整合Nessus Terrascan,我们的开源IaC安全分析仪。Terrascan使云安全从业者扫描基础设施代码并找到安全问题作为软件交付过程的一部分。包括Terrascan Nessus使Nessus用户安全评估的范围扩大到包括现代云基础设施的验证之前部署。
介绍Terrascan:云安全测试
作为Terrascan的创造者,我认为这是一个超级令人兴奋的机会对于Nessus和Terrascan社区。来自安全和风险管理背景,我能与安全团队面临的挑战,当他们的公司移动云战略。除了处理获得一个全新的堆技术,安全团队成员必须处理新的工作流程和要求。
我记得我的第一个公共云的项目之一。该公司已决定,需要重写一个关键的面向客户的系统使用原生云架构以保持竞争力。它设置一个时间表的12周的发布工作。为此,他们创造了一个跨职能团队,包括从业务代表、软件开发、架构、安全性和运营团队。我从安全到项目团队。
起初似乎令人生畏的任务。有很多学习和实现在很短的时间内,安全团队的代表,我想确保安全嵌入到每一个决定。这意味着有一个可伸缩的方式审查和提供网络安全设置和配置、身份和访问管理政策,并确保任何云资源配置安全最佳实践。
速度、一致性和可伸缩性与基础设施代码
在那个时候我发现了一个工具叫起程拓殖和的概念基础设施代码(IaC)。起程拓殖我们能够快速地使用条款以一致的方式我们的基础设施代码来提供我们的基础设施的地方并排住到我们的应用程序代码。相比,这是一个巨大的利益的事物都是我们本地的数据中心,在那里我们票务系统与使用安全团队,开发人员安全视为一个黑盒,一个孤立的团队处理。
但是等待?标准化和安全检查呢?
我很快意识到IaC起程拓殖之类的工具仍然需要高水平的治理,以确保每一个团队和开发人员遵守安全标准和统一建设基础设施。没有过程,确保标准和安全控制,开发团队可以迅速和持续推动资源配置错误的大规模投入生产。这翻译成不得不花越来越多的时间执行手工起程拓殖模板和代码的评论。不仅是这一过程的低效利用时间但也不是可伸缩,并将结果在失踪的产品交付的最后期限和/或释放代码来生产,没有进行过安全问题。
我知道我们需要一种不同的方法在云中安全,开始思考解决方案。
安全标准的实施和风险缓解Terrascan
有鉴于此,我开发了一个扫描仪起程拓殖——开放源代码Terrascan。
为什么Terrascan ?
一般来说,企业决定开始到云转换旅程来降低成本和增加他们的敏捷开发团队。我发现采用像Terrascan这样的工具和其他云安全最佳实践安全团队有助于这些目标环境的同时也降低了风险。采用policy-as-code安全方法可以更好地了解整个组织的安全控制,在开发过程中尽早发现问题。这有助于减少在生产中发现和修复的成本问题,而让开发团队发布的信心。
今天,Terrascan特性可插拔的体系结构,使用同样的方法来扫描多个IaC和原生云解决方案包括起程拓殖,AWS CloudFormation,蔚蓝的资源管理器,Kubernetes,执掌,Kustomize,并用于解决两个核心问题:
标准化:Terrascan有助于实现代码的政策包括500 +政策跨多个提供者配置错误使用的评估开放代理(OPA)引擎。使用底层的“政府改造”语言、政策可以很容易地编写和扩展到包括任何特定于您的环境标准。常见的安全漏洞的例子可以很容易地减轻使用Terrascan包括:
- 服务器端加密配置错误
- 使用AWS密钥管理服务(公里)与客户管理钥匙(CMS)
- 加密在途的SSL / TLS未启用和配置正确
- 互联网安全组对公众开放
- 无意的云服务的公开曝光
- 访问日志未启用资源,支持他们
降低风险:使用Terrascan您可以很容易地将云基础设施的安全集成到DevOps管道防止安全问题达到生产。这包括集成工具如亚特兰蒂斯,阿尔戈CD, GitLab和GitHub的行动。
为什么开源?
我们的信念是站得住脚的,安全是一个重要的基本问题的云项目。建立开源工具Terrascan有助于规范和民主化的安全,任何人都可以做出贡献。所有组织都受益于它,和社区本身,有安全策略开放给大家看看我们可以快速识别的最佳实践。然后我们可以应用这些跨所有应用程序的最佳实践,让我们的代码库社区成员积极贡献支撑政策基础和轻松修改以满足其特定需求。
今天开始Terrascan !
Nessus中访问新Terrascan能力是一个微风。你需要做的第一件事是下载最新Nessus版本(10.1.2或更高版本)。一旦你重新登录,点击新的Terrascan资源项目安装左边导航菜单。
一旦安装完毕,你准备发射第一个Terrascan评估。它是那么容易!
想尝试在浏览器中Terrascan今天好吗?试一试Terrascan沙箱和扫描IaC语言像码头工人,Kubernetes起程拓殖和几个点击。与Terrascan沙箱你一次扫描更安全的代码。
相关文章
- Nessus