首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Fortify软件安全内容 2023 更新 1

除了其他改进之外,客户还可以期望在以下方面进一步消除误报:访问控制:数据库 – 当数据来自数据库时,误报减少Android 不良做法:不必要的组件暴露 – 当 Android 接收器标记为 android...TransportGCP 地形不良做法:过于宽松的服务帐户GCP Terraform 不良做法:过于宽松的服务帐户GCP Terraform 不良做法:Apigee 缺少客户管理的加密密钥GCP 地形配置错误...:缺少客户管理的加密密钥GCP Terraform 不良做法:BigQuery 缺少客户管理的加密密钥GCP 地形配置错误:BigQuery 缺少客户管理的加密密钥GCP Terraform 不良做法:...GCP Terraform 不良做法:发布/订阅缺少客户管理的加密密钥GCP 地形配置错误:发布/订阅缺少客户管理的加密密钥GCP Terraform 不良做法:机密管理器缺少客户管理的加密密钥GCP...协议Azure ARM 配置错误:不安全的活动目录域服务传输密钥管理:过期时间过长AWS CloudFormation 配置错误:不正确的 IAM 访问控制策略密钥管理:过期时间过长Azure ARM

7.7K30
您找到你想要的搜索结果了吗?
是的
没有找到

Terraform实战

Terraform是云无关的,使用Terraform把基础设施部署到AWS与部署到GCP、Azure甚至私有数据中心一样简单(参见图1.2)。...嵌套模块设计 提高软件的抽象度和代码复用,但数据传递可能复杂 4.2 Terraform模块 模块是自包含的代码包,允许把相关资源组合到一起,创建出可复用的组件 每个工作空间都有一个根模块,你在这个目录中运行...只有当在模块之间传递数据时才应使用any类型,绝不要使用any类型来配置根模块上的输入变量。 4.7 部署Web应用程序 目录结构。...在当前目录中,创建一个名为environments的文件夹;在该目录中,创建两个文件——dev.tfvars和prod.tfvars。...这个创建时置备程序调用命令sleep 60,在Create()完成后,Terraform将该资源标记为“已创建”之前等待60s(参见图7.9)。

24810

如何使用TFsec来对你的Terraform代码进行安全扫描

TFsec TFsec是一个专门针对Terraform代码的安全扫描工具,该工具能够对Terraform模板执行静态扫描分析,并检查出潜在的安全问题,当前版本的TFsec支持Terraform v0.12...功能介绍 检查所有提供的程序中是否包含敏感数据; 检查目标代码是否违反了AWS、Azure和GCP安全最佳实践建议; 扫描功能模块(目前只支持本地模块); 计算表达式和值; 评估Terraform的功能函数...当然了,我们也可以使用go get来安装该工具: go get -u github.com/tfsec/tfsec/cmd/tfsec 工具使用 TFsec可以扫描指定的目录,如果没有指定需要扫描的目录...,那么TFsec将扫描当前所在的工作目录。...-e GEN001,GCP001,GCP002 从.tfvars获取值 我们还可以在扫描中从一个tfvars文件中获取值,比如说: --tfvars-file terraform.tfvars 在CI中运行

1.8K30

SRE Production Rediness Review 指南(From GitLab.com)

(可选)如果后来决定不继续执行此提案,请添加工作流程基础设施取消并关闭这个问题 在“审阅者”部分选中所有框后,添加工作流程基础设施完毕标记并关闭问题。...(例如,CIS 是一个很好的基准) 所有云基础设施资源都根据基础设施标签和标签指南进行标记 此功能是否遵循GitLab 安全开发指南?...如果有一个新的terraform状态: terraform 状态存储在哪里,谁可以访问它? 此功能是否为 Terraform 状态添加了秘密?如果是,它们可以存储在机密管理器中吗?...根据我们的数据分类标准如何对数据进行评级(客户数据为红色) 静态数据是否加密?(如果存储由 GCP 服务提供,答案很可能是肯定的) 我们有关于数据访问的审计日志吗?...网络安全(加密和端口在上面的架构图中要清楚) 防火墙遵循最小特权原则(使用 Kubernetes 中的网络策略或云提供商的防火墙) 该服务是否包含在任何 DDoS 保护解决方案中(GCP/AWS 负载均衡器或

1.1K40

Crossplane宣布新项目Terrajet|从Terraform生成供应商

我们是在 Terraform 社区多年来所做的伟大工作的基础上构建的,并将所有与 Terraform 相关的细节抽象出来。...但三大供应商应该得到特别的接受,因为它们推出了大量的 CRD: Jet AWS Provider - 763 CRD[3] Jet Azure Provider - 647 CRD[4] Jet GCP...值得注意的是,我们认为 Crossplane 供应商的长期路径是让供应商维护它们,我们正在积极地与 AWS、Azure 和 GCP 合作,并将继续这样做。...有关更多细节,请参阅供应商策略设计文档[6]。 Terrajet 由 Upbound 孵化并捐赠给 Crossplane 社区。在Upbound 博客[7]上了解更多关于这一激动人心的公告。.../releases/tag/v0.2.0-preview [6]供应商策略设计文档: https://github.com/crossplane/crossplane/blob/master/design

90530

多集群运维(一):自动化交付,构建,部署,发布,监控

以下是这两个步骤的详细扩展: 创建和配置资源清单 在iac_modules仓库下的iac_modules/terraform/gcp/vhost/config.yaml文件中,定义了在GCP中需要的资源配置...region: "asia-northeast1" project_id: "cloudsvcsandbox" bucket_name: "iac_gcp_terraform_state" instances...存储桶:为Terraform状态管理指定了一个存储桶。...流水线利用GitHub Actions的能力,自动执行Terraform脚本,创建和配置在GCP中定义的资源 2.流水线运行成功后,可以从GCP控制台看到资源已经就绪,并且每个环境的基础配置已经完成 接入监控...此外,随着应用数量的增加,采用模板化和标准化策略确实有助于保持工作量的可控性,避免随着规模扩大而出现工作量的线性增长。以上运维实践参考为现代云原生应用的快速开发和运维提供了强大的支持。

34710

如何使用Domain-Protect保护你的网站抵御子域名接管攻击

该工具支持实现以下两个目标: · 扫描一个AWS组织中的Amazon Route53,并获取存在安全问题的域名记录,然后尝试执行域名接管检测; · 可以通过Domain Protect for GCP检测.../ovotech/domain-protect.git 工具使用 以下列命令形式替换Terraform状态S3 Bucket字段(TERRAFORM_STATE_BUCKET); 针对本地测试,拷贝项目中的...tfvars.example,重命名并去掉.example后缀; 输入你组织相关的详情信息; 在你的CI/CD管道中输出Terraform变量; AWS IAM策略 针对最小特权访问控制,项目提供了AWS...IAM策略样例: domain-protect audit policy https://github.com/ovotech/domain-protect/blob/dev/aws-iam-policies...通过笔记本电脑手动执行扫描任务 项目地址 https://github.com/ovotech/domain-protect 参考资料 https://github.com/ovotech/domain-protect-gcp

2.4K30

Terraform 系列-Terraform 简介

Terraform 的主要特点 •基础设施即代码(IaC):基础设施使用高级配置语法进行描述。这允许对数据中心的蓝图进行版本控制,并像对待任何其他代码一样对待它。此外,基础设施可以共享和重复使用。...如:AWS/Azure/GCP/Kubernetes/Aliyun/OCI Providers•模块(Modules): 模块是 Terraform 配置的独立包,允许把相关资源组合到一起,创建出可复用的组件...Terraform 是云无关的,使用它能把基础设施部署到 AWS 与部署到 GCP、Azure 甚至私有云一样简单。...Terraform 不是配置管理工具,它的主要作用是置备资源。Terraform 专注于数据中心和相关服务的更高级别的抽象。...•相比 AWS CloudFormation/GCP Deployment Manager/Azure Resource Manager.

31820

平台工程:从 Kubernetes API 学习

我非常喜欢Terraform。我写过很多Terraform代码。我也写过许多关于Terraform的文章。Terraform的最大缺点是会漂移。...服务需要一个数据库吗?使用CNRM建立一个Cloud SQL实例。团队需要将Pagerduty服务连接到他们的K8s服务吗?使用Crossplane的terraform provider。...你是否希望应用策略以防止创建某些资源,要求某些元数据,限制可以创建资源的位置或要求特定的命名模式?使用一个准入控制器,如Kyverno或OPA Gatekeeper就可以实现。...但是如果你需要一个数据库,它会使用CNRM在你的项目中创建一个Cloud SQL实例,启动一个Cloud SQL代理,配置IAM和GCP/K8s服务帐户,所有这些只需要三行yaml。...他们可以立即获得一个安全配置的数据库。

9210

(转载非原创)Terraform状态State管理,让变更有记录

Terraform系列文章如下: Terraform入门教程,示例展示管理Docker和Kubernetes资源 Terraform插件Provider管理,搜索、定义、下载 Terraform状态State...管理,让变更有记录 Terraform模块Module管理,聚合资源的抽取与复用 Terraform常用命令 State状态是Terraform用于管理基础设施和配置的,它是真实资源的映射,也可以提供大规模基础设施平台的效率...module.pkslow-nginx.kubernetes_service.test: Creation complete after 0s [id=pkslow/pkslow-nginx] 它创建了两个资源,这里在项目的当前目录就会新生成一个...$ mv terraform.tfstate terraform.tfstate.bak $ terraform destroy No changes....生产实践 在生产中,状态文件一般不会保存在本地,通常会保存在云存储中,如etcd、gcp、oss等。

1.3K00

Thoughtworks第26期技术雷达——工具象限

云服务的碳足迹 Cloud Carbon Footprint (CCF)是一款通过云 API来查看AWS、GCP、Azure云平台上碳排放的可视化工具。...它依赖于开放策略代理中的 Rego 语言,能够为 Kubernetes 配置、Tekton 的流水线定义、甚至 Terraform 计划编写测试。...kube-score 的一个显著缺陷是你无法添加自定义策略。在这种情况下,我们使用像Conftest 这样的工具,以弥补它的缺陷。...在开发机器上,这些工具通常安装在用户目录或本机中,这意味着需要一个解决方案,帮助开发者在多个版本之中进行切换。...对于使用谷歌云平台(GCP)的团队来说,可以使用 Terraform Validator 构建策略库,作为检查 Terraform 配置的约束条件。

2K30

如何在 Google Cloud 上部署 EMQX 企业版

您可以轻松地将 IoT Core 上的设备迁移到 EMQX Enterprise,然后继续与 GCP 中的数据服务无缝集成,实现快速迁移而不影响现有业务。...图片 3.在 SSH 终端中进入根目录,并按照以下命令进行安装: 进入根目录: sudo su cd ../../ 使用 wget 命令下载 EMQX 企业版: wget https://www.emqx.com...,您也可以配置从特定 IP 地址接收数据的规则 Protocols and ports: 如果要打开所有端口,请选择 Allow all。...在 Dashboard 上您可以轻松管理和监控 EMQX,管理设备列表,并配置安全、数据集成等各项功能。 写在最后 现在我们已经了解了如何在 GCP 上部署 EMQX 企业版。...除了手动安装外,您还可以通过 EMQX Kubernetes Operator 与 EMQX TerraformGCP 上部署 EMQX 企业版,我们也强烈推荐全托管的 MQTT 消息云服务 EMQX

2.7K10

T Wiki 云安全知识库 5 月份更新汇总

StackRox Idle Life 开源云原生安全防护平台 neuvector da Vinci【达文西】 云安全态势管理工具 CloudSploit Azure 红队利用工具 Stormspotter GCP...IAM 权限提升方法 GCP-IAM-Privilege-Escalation tanger 腾讯云轻量服务器管理工具 TeamsSix 云服务安全漏洞汇总 基于终端 UI 的 k8s 集群管理工具...(英文) 火线云安全知识库 多云靶场搭建工具 TerraformGoat Cloud Security Wiki(英文) 火线云安全沙龙视频 《Hacking Kubernetes》 文章更新内容 《Terraform...使用入门以及在云上攻防中的作用》 《S3 任意文件上传》 《Bucket Object 遍历》 《RDS 信息收集》 《MSSQL 读取实例信息》 《PostgreSQL 数据库 SSRF》 《利用...github.com/teamssix/awesome-cloud-security ---- 往期推荐 APISIX CVE-2022-29266 漏洞分析与复现 T Wiki 云安全知识文库上线 云原生 | Terraform

80620

Crossplane vs Terraform

类似地,Terraform 使用了一个单体式的 apply 进程——并没有什么最佳实践来完成在配置中只修改一部分基础设施的操作。如果缓存和数据库在同一个配置里,就只能同时更新,而无法仅仅更新缓存。...每个团队都只具备自己需要的权限——有的可能只需要管理存储桶、其他的可能有权使用缓存和数据库。...这些服务类别可以表达生产、预发布和开发;AWS、Azure 以及 GCP;快或慢;以及各种条件的组合。 集成和自动化 Terraform 的背后是很多 API,但其自身并没有 API。...如前所述,应用 Terraform 配置的过程是全有或者全无的——如果在同一个配置中对缓存和数据库进行描述,那么无论更新哪个对象,都需要同时更新这两个配置。...它可以和 ArgoCD、Gatekeeper 或者 Velero 进行协作,来进行 GitOps、策略支持以及备份等工作。

1.7K20
领券