tfsec で terraform 管理リソースのセキュリティ強化
2022-09-13

tfsec で terraform 管理リソースのセキュリティ強化

ToC

tfsec を使用し Terraform で管理するリソースのセキュリティを強化する手順を記載します。

ローカルに tfsec インストール

以下例では asdf を利用し導入しています。
asdf は多数言語に対応しており、 rubyenv, nodenv, goenv の様な個々の言語のバージョン切り替えよりも同様の手順でバージョン切り替えが可能で有用です。

参考: https://github.com/woneill/asdf-tfsec

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
asdf plugin-add tfsec https://github.com/woneill/asdf-tfsec

管理バージョン表示
asdf list all tfsec
...
1.27.4
1.27.5
1.27.6

asdf install tfsec 1.27.6

// ローカルの設定
asdf local tfsec 1.27.6

// 上記処理で .tool-versions に `tfsec 1.27.6` が追記される
cat .tool-versions

個々のリソースでルールを除外したいとき

各リソースで tfsec:ignore でルールを除外します。

1
2
resource "aws_lb" "dummy" {
  internal = false # tfsec:ignore:aws-elb-alb-not-public インターネットからのアクセスをする為、許容する

以下の様にリソースの上にコメントして追記しても除外が可能ですが、
複数ある場合に見づらくなる為、個人的には上記の各パラメータに設定する方が見通しが良くなると考えております。

1
2
3
# tfsec:ignore:aws-elb-alb-not-public インターネットからのアクセスをする為、許容する
resource "aws_lb" "dummy" {
  internal = false

プロジェクト全体でルールを除外したいとき

参考: https://aquasecurity.github.io/tfsec/v1.27.6/getting-started/configuration/config/

.tfsec/config.yml を作成し、除外したいルールを追加します。
あくまでも以下はサンプルで、個々の運用によって除外ルールは変更してください。

1
2
3
4
5
6
7
---
exclude:
  # NOTE: IAM Policy で * (ワイルドカード) の使用を回避すると工数増となり対応が難しくなることが多い為、除外する
  - aws-iam-no-policy-wildcards

  # ALB を internet-facing で利用したい場合が主なので除外する
  - aws-elb-alb-not-public
1
2
// tfsec 実行ディレクトリを ./envs/prd としています。
tfsec --config-file .tfsec/config.yml ./envs/prd

GitHub Actions で実行する

Pull Request 作成時をトリガーに tfsec が実行される様になります。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
name: tfsec

on: [pull_request]

jobs:
  tfsec:
    name: tfsec
    runs-on: ubuntu-latest
    timeout-minutes: 3

    strategy:
      fail-fast: false
      matrix:
        directory: ['envs/prd', 'envs/stg']

    steps:
      - name: Checkout
        uses: actions/checkout@v3

      - name: Pick tfsec version
        id: tfsec
        run: echo ::set-output name=tfsec_version::$(grep tfsec .tool-versions| awk '{print $2}')

      - name: install tfsec
        run: |
          curl -L https://github.com/tfsec/tfsec/releases/download/v${{ steps.tfsec.outputs.tfsec_version }}/tfsec-linux-amd64 > /tmp/tfsec
          chmod +x /tmp/tfsec
          sudo mv /tmp/tfsec /usr/local/bin

      - name: Terraform security scan
        run: tfsec --config-file .tfsec/config.yml ${{ matrix.directory }}

まとめ

tfsec を導入することで AWS Config 非準拠ルールへの対応の数多くが実行でき、よりセキュアなアーキテクチャ構築に寄与できます。
Pull Request で tfsec をパスしないとマージできない様にすることで運用ルールとして自動的に適用できるのでよりお勧めです。

そして、 SaaS のサービスは日々進化しており、 tfsec もそれに追従しています。
tfsec の定期的なバージョンアップが必須なのでお気をつけください。

以上
参考になれば幸いです。

tfsec で terraform 管理リソースのセキュリティ強化

https://kenzo0107.github.io/2022/09/12/2022-09-13-setup-tfsec/

Author

Kenzo Tanaka

Posted on

2022-09-13

Licensed under

この記事は気に入りましたか? 著者をサポートする

コメント

フォローする

カテゴリ

最近の記事

タグ

.htaccess3
ALB2
AWS43
Android2
Ansible3
AntiVirus1
Apache4
Chef1
CodeBuild1
Cookie1
Corosync1
Datadog6
Docker9
ECR2
ECS3
ElastiCache1
Elasticsearch3
Email1
FTPS1
Fluentd3
GKE4
GitHub Actions1
Go24
GooglePlay1
Hubot1
JavaScript2
Jenkins3
Kibana2
LINE Notify1
Lambda2
Let's encrypt1
Linux2
MachineLearning4
Monitoring12
MySQL9
Nginx11
OpenSSL1
Outlook1
PHP8
Pacemaker1
Prometheus7
ProxySQL1
Puppeteer2
Python11
Rails4
RaspberryPI4
Reactio1
Redis2
Ruby10
S31
SSL5
Security1
SendGrid2
Slack2
SonarQube3
StatsBot1
Swift1
Terraform6
Twilio1
Unity1
Vagrant3
Vault1
WAF1
Zabbix3
awk1
casperjs1
cpu1
csv2
flask1
git2
i-node1
iftop1
ipinfo1
iptable1
kibana1
macos1
nginx1
no-ip1
ping1
pip1
reCAPTCHA1
sftp1
spam1
ssh3
vim1
wget1
yum1
zsh1

更新を購読する

広告

×