【51CTO.com快译】基础架构即代码(IaC)使云资源配置更快速、更简单、更具扩展性。它还使我们有机会进行比较简单的更改，从而对我们的云安全状况产生持久影响。

为了表明这一点，我们分析了实际环境中的IaC模块最常见的亚马逊网络服务(AWS)安全错误。我们在本文中剖析了最常见的不合规AWS策略以及相关的风险。我们还将介绍解决每个错误所需的简单的构建时Terraform配置。

确保存储在S3存储桶中的所有数据安全地静态加密

S3支持使用AES-256加密标准进行简单的免费加密。众所周知，有人可能访问存储您数据的硬盘，而S3存储桶静态加密对于防止数据暴露在这些人的面前很重要。

为了符合该策略——PCI-DSS和NIST-800要求这样，需要默认情况下对相关存储桶设置加密。这将使保存到该S3存储桶的所有后续项目都被自动加密。

将以下块添加到Terraform S3资源以添加AES-256加密：

server_side_encryption_configuration { 

  rule { 

    apply_server_side_encryption_by_default { 

      sse_algorithm = "AES256" 

    } 

  } 

} 

确保存储在Launch Configuration EBS中的所有数据已安全加密

亚马逊弹性块存储(EBS)卷支持内置加密，但默认情况下不加密。EBS Launch Configurations指定了可被Auto Scaling组用来配置Amazon EC2实例的Amazon EC2 Auto Scaling启动配置。

加密整个EBS卷后，静态存储在卷上的数据、磁盘I/O、从该卷创建的快照以及EBS和EC2之间的传输中数据都将被加密。

让您的数据保持静态加密可确保未经授权的人无法访问。PCI-DSS也要求遵守该策略。 为防止Terraform模块中出现该AWS错误，确保为EBS Launch Configurations启用了加密：

resource "aws_launch_configuration" "as_conf" { 

  name_prefix = "terraform-lc-example-" 

  image_id = data.aws_ami.ubuntu.id 

  instance_type = "t2.micro" 

+ encrypted = enabled 

确保对客户创建的CMK进行轮换已启用

AWS密钥管理服务(KMS)允许客户轮换备用密钥。密钥材料存储在KMS中，并与客户主密钥(CMK)的密钥ID绑定在一起。备用密钥用于执行加密操作，比如加密和解密。密钥自动轮换目前保留所有先前的备用密钥，以便透明地进行加密数据解密。

密钥未轮换的时间越长，使用它加密的数据就越多，被危及的可能性就越大。泄露这种密钥会泄露使用该密钥加密的所有数据，因此强烈建议每年轮换一次加密密钥。

默认情况下，CMK自动轮换未启用，但是建议启用以帮助减小密钥泄漏的潜在影响。还需要启用它，以符合PCI-DSS、CSI和ISO27001。

想解决Terraform中的这个错误配置，启用密钥轮换：

resource "aws_kms_key" "kms_key_1" { 

  description = "kms_key_1" 

  deletion_window_in_days = 10 

  key_usage = "ENCRYPT_DECRYPT" 

  is_enabled = true 

 + enable_key_rotation = true 

} 

确保DynamoDB时间点恢复(备份)已启用

Amazon DynamoDB的时间点恢复(PITR)让您只需点击一下即可恢复DynamoDB表数据。您在深入研究数据泄露和数据损坏攻击时，这提供了故障保护，这也是PIC-DSS、CIS和ISO27001所要求的。

然而要创建和访问DynamoDB备份，您需要启用PITR，PITR提供了可使用各种编程参数来控制的持续备份。

通过在DynamoDB表上配置point_in_time配置，解决该错误配置：

resource "aws_dynamodb_table" "basic-dynamodb-table" { 

  name = "GameScores" 

  billing_mode = "PROVISIONED" 

  read_capacity = 20 

  write_capacity = 20 

  hash_key = "UserId" 

  range_key = "GameTitle" 

+ point_in_time-recovery = enabled 

确保推送时进行ECR图像扫描已启用

Amazon ECR支持使用“常见漏洞和披露”(CVE)数据库来扫描容器镜像中的漏洞。 建议您在每次推送时启用ECR，帮助识别不良镜像以及将漏洞引入到镜像中的特定标签。

ISO27001要求，必须在每次推送时启用ECR扫描。要修复构建时资源，请将scan_on_push设置为true：

resource "aws_ecr_repository" "foo" { 

  name = "bar" 

  image_tag_mutability = "MUTABLE" 

  image_scanning_configuration { 

+ scan_on_push = true 

  } 

} 

确保存储在SQS队列中的所有数据已加密

Amazon简单队列服务(Amazon SQS)允许对通过每个队列发送的消息进行加密。通过基于消息的加密来拒绝访问特定数据，这实现了另一级别的数据访问管理，并通过进行加密来保护敏感数据。

如果您置身于受监管的市场，比如要遵守医疗界的HIPAA、金融界的PCI DSS和政府界的FedRAMP，需要确保用服务传递的敏感数据消息是静态加密的。

可通过指定SQS用来加密SQS配置块上数据的KMS密钥，避免这种错误配置。

在Terraform中，设置时间长度(以秒为单位)，在该时间长度内Amazon SQS可在再次调用AWS KMS之前重复使用数据密钥来加密或解密消息。

resource "aws_sqs_queue" "terraform_queue" { 

  name = "terraform-example-queue" 

+ kms_master_key_id = "alias/aws/sqs" 

+ kms_data_key_reuse_period_seconds = 300 

} 

结论

如您所见，修复IaC错误配置常常需要向已经存在的块添加简单的缺少的配置参数，或者将不正确的值改为合规状态。然而，进行这些小的更改可能产生重大影响，因为它们将为将来的部署提供信息。

通过构建时在IaC模板和模块中实施常见的安全策略，您可以解决现有问题，防止新的错误配置被部署。这也是一个好方法，可以节省这方面的时间：新的基础架构启用后，揪出生产环境中一再出现的问题。这就是为什么我们认为IaC对于日益关注云的组织而言必不可少。

原文标题：Avoid the 5 Most Common Amazon Web Services Misconfigurations in Build-Time，作者：Nimrod Kor

【51CTO译稿，合作站点转载请注明原文译者和出处为51CTO.com】