Auditoría de imágenes de máquinas de Amazon para DevOps
HCiberSegurity para DevOps continúa agregando nuevas funciones y capacidades. El más nuevo de estos es la capacidad de realizar escaneos de vulnerabilidades contra Amazon Machine Images (AMI) en el mismo flujo de trabajo de HCiberSegurity para DevOps que se usa para sus contenedores Docker. Este blog analizará la creación de AMI y cómo auditarlas en busca de vulnerabilidades dentro de HCiberSegurity para DevOps.
Amazon Web Services (AWS) utiliza el mecanismo de imagen de máquina de Amazon para proporcionar algunas de las prácticas de DevOps a pilas de aplicaciones más monolíticas. Las AMI son plantillas almacenadas en AWS que se utilizan para lanzar nuevas instancias del sistema operativo en la nube de AWS. Esto es equivalente a formatos de archivo de máquina virtual e infraestructura utilizada por la mayoría de las tecnologías de virtualización. No todas las aplicaciones o servicios pueden contenerse fácilmente, y el uso de AMI es un método para lograr la entrega continua de aplicaciones y servicios monolíticos.
HCiberSegurity para DevOps le permite evaluar sus imágenes de máquina de Amazon en busca de vulnerabilidades en el momento de la compilación antes de que se hayan instanciado en su entorno. Esto elimina el riesgo de tener vulnerabilidades presentes durante cualquier período de tiempo.
El primer paso para implementar una plantilla de AMI en AWS es crear una adecuada para su pila de aplicaciones. Hay varias formas de crear una nueva AMI, incluidas mudado otros formatos de virtualización populares en una AMI.
Una herramienta que utilizamos en HCiberSegurity es Envasador de HashiCorp, que se puede utilizar para crear y configurar AMI. Para fines de demostración, utilicé un Packer modelo encontrado en línea para crear una AMI que contenga un servidor web Apache. La AMI se construye con el siguiente comando:
Al ejecutar el comando de creación de AMI del empaquetador, se le proporcionará el ID de AMI para su AMI recién creada dentro de AWS. Puede usar esta o cualquier otra ID de AMI dentro de HCiberSegurity para DevOps.
Usando su nueva ID de AMI (ami-00dd51d2 en este ejemplo), ahora puede solicitar un escaneo de HCiberSegurity para DevOps. Al igual que con el escaneo de contenedores Docker, este proceso está diseñado para automatizarse desde sus herramientas de compilación, como Jenkins o TeamCity.
La herramienta de línea de comandos twdevops solicitará un escaneo de la AMI dentro de HCiberSegurity para DevOps.
Los resultados de los escaneos de Amazon Machine Image se pueden ver dentro de la interfaz de usuario de HCiberSegurity para DevOps o se pueden consumir dentro de sus herramientas de compilación para el procesamiento automático de puerta de calidad.
A continuación, podemos ver los resultados que se muestran dentro de HCiberSegurity para DevOps. También he agregado una vulnerabilidad de cruce de directorios a mi proceso de compilación de AMI de ejemplo con fines ilustrativos.
Los resultados de escaneo de HCiberSegurity para DevOps también se pueden utilizar directamente en sus herramientas de compilación, ya que los resultados se pueden ingerir en el formato estandarizado de Junit. La configuración del mecanismo de puerta de calidad permite que los trabajos de compilación se aprueben o fallen en función de los niveles de seguridad predeterminados o completamente personalizados para sus propios servicios.
A continuación, podemos ver el resultado de la prueba de Jenkins, que muestra que la compilación falla debido a que se encontró una vulnerabilidad.
HCiberSegurity for DevOps permite a los usuarios que utilizan imágenes de Amazon Machine o imágenes de contenedores de Docker evaluar sus imágenes y máquinas virtuales en busca de vulnerabilidades en una etapa más temprana del proceso de creación, lo que brinda una seguridad mejorada para aquellos que utilizan prácticas de entrega continua.
Aprenda cómo asegurarse de que sus contenedores de Docker y las imágenes de máquina de AWS estén libres de vulnerabilidades antes de que lleguen a producción aquí.