CloudFormation 보안을 위한 간단한 GitHub 작업

CloudFormation을 사용하여 CI(지속적인 통합)를 시작하고 싶었다면 때때로 다소 벅차거나 시간이 많이 걸리는 것처럼 보일 수 있습니다. 많은 솔루션이 너무 복잡해서 제대로 사용하지 못하거나 프로젝트에 전혀 사용하지 않는 경우가 있습니다. 유지 관리해야 하거나 너무 구체적이어서 하나 또는 두 개의 프로젝트에서만 사용할 수 있는 일부 솔루션을 배포해야 하는 상황에 직면해 있습니다.

너무나 흔한 이 시나리오는 AWS CloudFormation용 표준 보안 분석/린팅 도구를 사용하는 cfn-security이라는 매우 간단한 GitHub 작업을 만들도록 이끌었습니다. 이 프로젝트의 목적은 사람들이 CI를 통해 CloudFormation에서 더 나은 보안 사례를 구현하고 GitHub Actions를 시작하도록 장려하는 것이었습니다.

cfn-security GitHub 작업에는 AWS 계정, 사용자 자격 증명 또는 배포된 전용 에이전트가 필요하지 않습니다. 클라우드 보안을 촉진하기 위해 이러한 도구를 사용하도록 장려하기 위해 종속성/전제 조건을 낮추기를 희망합니다. 또한 GitHub 사용자에게 편의를 제공하기 위해 cfn-security 작업은 시작 시 전체 도커 빌드를 수행하지 않으므로 GitHub 작업에 소요되는 시간이 실제로 줄어듭니다.

GitHub Actions is free for a specified amount of minutes a month. Reference About billing for GitHub Actions. Due to this, make sure your actions are as efficient as possible.

현재 cfn-security에는 cfn-nag 및 checkov을 활용하는 스캔이 포함됩니다. 스캔은 CloudFormation 템플릿이 저장된 지정된 디렉토리에 대해 실행됩니다. 전제 조건은 두 가지뿐입니다.

CloudFormation을 개발해야 합니다

프로젝트 내의 한 디렉토리에 저장된 템플릿이 필요합니다

.

...그렇습니다. 별은 정렬할 필요가 없으며 Jenkins 서버를 프로비저닝할 필요도 없습니다.

이 작업은 GitHub Marketplace에 게시되며 여기에서 찾을 수 있습니다: https://github.com/marketplace/actions/cfn-security 자세한 내용/지침.

시작하기

시작하려면 프로젝트의 루트 디렉토리에 있는 .yml 폴더/디렉토리에 워크플로.github/workflows/ 파일(원하는 대로 이름 지정)을 추가하기만 하면 됩니다. Reference the docs on GitHub Workflow YAML syntax here . 스캔이 테스트할 .yml 또는 .json 파일을 찾는 위치이므로 cloudformation_directory 변수를 업데이트해야 합니다.

Note: a good practice is to store all your CloudFormation templates in a single directory such as ./cloudformation at the root of your project.

cfn-security 워크플로우 파일의 더 많은 예는 프로젝트의 example workflow templates 을 확인하십시오. 여전히 어디서부터 시작해야 할지 모르겠다면 두 개의 보안 검색 작업을 생성할 템플릿all-security-scans.yml을 잘라서 붙여넣기만 하면 됩니다. 필요에 따라 템플릿 입력 변수를 업데이트하십시오.

name: cfn-security Scan

on: [push]

jobs:
  ## cfn-nag security scan
  security-scan-cfn-nag:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v2
    - uses: grolston/cfn-security@master
      with:
        cloudformation_directory: "./cloudformation/" # be sure to update as necessary!
        scanner: "cfn-nag"

  ## checkov security scan
  security-scan-checkov:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v2
    - uses: grolston/cfn-security@master
      with:
        cloudformation_directory: "./cloudformation/" # be sure to update as necessary!
        scanner: "checkov"

이것의 목표는 CloudFormation용 정적 코드 분석 도구의 채택과 이해를 장려하기 위해 가능한 한 단순하게 만드는 것입니다. 보안은 모든 단계에서 DevOps 관행에 구축되어야 하며 이것이 사람들이 시작하는 데 도움이 되기를 바랍니다. CloudFormation 템플릿을 보호할 수 있는 다른 훌륭한 도구와 이를 로컬에서 수행할 수 있는 멋진 IDE 확장이 많이 있습니다.

Reference

이 문제에 관하여(CloudFormation 보안을 위한 간단한 GitHub 작업), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://dev.to/aws-builders/a-simple-github-action-for-securing-cloudformation-1id7

텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.

우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)

좋은 웹페이지 즐겨찾기

개발자 우수 사이트 수집

개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다