ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

Orca Security の Shift Left Security - Code Security で検知できるリスクの例をご紹介します。

こんにちは、Orca Security 担当の尾谷です。

今日は、AWS Summit Japan 2024 で問い合わせの多かった、Shift Left Security に関して、特に Terraform の tf ファイルに記述されたリスクを Orca がどのように指摘するかご紹介します。

Amazon Aurora Cluster ストレージの暗号化を推奨

このスクリーンショットでは、Terraform のコードを展開すると、Aurora のストレージが暗号化されずにデプロイされるため、storage_encrypted = true を追加すべきだと指摘しています。

バケットポリシーの記述方法を指摘

このスクリーンショットでは、Terraform のコードに記述された、Amazon S3 のバケットポリシーに対して、 Principal'*' を使用すると、全世界に公開された状態になることを指摘しています。

パブリック IP アドレスをアタッチすべきでない

このスクリーンショットでは、Terraform のコードを展開すると、EC2 インスタンスにパブリック IP アドレスをアタッチされるので、 associate_public_ip_address の設定を削除するか、 associate_public_ip_address=False にすべきだと指摘しています。
ただ、IP アドレスがないとインターネット接続できないため、前段に ELB をアタッチしたり、NAT Gateway をデプロイするなどの工夫が必要です。

API Gateway Authorizer をアタッチすべき

このスクリーンショットでは、Terraform のコードを展開すると、API Gateway が Authorizer なく公開されてしまう点を指摘しています。

API Gateway のメソッドには API Key を含むべき

このスクリーンショットでは、API Gateway の Key 認証を設定すべきだと指摘しています。

API のバージョンが古い

このスクリーンショットでは、Azure の Azure App Service で展開される API のプロトコルを HTTP2 にすべきだと指摘しています。

パッケージの脆弱性を指摘

このスクリーンショットでは、semver のバージョンが 5.7.1 と低く、CVE-2022-25883 の脆弱性の対象になっているため、7.5.2、6.3.1、5.7.2 にすべきだと指摘をしています。

まとめ

如何でしたでしょうか。

Orca Security の Shift Left Security にある機能「Code Security」で検知できる Terraform のリスク例でした。
今回ご紹介したリスクは、Orca Security が検知できるリスクの一部です。

「これは Orca Security で検知できるの?」

といったご質問があれば、調査しますのでご連絡いただきますようお願いいたします。