こんにちは、Orca Security 担当の尾谷です。
今日は、AWS Summit Japan 2024 で問い合わせの多かった、Shift Left Security に関して、特に Terraform の tf ファイルに記述されたリスクを Orca がどのように指摘するかご紹介します。
Amazon Aurora Cluster ストレージの暗号化を推奨
このスクリーンショットでは、Terraform のコードを展開すると、Aurora のストレージが暗号化されずにデプロイされるため、storage_encrypted = true
を追加すべきだと指摘しています。
バケットポリシーの記述方法を指摘
このスクリーンショットでは、Terraform のコードに記述された、Amazon S3 のバケットポリシーに対して、 Principal
に '*'
を使用すると、全世界に公開された状態になることを指摘しています。
パブリック IP アドレスをアタッチすべきでない
このスクリーンショットでは、Terraform のコードを展開すると、EC2 インスタンスにパブリック IP アドレスをアタッチされるので、 associate_public_ip_address
の設定を削除するか、 associate_public_ip_address=False
にすべきだと指摘しています。
ただ、IP アドレスがないとインターネット接続できないため、前段に ELB をアタッチしたり、NAT Gateway をデプロイするなどの工夫が必要です。
API Gateway Authorizer をアタッチすべき
このスクリーンショットでは、Terraform のコードを展開すると、API Gateway が Authorizer なく公開されてしまう点を指摘しています。
API Gateway のメソッドには API Key を含むべき
このスクリーンショットでは、API Gateway の Key 認証を設定すべきだと指摘しています。
API のバージョンが古い
このスクリーンショットでは、Azure の Azure App Service で展開される API のプロトコルを HTTP2 にすべきだと指摘しています。
パッケージの脆弱性を指摘
このスクリーンショットでは、semver のバージョンが 5.7.1 と低く、CVE-2022-25883 の脆弱性の対象になっているため、7.5.2、6.3.1、5.7.2 にすべきだと指摘をしています。
まとめ
如何でしたでしょうか。
Orca Security の Shift Left Security にある機能「Code Security」で検知できる Terraform のリスク例でした。
今回ご紹介したリスクは、Orca Security が検知できるリスクの一部です。
「これは Orca Security で検知できるの?」
といったご質問があれば、調査しますのでご連絡いただきますようお願いいたします。