My Services

Yandex Terraform scan

https://cloud.yandex.ru/docs/security/domains/secure-config#terraform

generate

При развертывании ВМ рекомендуется:

  • Подготовить образ ВМ, настройки системы в котором соответствуют вашей политике информационной безопасности. Создать образ можно с помощью Packer, см. раздел Начало работы с Packer.

  • Использовать этот образ для создания ВМ или группы ВМ.

  • В информации о ВМ убедиться, что для создания диска использовался именно этот образ.

Terraform

Terraform позволяет управлять облачной инфраструктурой с помощью файлов конфигураций. При изменении файлов Terraform автоматически определяет, какая часть вашей конфигурации уже развернута, что следует добавить или удалить. Подробнее в разделе Начало работы с Terraform.

В файлах конфигураций Terraform не рекомендуется указывать приватную информацию: пароли, секреты, персональные данные, данные платежных систем и др. Вместо этого необходимо использовать сервисы для хранения и использования в конфигурации секретов, например: HashiCorp Vault из Yandex Cloud Marketplace или Yandex Lockbox (для передачи секретов в целевой объект без использования Terraform).

Если все же требуется указать приватную информацию в конфигурации, необходимо принять меры безопасности:

Указывать для приватной информации параметр sensitive = true, чтобы отключить ее вывод в консоль при выполнении команд terraform plan, terraform apply. Использовать terraform remote state. Рекомендуется загружать состояние Terraform в Yandex Object Storage (см. раздел Загрузка состояний Terraform в Object Storage), а также настроить блокировку конфигурации с помощью Yandex Managed Service for YDB для предотвращения одновременного редактирования администраторами (см. пример настройки). Использовать механизм передачи секретов в Terraform через env вместо plain text либо использовать встроенную возможность Yandex Key Management Service по шифрованию данных в Terraform (с помощью отдельного файла с приватными данными) (подробнее о данной технике).

Об обеспечении безопасности Object Storage читайте ниже в подразделе Object Storage.

Важно

После развертывания конфигурации файл конфигурации с приватными данными можно удалить.

Проверяйте ваши Terraform-манифесты с помощью Checkov с поддержкой Yandex Cloud.

Пример: сканирование tf-файлов с помощью Checkov

Пример: хранение состояния Terraform в Object Storage

Last updated