Yandex Terraform scan
Last updated
Was this helpful?
Last updated
Was this helpful?
При развертывании ВМ рекомендуется:
Подготовить образ ВМ, настройки системы в котором соответствуют вашей политике информационной безопасности. Создать образ можно с помощью Packer, см. раздел .
Использовать этот образ для создания ВМ или .
В информации о ВМ убедиться, что для создания диска использовался именно этот образ.
Terraform позволяет управлять облачной инфраструктурой с помощью файлов конфигураций. При изменении файлов Terraform автоматически определяет, какая часть вашей конфигурации уже развернута, что следует добавить или удалить. Подробнее в разделе .
В файлах конфигураций Terraform не рекомендуется указывать приватную информацию: пароли, секреты, персональные данные, данные платежных систем и др. Вместо этого необходимо использовать сервисы для хранения и использования в конфигурации секретов, например: из Yandex Cloud Marketplace или (для передачи секретов в целевой объект без использования Terraform).
Если все же требуется указать приватную информацию в конфигурации, необходимо принять меры безопасности:
Указывать для приватной информации параметр sensitive = true, чтобы отключить ее вывод в консоль при выполнении команд terraform plan, terraform apply. Использовать terraform remote state. Рекомендуется загружать состояние Terraform в Yandex Object Storage (см. раздел ), а также настроить блокировку конфигурации с помощью Yandex Managed Service for YDB для предотвращения одновременного редактирования администраторами (см. пример настройки). Использовать механизм передачи секретов в Terraform через env вместо plain text либо использовать встроенную возможность Yandex Key Management Service по (с помощью отдельного файла с приватными данными) (подробнее о данной технике).
Об обеспечении безопасности Object Storage читайте ниже в подразделе .
Важно
После развертывания конфигурации файл конфигурации с приватными данными можно удалить.
Проверяйте ваши Terraform-манифесты с помощью Checkov с поддержкой Yandex Cloud.
Пример: сканирование tf-файлов с помощью Checkov
Пример: хранение состояния Terraform в Object Storage