Introduction

Terrascan est un analyseur de code statique pour Infrastructure as Code.

Terrascan vous permet de :

  • Analyser de manière transparente l'infrastructure en tant que code pour détecter les mauvaises configurations.
  • Surveiller l'infrastructure cloud provisionnée pour détecter les changements de configuration qui introduisent une dérive de la posture, et permettre de revenir à une posture sécurisée.
  • Détecter les vulnérabilités de sécurité et les violations de conformité.
  • Réduisez les risques avant de provisionner l'infrastructure en nuage.
  • Offre la flexibilité de s'exécuter localement ou de s'intégrer à votre CDCI.

Installation de terrascan

Terrascan est un exécutable portable qui ne nécessite pas strictement d'installation.

Il est également disponible sous forme d'image de conteneur dans Docker Hub.

Vous pouvez utiliser Terrascan de deux façons différentes, selon vos préférences :

  • Installing Terrascan locally
  • Using a Docker container

Exécutable natif

La page de publication de Terrascan contient la dernière version des builds pour les plateformes courantes.

Téléchargez et extrayez le paquet pour votre plateforme. Suivez les instructions qui s'appliquent à votre plateforme :

macOS et Linux

Téléchargez la dernière version des builds pour macOS et entrez la commande suivante.

Remarque : pour Linux, remplacez Darwin par Linux. 

$ curl -L "$(curl -s https://api.github.com/repos/tenable/terrascan/releases/latest | grep -o -E "https://.+?_Darwin_x86_64.tar.gz")" > terrascan.tar.gz
$ tar -xf terrascan.tar.gz terrascan && rm terrascan.tar.gz
$ sudo cp terrascan /usr/local/bin && rm terrascan
$ terrascan

Utilisation d'un conteneur Docker

Terrascan est également disponible sous forme d'image Docker dans Docker Hub et peut être utilisé comme suit (en supposant que Docker soit installé) : 

$ docker run --rm tenable/terrascan version

Si vous souhaitez utiliser l'image Docker, veuillez vous référer à la commande suivante. Notez le volume (-v) qui est mappé au docker, et modifiez-le si nécessaire pour l'adapter à votre environnement. 

$ alias terrascan="docker run --rm -it -v "$(pwd):/iac" -w /iac tenable/terrascan"

Scan avec Terrascan

Dans cet exemple, le projet KaiMonkey contient quelques fichiers Terraform vulnérables à analyser.

Pour exécuter un scan, suivez les étapes suivantes : 

$ git clone https://github.com/tenable/KaiMonkey
...
$ cd KaiMonkey/terraform/aws
$ terrascan scan

Par défaut, Terrascan publie ses résultats dans un format convivial : 

Violation Details -
 
	Description    :	S3 bucket Access is allowed to all AWS Account Users.
	File           :	modules/storage/main.tf
	Line           :	104
	Severity       :	HIGH
	-----------------------------------------------------------------------
 
	Description    :	S3 bucket Access is allowed to all AWS Account Users.
	File           :	modules/storage/main.tf
	Line           :	112
	Severity       :	HIGH
	-----------------------------------------------------------------------
 
	Description    :	Ensure that your RDS database has IAM Authentication enabled.
	File           :	modules/storage/main.tf
	Line           :	45
	Severity       :	HIGH
	-----------------------------------------------------------------------
 
	Description    :	Ensure VPC flow logging is enabled in all VPCs
	File           :	modules/network/main.tf
	Line           :	4
	Severity       :	MEDIUM
	-----------------------------------------------------------------------
 
	Description    :	EC2 instances should disable IMDS or require IMDSv2
	File           :	modules/compute/main.tf
	Line           :	124
	Severity       :	MEDIUM
	-----------------------------------------------------------------------
 
	Description    :	http port open to internet
	File           :	modules/network/main.tf
	Line           :	102
	Severity       :	HIGH
	-----------------------------------------------------------------------
 
	Description    :	Enabling S3 versioning will enable easy recovery from both unintended user actions, like deletes and overwrites
	File           :	modules/storage/main.tf
	Line           :	104
	Severity       :	HIGH
	-----------------------------------------------------------------------
 
	Description    :	Enabling S3 versioning will enable easy recovery from both unintended user actions, like deletes and overwrites
	File           :	modules/storage/main.tf
	Line           :	112
	Severity       :	HIGH
	-----------------------------------------------------------------------
 
	Description    :	AWS CloudWatch log group is not encrypted with a KMS CMK
	File           :	modules/compute/main.tf
	Line           :	115
	Severity       :	HIGH
	-----------------------------------------------------------------------
 
Scan Summary -
 
	File/Folder         :	/var/folders/2g/9lkfm6ld2lv350svwr15fdgc0000gn/T/x9wqg4/terraform/aws
	IaC Type            :	terraform
	Scanned At          :	2021-01-15 03:11:31.869816 +0000 UTC
	Policies Validated  :	571
	Violated Policies   :	9
	Low                 :	0
	Medium              :	2
	High                :	7

Vous devriez voir un total de 9 violations, qui sont détaillées dans la sortie.

Maintenant que vous avez compris comment exécuter Terrascan, vous pouvez explorer les différentes options disponibles.

Si vous ne souhaitez pas que Terrascan utilise os.TempDir() pour le téléchargement/clonage des fichiers du référentiel distant, vous pouvez spécifier le répertoire à utiliser en définissant la variable d'environnement TERRRASCAN_CUSTOM_TEMP_DIR.

Annexe

https://runterrascan.io/

https://github.com/tenable/terrascan

Ce site web utilise des cookies. En utilisant le site Web, vous acceptez le stockage de cookies sur votre ordinateur. Vous reconnaissez également que vous avez lu et compris notre politique de confidentialité. Si vous n'êtes pas d'accord, quittez le site.En savoir plus