基础设施即代码 (IaC) 安全

识别并修复 Terraform、CloudFormation、ARM、Kubernetes 和其他 IaC 模板中的错误配置
基础架构即代码 (IaC) 安全前面图像

基础设施即代码 (IaC) 使工程师能够在利用 DevOps 流程的同时对云基础设施进行版本控制、部署和改进。这也提供了一个机会,可以主动改善云基础设施的状况,减轻安全和运营团队的负担。

自动化基础设施即代码安全

Cortex® Cloud 在整个开发生命周期内扫描 IaC 模板,查找错误配置和暴露的机密,将安全性嵌入集成开发环境、持续集成工具、资源库和运行时环境中。Cortex Cloud 通过自动化尽早执行策略即代码,防止部署安全问题并提供自动修复。
  • 持续治理以在代码中强制实施策略
  • 嵌入 DevOps 工作流和工具
  • 通过拉取请求自动修复错误配置
  • 以社区为后盾
    以社区为后盾
  • 开发者友好的集成
    开发者友好的集成
  • 自动修复
    自动修复
  • 内置护栏
    内置护栏
  • 合规性基准
    合规性基准
  • 机密安全
    机密安全
解决方案

我们的 IaC 安全方法

以社区为后盾

Cortex Cloud IaC 安全性基于开源项目 Checkov 构建。Checkov 是一个策略即代码工具,下载量达数百万次,用于检查 IaC 模板中的错误配置,这些模板包括 Terraform、CloudFormation、Kubernetes、Helm、ARM 模板和无服务器框架。用户可以利用数百个现成的策略并添加自定义规则。Cortex Cloud 通过简化的用户体验和企业功能增强了 Checkov。

  • 检查策略配置错误

    Chekov 基于基准(例如 CIS、HIPAA、PCI)和社区来源的检查,根据数百个开箱即用的策略检查 IaC 模板。

  • 利用情境感知策略

    Checkov 的策略包括基于图形的检查,允许复杂策略的多层次资源关系,例如面向互联网的资源的更高严重性级别。

  • 扩展功能和集成

    Checkov 设计为可扩展的,能够添加自定义策略和标记,并且具有设计成添加到持续集成和其他 DevOps 工具中的 CLI。

  • 与 Cortex Cloud 集成以扩展其功能

    Cortex Cloud 通过扫描历史记录、附加集成、自动修复、智能修复等增强了 Checkov 的开源功能

以社区为后盾

作为管道的一部分集成

让开发人员参与修复是修复问题的最快方法。Cortex Cloud 直接在 DevOps 工具中提供反馈,包括集成开发环境 (IDE)、持续集成 (CI) 工具和版本控制系统 (VCS)。

  • 在整个开发生命周期中提供快速反馈

    Cortex Cloud 与 IDE、CI 工具和 VCS 集成,在开发人员已经使用的工具中提供反馈和防护。

  • 支持带有代码审阅注释的修复程序

    与 VCS 的本机集成会为已识别的代码安全问题的每个新拉取请求创建注释,以便更轻松地查找和修复它们。

  • 在一处查看所有 IaC 安全问题

    Cortex Cloud 可集中查看所有错误配置和扫描存储库中暴露的机密,并通过过滤和搜索功能查找代码块和所有者。

  • 将修复工作构建到 DevOps 工作流中

    与协作和票证工具的集成可以生成票证和警报,以通知正确的团队向 DevOps 任务添加修正。

作为管道的一部分集成

情境感知和有价值的反馈

当开发人员以尽可能快的速度达成最后期限要求时,如果提供违反策略的情况而没有解释,只会导致挫败感。Cortex Cloud 为许多策略提供了自动补救措施,并为所有策略提供了指导原则,详细说明如何修复错误配置。

  • 情境感知的可视性和策略

    Cortex Cloud 会显示违反资源和依赖关系的策略,并可根据情境制定策略,比如对互联网上暴露的违规行为规定更高的严重性,从而帮助确定优先级。

  • 提供切实可行的指导

    每一项违反政策的行为都有关于错误配置的切实可行的指南以及纠正问题的指导。

  • 使用代码所有者跟踪云到代码,以更快实现修复

    云资源可以通过代码修饰符追溯回 IaC 模板,以找到正确的资源和团队来快速解决问题。

  • 支持 GitOps 工作流

    通过将云错误配置追溯回代码,可以在代码中修复运行时中发现的问题,从而保持 IaC 模板的可扩展性和可审核性优势。

情境感知和有价值的反馈

强制防护

在交付功能的压力下,开发人员往往遵循阻碍最小的路径。类似地,在事故发生期间,工程师可以直接在云环境中匆忙修复问题,造成 IaC 模板不同步。创建一个安全的黄金管道,用于审查基础设施即代码,并利用自动化的防护措施来执行 GitOps 最佳实践。

  • 阻止将严重问题添加到存储库并部署

    与 DevOps 工作流程的集成允许硬故障,这些故障可能阻止配置错误的代码或暴露的秘密信息进入存储库或部署过程。

  • 为阻止构建设定自定义级别

    可以为每个存储库设置硬故障策略级别,以及按策略排除和按资源抑制。

  • 通过自定义策略扩展策略集合

    使用 Python、YAML 或 UI 策略编辑器添加自定义策略,以应用特定于企业的策略,包括多资源、基于图形的策略。

  • 提供有关失败部署的有价值信息

    每次扫描都包括一次代码检查,其中包含错误配置列表,以及纠正问题的指南,并自动修复在拉取请求中识别的问题。

强制防护

更多应用程序安全功能

应用安全态势管理

防止风险影响生产,从源头快速修复问题。

软件构成分析 (SCA)

高度准确和情境感知的开源安全性和许可证合规性

软件供应链安全

强化您的 CI/CD 管道、减少攻击面并保护您的应用程序开发环境。

机密安全

存储库和管道中的全栈、多维机密内容扫描。