0
Help us understand the problem. What are the problem?

posted at

updated at

Organization

TerraformのコードをスキャンするSnyk IaC(+OSSのツール)をGitHub Actionsで試す

本記事の内容は執筆時点(2022/6/21)での内容です。今後のアップデートにより結果が変わる可能性があります。

Terraformのコード(HCL)をスキャンすることができるSnyk IaCをGitHub Actionsから利用する方法を紹介します。またSnyk IaCのほかにもTerraform用のOSSスキャンツールであるtfsec、terrascanも試してみて、それぞれのスキャン結果についてみていこうと思います。

スキャン対象のコード

本記事においては、TerraformでAWSのサービスをプロビジョニングするシナリオで進めていきます。
具体的には以下のような構成でAWSを構築します。

  • 1つのVPCと1つのパブリックサブネット
  • パブリックサブネットにEC2を配置
  • EC2にセキュリティグループを割り当て、インターネットからのssh(22ポート)を許可

スキャン対象のコードは以下の通りです。少し長いので内容の気になる方は展開して確認してください。

スキャン対象のTerraformのコード
resource "aws_vpc" "example" {
  cidr_block           = "10.0.0.0/16"
  enable_dns_support   = true
  enable_dns_hostnames = true
}

resource "aws_subnet" "example" {
  cidr_block        = "10.0.1.0/24"
  availability_zone = "ap-northeast-1a"
  vpc_id            = aws_vpc.example.id

  map_public_ip_on_launch = true
}

resource "aws_internet_gateway" "example" {
  vpc_id = aws_vpc.example.id
}

resource "aws_route_table" "example" {
  vpc_id = aws_vpc.example.id
}

resource "aws_route" "example" {
  gateway_id             = aws_internet_gateway.example.id
  route_table_id         = aws_route_table.example.id
  destination_cidr_block = "0.0.0.0/0"
}

resource "aws_route_table_association" "example" {
  subnet_id      = aws_subnet.example.id
  route_table_id = aws_route_table.example.id
}


resource "aws_security_group" "example" {
  vpc_id = aws_vpc.example.id
  name   = "example"
}

resource "aws_security_group_rule" "in_ssh" {
  security_group_id = aws_security_group.example.id
  type              = "ingress"
  cidr_blocks       = ["0.0.0.0/0"]
  from_port         = 22
  to_port           = 22
  protocol          = "tcp"
}

resource "aws_security_group_rule" "out_all" {
  security_group_id = aws_security_group.example.id
  type              = "egress"
  cidr_blocks       = ["0.0.0.0/0"]
  from_port         = 0
  to_port           = 0
  protocol          = "-1"
}

data "aws_ssm_parameter" "amzn2_ami" {
  name = "/aws/service/ami-amazon-linux-latest/amzn2-ami-hvm-x86_64-gp2"
}

resource "aws_instance" "example" {
  ami                    = data.aws_ssm_parameter.amzn2_ami.value
  vpc_security_group_ids = [aws_security_group.example.id]
  subnet_id              = aws_subnet.example.id
  instance_type          = "t2.micro"
}

GitHub Actionsのワークフロー

事前準備と注意

Snyk Iacを利用するためにはSnykにサインアップして、Auth Tokenを取得する必要があります。
こちらの手順に従ってサインアップし、Auth Tokenを取得してください。
取得したAuth TokenはGitHub Secretに保存します。今回のシナリオではSNYK_TOKENという名前で保存しています。

また、Snyk IaCの無償プランではスキャン回数に上限があります。(月に300回まで)

ワークフローの作成

次にようなワークフロー定義を用意しました。
それぞれについて簡単に解説します。

name: terraform-sast
on:
  pull_request:

jobs:
  terraform-sast:
    runs-on: ubuntu-latest
    permissions:
      contents: read
    steps:
      - uses: actions/checkout@v2

      - name: Run Snyk to check configuration files for security issues
        uses: snyk/actions/iac@master
        env:
          SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}
        with:
          file: <terraformのコードが存在するディレクトリ>      

      - name: tfsec
        uses: aquasecurity/tfsec-action@v1.0.2
        with:
          soft_fail: true
          working_directory: <terraformのコードが存在するディレクトリ>  

      - name: Run Terrascan
        uses: tenable/terrascan-action@main
        with:
          iac_type: 'terraform'
          iac_version: 'v14'
          policy_type: 'aws'
          only_warn: true
          iac_dir: <terraformのコードが存在するディレクトリ> 

Snykによるコードスキャン

こちらのactionsを利用します。先ほど取得したAuth Tokenをパラメータとしてわたします。
なお、Snykではmonitorコマンドを利用することで、GUI上で脆弱性を確認出来たり、継続した監視ができる機能を提供します。本記事では詳細に触れませんが、気になる方は試してみてください。

tfsecによるコードスキャン

tfsecを利用したactionsはいくつかありますが、tfsec開発元のAqua Securityが公開しているものを利用します。
このactionsはスキャンのみのシンプルなものですが、Pull Requestにスキャン結果をコメントしてくれるactionsも存在します。

terrascanによるコードスキャン

tenableが開発するterrascanですが、こちらも公式のactionsを利用します。terrascanはTerraformに加えて、kubernetesのマニフェストやkustomize、helmなどもスキャンできます。パラメータからTerraform、AWSを利用することを指定します。

GitHub Actionsの実行結果

GitHub Actionsの実行結果を見ていきます。検出された脆弱性は以下の通りです。

ツール Critical High Medium Low
Snyk IaC 0 0 3 4
tfsec 2 2 0 3
terrascan 0 2 1 1

個別の中身について確認していきます。

Snyk IaCの検出結果

検出された脆弱性の重大度はいずれもMedium以下でした。セキュリティグループでパブリックアクセスが有効になっている、EC2の利用するストレージが暗号化されていない、といった脆弱性を確認できます。設定を変更することでクラウドの堅牢性が向上する(制約が増える)ものが多い印象です。

検出された脆弱性はいずれもSnykの管理するルールと紐づいています。

Terraformのコード上のどのリソースにどのような脆弱性が含まれているか、およびどのパラメータによりそれを制御できるかを確認できるようになっていました。

Snyk IaCの検出結果出力
  ✗ AWS Security Group Rule allows public access [Medium Severity] [SNYK-CC-TF-37] in VPC
    introduced by resource > aws_security_group_rule[in_ssh] > cidr_blocks
  ✗ Non-Encrypted root block device [Medium Severity] [SNYK-CC-TF-53] in EC2
    introduced by resource > aws_instance[example] > root_block_device > encrypted
  ✗ Rule allows open egress [Low Severity] [SNYK-CC-TF-72] in VPC
    introduced by resource > aws_security_group_rule[out_all]
  ✗ EC2 instance accepts IMDSv1 [Low Severity] [SNYK-CC-TF-130] in EC2
    introduced by resource > aws_instance[example] > metadata_options
  ✗ Missing description [Low Severity] [SNYK-CC-TF-56] in VPC
    introduced by resource > aws_security_group[example] > description
  ✗ EC2 API termination protection is not enabled [Low Severity] [SNYK-CC-AWS-426] in EC2
    introduced by resource > aws_instance[example] > disable_api_termination
  ✗ Public IPs are automatically mapped to instances [Low Severity] [SNYK-CC-AWS-427] in VPC
    introduced by resource > aws_subnet[example] > map_public_ip_on_launch

tfsecの検出結果

重大度がCriticalの2件の脆弱性が確認できました。セキュリティグループのイングレス、エグレスのパブリックアクセスが有効になっていることがCriticalとして検出されています。Snyk IaCにおいてはそれぞれMedium、Lowの重大度でした。リソースのDescriptionが書かれていない、のようなリソースを管理するうえで必要な設定が不足しているという検出結果が多い印象です。

出された脆弱性はいずれもAqua Securityの管理するルールと紐づいています。

Terraformのコード上のどのリソースにどのような脆弱性が含まれているか、およびどのパラメータによりそれを制御できるか、参考URLを確認できるようになっていました。

tfsecの検出結果出力
Result #1CRITICALSecurity group rule allows ingress from public internet.
────────────────────────────────────────────────────────────────────────────────
main.tf:43
────────────────────────────────────────────────────────────────────────────────
   40  resource"aws_security_group_rule""in_ssh" {
   41  security_group_id = aws_security_group.example.id
   42  type              = "ingress"
   43  [cidr_blocks       = ["0.0.0.0/0"]
   44  from_port         = 22
   45  to_port           = 22
   46  protocol          = "tcp"
   47  }
────────────────────────────────────────────────────────────────────────────────
        ID aws-vpc-no-public-ingress-sgr
    Impact Your port exposed to the internet
Resolution Set a more restrictive cidr range
More Information
-https://aquasecurity.github.io/tfsec/v1.26.0/checks/aws/vpc/no-public-ingress-sgr/
-https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/security_group_rule#cidr_blocks
────────────────────────────────────────────────────────────────────────────────
Result #2CRITICALSecurity group rule allows egress to multiple public internet addresses.
────────────────────────────────────────────────────────────────────────────────
main.tf:52
────────────────────────────────────────────────────────────────────────────────
   49  resource"aws_security_group_rule""out_all" {
   50  security_group_id = aws_security_group.example.id
   51  type              = "egress"
   52  [cidr_blocks       = ["0.0.0.0/0"]
   53  from_port         = 0
   54  to_port           = 0
   55  protocol          = "-1"
   56  }
────────────────────────────────────────────────────────────────────────────────
        ID aws-vpc-no-public-egress-sgr
    Impact Your port is egressing data to the internet
Resolution Set a more restrictive cidr range
More Information
-https://aquasecurity.github.io/tfsec/v1.26.0/checks/aws/vpc/no-public-egress-sgr/
-https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/security_group
────────────────────────────────────────────────────────────────────────────────
Result #3HIGHInstance does not require IMDS access to require a token
────────────────────────────────────────────────────────────────────────────────
main.tf:62-71
────────────────────────────────────────────────────────────────────────────────
   62  resource"aws_instance""example" {
   63  ami                    = data.aws_ssm_parameter.amzn2_ami.value
   64  vpc_security_group_ids = [aws_security_group.example.id]
   65  subnet_id              = aws_subnet.example.id
   66  instance_type          = "t2.micro"
   67  
   68  tags = {
   69  Name = "example"
   70    }
   71   }
────────────────────────────────────────────────────────────────────────────────
        ID aws-ec2-enforce-http-token-imds
    Impact Instance metadata service can be interacted with freely
Resolution Enable HTTP token requirement for IMDS
More Information
-https://aquasecurity.github.io/tfsec/v1.26.0/checks/aws/ec2/enforce-http-token-imds/
-https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/instance#metadata-options
────────────────────────────────────────────────────────────────────────────────
Result #4HIGHRoot block device is not encrypted.
────────────────────────────────────────────────────────────────────────────────
main.tf:62-71
────────────────────────────────────────────────────────────────────────────────
   62  resource"aws_instance""example" {
   63  ami                    = data.aws_ssm_parameter.amzn2_ami.value
   64  vpc_security_group_ids = [aws_security_group.example.id]
   65  subnet_id              = aws_subnet.example.id
   66  instance_type          = "t2.micro"
   67  
   68  tags = {
   69  Name = "example"
   70    }
   71   }
────────────────────────────────────────────────────────────────────────────────
        ID aws-ec2-enable-at-rest-encryption
    Impact The block device could be compromised and read from
Resolution Turn on encryption for all block devices
More Information
-https://aquasecurity.github.io/tfsec/v1.26.0/checks/aws/ec2/enable-at-rest-encryption/
-https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/instance#ebs-ephemeral-and-root-block-devices
────────────────────────────────────────────────────────────────────────────────
Result #5LOWSecurity group explicitly uses the default description.
────────────────────────────────────────────────────────────────────────────────
main.tf:35-38
────────────────────────────────────────────────────────────────────────────────
   35   resource"aws_security_group""example" {
   36  vpc_id = aws_vpc.example.id
   37  name   = "example"
   38  }
────────────────────────────────────────────────────────────────────────────────
        ID aws-vpc-add-description-to-security-group
    Impact Descriptions provide context for the firewall rule reasons
Resolution Add descriptions for all security groups
More Information
-https://aquasecurity.github.io/tfsec/v1.26.0/checks/aws/vpc/add-description-to-security-group/
-https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/security_group
-https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/security_group_rule
────────────────────────────────────────────────────────────────────────────────
Result #6LOWSecurity group rule does not have a description.
────────────────────────────────────────────────────────────────────────────────
main.tf:40-47
────────────────────────────────────────────────────────────────────────────────
   40  resource"aws_security_group_rule""in_ssh" {
   41  security_group_id = aws_security_group.example.id
   42  type              = "ingress"
   43  cidr_blocks       = ["0.0.0.0/0"]
   44  from_port         = 22
   45  to_port           = 22
   46  protocol          = "tcp"
   47  }
────────────────────────────────────────────────────────────────────────────────
        ID aws-vpc-add-description-to-security-group-rule
    Impact Descriptions provide context for the firewall rule reasons
Resolution Add descriptions for all security groups rules
More Information
-https://aquasecurity.github.io/tfsec/v1.26.0/checks/aws/vpc/add-description-to-security-group-rule/
-https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/security_group
-https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/security_group_rule
────────────────────────────────────────────────────────────────────────────────
Result #7LOWSecurity group rule does not have a description.
────────────────────────────────────────────────────────────────────────────────
main.tf:49-56
────────────────────────────────────────────────────────────────────────────────
   49  resource"aws_security_group_rule""out_all" {
   50  security_group_id = aws_security_group.example.id
   51  type              = "egress"
   52  cidr_blocks       = ["0.0.0.0/0"]
   53  from_port         = 0
   54  to_port           = 0
   55  protocol          = "-1"
   56  }
────────────────────────────────────────────────────────────────────────────────
        ID aws-vpc-add-description-to-security-group-rule
    Impact Descriptions provide context for the firewall rule reasons
Resolution Add descriptions for all security groups rules
More Information
-https://aquasecurity.github.io/tfsec/v1.26.0/checks/aws/vpc/add-description-to-security-group-rule/
-https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/security_group
-https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/security_group_rule
────────────────────────────────────────────────────────────────────────────────
timings
  ──────────────────────────────────────────
disk i/o             25.6µs
parsing              1.462609ms
adaptation           138.001µs
checks               41.260244ms
total                42.886454ms
counts
  ──────────────────────────────────────────
modules downloaded   0
modules processed    1
blocks processed     11
files read           1
results
  ──────────────────────────────────────────
passed               1
ignored              0
critical             2
high                 2
medium               0
low                  3
1 passed, 7 potential problem(s) detected.

terrascanの検出結果

検出された脆弱性がほかの2ツールよりも少ない4つでした。ほかの2ツールでは検出されていたEC2のストレージの暗号化の脆弱性が検出されていません。
ルールセットはtenableが管理するもので、この3つの中では一番ルールの数が少ないです。

Terrascan IaCの検出結果出力
	Description    :	EC2 instances should disable IMDS or require IMDSv2 as this can be related to the weaponization phase of kill chain
	File           :	main.tf
	Module Name    :	root
	Plan Root      :	./
	Line           :	62
	Severity       :	MEDIUM
	-----------------------------------------------------------------------
	Description    :	Security Groups - Unrestricted Specific Ports - (SSH,22)
	File           :	main.tf
	Module Name    :	root
	Plan Root      :	./
	Line           :	40
	Severity       :	HIGH
	-----------------------------------------------------------------------
	Description    :	Ensure that detailed monitoring is enabled for EC2 instances.
	File           :	main.tf
	Module Name    :	root
	Plan Root      :	./
	Line           :	62
	Severity       :	HIGH
	-----------------------------------------------------------------------
	Description    :	Ensure VPC flow logging is enabled in all VPCs
	File           :	main.tf
	Module Name    :	root
	Plan Root      :	./
	Line           :	1
	Severity       :	LOW
	-----------------------------------------------------------------------

考察とまとめ

いずれのツールを用いた場合においても、非常に簡単にGitHub Actionsに組み込めることを確認できました。

「GUIによるリッチな表示の恩恵を受けたい」、「IaC以外のアプリケーションの脆弱性チェックなども含めて統合的に管理したい」といったユースケースにはSnyk、「OSSでTerraformのスキャンを簡易に実施したい」といったユースケースにはtfsecがいいのではと考えています。

最後までお読みいただきありがとうございました。

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Sign upLogin
0
Help us understand the problem. What are the problem?