Infrastructure as Code (IaC)セキュリティ

Bridgecrewは、オープン ソース プロジェクトのCheckovを土台に構築されています。Checkovはpolicy-as-codeツールであり、設定ミスをチェックするダウンロード プログラムが多数含まれています。チェック対象は、Terraform、CloudFormation、Kubernetes、Helm、ARMテンプレートなどのIaCテンプレート、およびサーバレス フレームワークです。ユーザーは多数の標準装備ポリシーを活用し、カスタム ルールを追加できます。Bridgecrewは、簡易化されたユーザー エクスペリエンスとエンタープライズ機能によってCheckovを強化しました。

• ポリシーの設定ミスのチェック

  Checkovは多数の標準装備ポリシー(CISなどのベンチマークおよびコミュニティから得られるチェックに基づきます)と照合してIaCテンプレートをチェックします。

• コンテキスト対応ポリシーの活用

  Checkovのポリシーにはグラフベースのチェックが含まれ、インターネットに公開されているリソースは重大度レベルを高くするなど、複雑なポリシーに複数レベルのリソース関係を許可します。

• 機能および統合の拡張

  Checkovは拡張可能に設計されており、カスタム ポリシーやタグを追加できます。また、継続的な統合などのDevOpsツールに追加できるCLIも用意されています。

• Bridgecrewと統合して機能を拡張

  BridgecrewはCheckovのオープン ソース機能を強化しており、スキャンの履歴、さらなる統合、自動修正などに対応します。

開発者が期限を順守するために急いで作業を進める際、説明なしでポリシー違反を指摘しても、不満がたまるだけです。Bridgecrewには、多くのポリシーの自動修復機能と、全ポリシー向けのガイドラインが含まれており、設定ミス修正用の詳細情報が提供されます。

• コンテキストに対応した可視性とポリシー

  Bridgecrewは、リソースおよび依存関係のポリシー違反を明らかにします。また、ポリシーはコンテキストに基づくことができます。たとえば、インターネットからの攻撃にさらされる違反は重大度レベルを高くするなど、優先順位付けに役立てることができます。

• 実用的なガイダンスの提供

  ポリシー違反を指摘する際には、問題を修復するガイダンスとともに、設定ミスに関する実用的なガイドラインを提供します。

• 修復の迅速化のためにコード所有者でクラウドからコードに遡って追跡

  コード修飾子でクラウド リソースをIaCテンプレートに遡って追跡し、問題を迅速に修復する適切なリソースとチームを探索します。

• GitOpsワークフローの有効化

  クラウドの設定ミスをコードに遡って追跡することで、実行時に識別された問題をコードで修正して、IaCテンプレートの利点である拡張性と監査機能を維持することができます。

開発フェーズでコンプライアンスへの順守を開始します。Checkovの背後にあるコミュニティとBridgecrewは、一般的なベンチマークをIaCテンプレートにマッピングして、導入前にクラウド インフラストラクチャでのコンプライアンス問題をチェックします。

• CISベンチマーク違反のチェック

  Center for Internet Security (CIS)ベンチマークに対するIaC設定の継続的な監査を実行します。

• リソース設定を他の一般的なベンチマークと比較します。

  SOC2、HIPAA、PCI-DSSなどの要件に対してIaC設定をベンチマークします。

• リソース履歴に基づいて、監査証跡を保持します。

  問題や修復につながるIaCリソース設定変更の履歴を確認します。

• 個々のフレームワークにレポートをエクスポートします。

  ベンチマークの結果に基づくレポートを、社内レビューまたは外部監査のために、フォーマット済みPDFにエクスポートできます。