Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
【tfsec】拡張機能で「より身近」にセキュリティスキャンやってみた

【tfsec】拡張機能で「より身近」にセキュリティスキャンやってみた

Clock Icon2022.02.22

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは!AWS事業本部コンサルティング部のたかくに(@takakuni_)です。

今回は、Visual Studio Codeの拡張機能で、**「より身近」**にtfsecを体験してみようと思います。

tfsecの基本的な使い方は、以下ブログをご参照ください。

https://dev.classmethod.jp/articles/tfsec-overview-scanning/

結論

  • 「ローカル」と「身近」を掛けただけです
  • 「ローカルはVS Code、CICDパイプランはCLI」のパターンがオススメ
  • 回避コードの追記がとても便利!
  • VS Code以外の拡張機能の実装も期待

やってみた

事前準備

VPC周りとセキュリティグループを作成するコードを使用します。

vpc.tf
module "vpc" {
  source  = "terraform-aws-modules/vpc/aws"
  version = "3.12.0"
  # insert the 23 required variables here
  cidr = "10.0.0.0/16"
  name = "terraform-reintroduction"
  public_subnets = ["10.0.0.0/24", "10.0.1.0/24"]
  azs = ["ap-northeast-1a", "ap-northeast-1c"]
}

resource "aws_security_group" "allow_tls" {
  name        = "allow_tls"
  description = "Allow TLS inbound traffic"
  vpc_id      = module.vpc.vpc_id

  ingress {
    description      = "TLS from VPC"
    from_port        = 443
    to_port          = 443
    protocol         = "tcp"
    cidr_blocks      = [module.vpc.vpc_cidr_block]
  }

  egress {
    from_port        = 0
    to_port          = 0
    protocol         = "-1"
    cidr_blocks      = ["0.0.0.0/0"]
    ipv6_cidr_blocks = ["::/0"]
  }

  tags = {
    Name = "allow_tls"
  }
}

インストール

まずは、VS Codeの拡張機能をインストールします。

https://marketplace.visualstudio.com/items?itemName=tfsec.tfsec

スキャンしたいフォルダを開きます。

tfsecのサイドバーから「Run tfsec now」をクリックすれば、スキャンが開始されます。

構成要素

大きく分けて、「Findings Explorer」と「Findings Help」の2つで構成されています。

Findings Explorerとは

Findings Explorerでは、「重要度」、「ルール」、「どの部分」が参照できます。

とくに、「どの部分」が的確にわかる点、魅力的ですね。

Findings Help

Findings Helpでは、「是正方法」が書いてあります。

GUIで、一元的に可視化できるのは大変便利だと思います。

検知回避の便利さ

検知されたルールは、「#tfsec:ignore:ルール名」をコメント追加することで、検知を回避されます。

ルール回避は、右クリックで簡単に、コメント追加できます。

また、検知回避の範囲を右クリックの場所でコントロールできます。

たとえば、「aws-vpc-no-public-egress-sgr」を回避するには、ルールを右クリックし、「Ignore All Instances」をクリックします。

インバウンドのみでセキュリティグループを管理するケースもあるので、非常に便利だと思いました。

まとめ

今回は、拡張機能でより身近に、tfsecを体験してみました。

コード修正毎に、CLIで実行は大変なので、積極的に使ってみようと思います。

以上、AWS事業本部コンサルティング部のたかくに(@takakuni_)でした!

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.