Segurança de infraestrutura como código (IaC)

Identifique e corrija configurações incorretas nas ferramentas Terraform, CloudFormation, ARM, Kubernetes e em outros modelos de IaC
Solicitar uma demonstração
Infrastructure as Code (IaC) Security Front

A Infraestrutura como código (IaC) permite que os engenheiros controlem a versão, implantem e melhorem a infraestrutura de nuvem utilizando processos de DevOps. Isso também significa uma oportunidade para melhorar de forma proativa a postura da infraestrutura de nuvem e reduzir a sobrecarga das equipes de segurança e operações.

A infraestrutura nativa da nuvem está evoluindo

Em prol da agilidade, as empresas estão adotando novos padrões de designs nativos da nuvem e serviços de nuvem, incluindo infraestrutura como código. Sem uma segurança nativa da nuvem adaptada a essas novas tecnologias, a adoção rápida gera níveis elevados de risco. A proteção dessas novas tecnologias sem provocar problemas para os desenvolvedores é algo essencial para melhorar a postura de segurança da nuvem.

O setor de DevOps muda rapidamente

O ritmo de mudanças do setor de DevOps é medido em dias, e não em meses, o que é viabilizado por metodologias ágeis com processos CI/CD e ferramentas que maximizam a automação. Se a segurança não estiver incorporada nesses processos e ferramentas, fica defasada e o ciclo da versão é rompido. Isso não funciona em ambientes dinâmicos.

A segurança reativa não pode ser dimensionada

Os ciclos de revisão em cascata rompem fluxos de trabalho ágeis e forçam os desenvolvedores a mudar de contexto. Ao mesmo tempo, a estratégia de somente abordar problemas em tempo de execução leva à sobrecarga das equipes de segurança. O feedback antecipado corrige o problema na fonte, o que permite liberar as equipes de desenvolvimento e de segurança.

Segurança de infraestrutura como código automatizada

O Cortex® Cloud faz uma varredura dos modelos de IaC em busca de configurações incorretas e segredos expostos em todo o ciclo de vida de desenvolvimento, incorporando a segurança em ambientes de desenvolvimento integrados, ferramentas de integração contínua, repositórios e ambientes de tempo de execução. O Cortex Cloud aplica antecipadamente a política como código através da automação, evitando a implantação de problemas de segurança e fornecendo correções automatizadas.
  • Governança contínua para aplicar políticas em código
  • Integração às ferramentas e aos fluxos de trabalho do setor de DevOps
  • Correções automatizadas de configurações incorretas através de solicitações de pull
  • Com o suporte da comunidade
    Com o suporte da comunidade
  • Integrações de fácil uso para desenvolvedores
    Integrações de fácil uso para desenvolvedores
  • Correções automatizadas
    Correções automatizadas
  • Grades de proteção integradas
    Grades de proteção integradas
  • Benchmarks de conformidade
    Benchmarks de conformidade
  • Segurança de segredos
    Segurança de segredos
Solução

Nossa abordagem para a segurança de IaC

Com o suporte da comunidade

A segurança de IaC do Cortex Cloud foi desenvolvida no projeto de código aberto Checkov. Checkov é uma ferramenta de política como código com milhões de downloads que verifica as configurações incorretas em modelos de IaC, como Terraform, CloudFormation, Kubernetes, Helm, ARM Templates e estruturas sem servidor. Os usuários podem aproveitar centenas de políticas prontas para uso e acrescentar regras personalizadas. O Cortex Cloud aumenta o Checkov com experiência de usuário simplificada e recursos corporativos.

  • Verificação de configurações incorretas de políticas

    A ferramenta Checkov verifica modelos de IaC em centenas de políticas prontas para uso com base em benchmarks, como CIS, HIPAA, PCI e verificações de origem da comunidade.

  • Uso de políticas de reconhecimento de contexto

    As políticas da ferramenta Checkov incluem verificações baseadas em gráficos que permitem diversos níveis de relacionamentos de recursos para políticas complexas, como níveis mais elevados de gravidade para recursos da Internet.

  • Ampliação de recursos e integrações

    A ferramenta Checkov foi projetada para ser extensível, com a capacidade de incluir políticas personalizadas e tags, assim como interfaces de linha de comando (CLIs) concebidas para serem adicionadas à integração contínua e outras ferramentas de DevOps.

  • Integração com o Cortex Cloud para ampliar as capacidades

    O Cortex Cloud incrementa as capacidades de código aberto da ferramenta Checkov com um histórico de verificações, integrações adicionais, autocorreções, correções inteligentes e muito mais

Backed by the community

Integrada como parte do pipeline

O envolvimento dos desenvolvedores na correção é a forma mais rápida de solucionar os problemas. O Cortex Cloud fornece feedback diretamente nas ferramentas DevOps, incluindo ambientes de desenvolvimento integrado (IDE), ferramentas de integração contínua (CI) e sistema de controle de versão (VCS).

  • Fornecimento de feedback rápido ao longo do ciclo de vida de desenvolvimento

    A solução Cortex Cloud está integrada com IDEs, ferramentas de CI e VCS para fornecer feedback e grades de proteção nas ferramentas que os desenvolvedores já usam.

  • Viabilização das correções com comentários de revisão de código

    Integrações nativas com VCS criam comentários com cada nova solicitação de pull para problemas de segurança de código identificados para facilitar a localização e correção.

  • Veja todos os problemas de segurança de IaC em um único lugar

    O Cortex Cloud inclui uma visão centralizada de todas as configurações incorretas e segredos expostos nos repositórios verificados, com filtragem e pesquisa para encontrar blocos de código e proprietários.

  • Criação de trabalhos de correção nos fluxos de trabalho de DevOps

    As integrações com ferramentas de colaboração e tíquetes podem gerar tíquetes e alertas para notificar as equipes certas para incluir correções nas tarefas de DevOps.

Integrated IaC as part of the pipeline

Reconhecimento de contexto e feedback acionável

Quando os desenvolvedores estão trabalhando o mais rápido possível para cumprir os prazos, as violações de políticas sem explicação simplesmente causam frustração. A solução Cortex Cloud inclui correções automáticas para muitas políticas, juntamente com orientações para todas as políticas no sentido de oferecer informações detalhadas para corrigir configurações incorretas.

  • Políticas e visibilidade com reconhecimento de contexto

    A solução Cortex Cloud identifica violações de políticas para recursos e dependências; as políticas podem ser baseadas em contexto, como uma gravidade maior para violações expostas à Internet, o que ajuda na priorização.

  • Fornecimento de orientações acionáveis

    Cada violação de política inclui orientações acionáveis sobre a configuração incorreta, juntamente com instruções para corrigir o problema.

  • Rastreio da nuvem ao código com proprietários de código para correções mais rápidas

    Os recursos da nuvem são rastreáveis até os modelos de IaC com o modificador de código, para encontrar a equipe e o recurso corretos de modo a corrigir o problema com mais rapidez.

  • Viabilização dos fluxos de trabalho de GitOps

    A possibilidade de rastrear configurações incorretas da nuvem até o código permite que os problemas identificados em tempo de execução sejam corrigidos em código, para manter os benefícios da escalabilidade e auditoria dos modelos de IaC.

Context aware and actionable feedback

Proteções aplicadas

Diante da pressão para fornecer recursos, os desenvolvedores optam pelo caminho da menor resistência. De forma semelhante, durante um incidente os engenheiros podem se apressar para corrigir problemas diretamente nos ambientes de nuvem, deixando os modelos de IaC dessincronizados. Crie um pipeline final seguro para infraestrutura como código para ser examinado e aplicado nas práticas recomendadas de GitOps para utilizar proteções automatizadas.

  • Impeça que problemas graves sejam adicionados a repositórios e implantados

    As integrações com fluxos de trabalho DevOps permitem evitar falhas graves que podem impedir que códigos mal configurados ou segredos expostos entrem em um repositório ou processo de implantação.

  • Definição de níveis personalizados para compilações de bloqueio

    Os níveis de políticas de falhas graves podem ser definidos de acordo com o repositório, assim como as exclusões de políticas e supressões de recursos.

  • Ampliação de conjuntos de políticas com políticas personalizadas

    Adicione políticas personalizadas usando Python, YAML ou o editor de políticas da interface do usuário para aplicar políticas específicas da organização, incluindo políticas baseadas em gráficos e vários recursos.

  • Fornecimento de informações acionáveis sobre implantações malsucedidas

    Toda verificação inclui uma revisão de código com a lista de configurações incorretas contendo orientações para corrigir o problema e autocorreções para problemas identificados nas solicitações de pull.

Enforced guardrails and prevent drift

Recursos adicionais de segurança de aplicativos

GERENCIAMENTO DE POSTURA DE SEGURANÇA DO APLICATIVO

Impeça os riscos de chegar à produção e corrija rapidamente os problemas na origem.

Saiba mais

ANÁLISE DE COMPOSIÇÃO DE SOFTWARE (SCA)

Segurança de código aberto altamente precisa e sensível ao contexto e conformidade de licença

Saiba mais

SEGURANÇA DA CADEIA DE SUPRIMENTOS DE SOFTWARE

Fortaleça seus pipelines de CI/CD, reduza sua superfície de ataque e proteja seu ambiente de desenvolvimento de aplicativos.

Saiba mais

SEGURANÇA DE SEGREDOS

Varredura de segredos multidimensional em todos os repositórios e pipelines.

Saiba mais

Receba as últimas notícias, convites para eventos e alertas de ameaças