DevSecOps/Terraform (2) 썸네일형 리스트형 Terraform Security Hole을 없애기 위한 12가지 Best Practice Terraform은 강력한 IaC(Infrastructure as Code) 도구로, 클라우드 인프라를 코드로 정의하고 자동화할 수 있게 해줍니다. 그러나 잘못 사용하면 심각한 보안 취약점을 만들 수 있습니다. 이 글에서는 Terraform을 사용할 때 반드시 알아야 할 보안 위험 요소들과, 이를 방지하기 위한 핵심 보안 베스트 프랙티스를 정리합니다.Terraform 보안이란?Terraform 보안이란, Terraform으로 작성된 인프라 코드에 대해 보안 사고를 방지하기 위한 설계, 구성, 운영상의 규칙과 절차를 의미합니다.주요 보안 포인트상태 파일 보안자격 증명 및 비밀값 관리접근 제어 (RBAC/IAM)코드 취약점 사전 탐지 (정적 분석)Terraform 사용 시 자주 발생하는 보안 리스크 7가지.. Terraform 보안 분석 도구 tfsec 이란? 오늘날 많은 기업들이 인프라를 코드로 관리하는 Infrastructure as Code (IaC) 방식을 채택하고 있습니다.대표적으로 Terraform을 활용하여 AWS, GCP, Azure 등의 클라우드 리소스를 선언적으로 정의하고 자동으로 구축합니다.그런데 여기엔 한 가지 큰 문제가 있습니다. Terraform 코드는 문법적으로 아무런 문제가 없어도, 보안적으로는 치명적인 설정을 포함할 수 있다는 점입니다.예를 들어 다음과 같은 설정이 그렇습니다.S3 버킷이 퍼블릭으로 열려 있는 경우RDS 인스턴스가 외부에서 접속 가능하게 설정된 경우보안 그룹에서 0.0.0.0/0으로 모든 포트 허용한 경우CloudTrail이나 로그 암호화 설정이 누락된 경우이런 문제는 실제로 리소스를 terraform apply .. 이전 1 다음