RSS DEV コミュニティ
フォロー
Terraformステートをパブリックインターネットから隔離する(VPNを構築せずに)
Terraformステートファイルは、クラウド管理において最も機密性の高い成果物であり、インフラストラクチャのマッピングと、潜在的にプレーンテキストのシークレットを含んでいます。デフォルトでは、パブリックエンドポイントを持つクラウドストレージに配置され、アクセスキーのみで保護されています。このキーが侵害されると、攻撃者はインフラストラクチャ全体に即座にアクセスできるようになります。特に認証ベンダーは、あなたのインフラストラクチャを管理する前に、自身の王国を確保する必要があります。
彼らの本番ステートアカウントは、パブリックネットワークからはアクセスできないようにされており、保護のために3段階のアプローチが必要です。最初の課題は、ニワトリと卵の問題であり、リモートステートは既存のバックエンドを必要としますが、それはTerraformによって管理されるインフラストラクチャそのものです。これは2段階のブートストラップによって解決されます。まず、ローカルステートが基本的なストレージアカウントとネットワークを作成し、次にバックエンドがリモートに切り替えられ、ステートが移行されます。
2番目の落とし穴は「リーチ問題」であり、ストレージアカウントをパブリックアクセスを無効にすることによって保護すると、CIパイプラインや仮想ネットワーク外のユーザーから切断されます。一般的な解決策であるVPNゲートウェイは、高価で複雑です。代わりに、コンテナ内のゼロトラストコネクタが、IDを認識するメッシュに参加し、承認されたエンティティがメッシュ経由でプライベートエンドポイントに安全にアクセスできるようにします。これにより、常駐インフラストラクチャ、VPN、またはジャンプボックスの必要がなくなります。
3番目の課題は、多段階のロックダウンプロセスを含みます。最初のTerraform適用でアカウントをプライベートにしようとすると、プライベートパスが存在する前にTerraformがロックアウトされます。したがって、ロックダウンは、ネットワーク、プライベートエンドポイント、およびコネクタが運用された後にのみ実行される、別個の、後続のステップです。この最終コマンドは、パブリックネットワークアクセスを無効にし、アカウントをプライベートメッシュ経由でのみアクセス可能にします。
これらの対策を補強するために、静的認証情報は排除されます。CIパイプラインは、ワークロードIDフェデレーションを使用して認証を行い、短命のOIDCトークンを取得してアクセスしますが、これはすぐに期限切れになります。Terraform自体は、永続的なアクセスキーではなく、ステート操作のために一時的なディレクトリトークンを使用します。このアプローチにより、攻撃者がアクセス権を取得した場合でも、使用される認証情報は一時的で無効になります。
最終的に、ステートファイルの漏洩は、暗号化の侵害ではなく、パブリックアクセスと侵害されたキーに起因することがよくあります。パブリックエンドポイントを削除することで、主要な攻撃ベクトルが排除され、メッシュアクセスなしでは漏洩したキーは無効になります。この包括的なセキュリティへの取り組みは、同社の製品哲学を反映しており、上位ティアだけでなく、すべての顧客に堅牢なセキュリティ機能を提供しています。
