AWS Community Day Hong Kong 2025 Recap

Pagtugon sa AWS Compliance gamit ang Terraform

Recap Series

Rekording

https://youtu.be/l7YgSdK-ypw

Mga Open Source Project at Hilig sa Pagpapasimple

Kasalukuyang Project: compliance.tf

  • Layunin nitong pasimplehin ang pagpapatupad ng compliance gamit ang Terraform.
  • Kawili-wiling larangan ang compliance, ngunit mahirap pa itong ipatupad sa Terraform sa kasalukuyan.
  • Nilikha ito upang hindi na kailangang ipatupad ng mga tao mula sa simula ang mga karaniwang service at pattern.
  • Sinusuportahan nito ang configuration ng mahigit 50 AWS service.

Pagninilay sa Trabaho kumpara sa Kasiyahan

  • Inihambing ang masiglang pananaw ng mga nakaraang henerasyon sa pagbuo ng kinabukasan sa kasalukuyang pagtutok sa mga compliance framework at automation.
  • Kinilalang maaaring ituring na nakababagot ang compliance work kumpara sa mas aktibo at panlabas na mga gawain.
  • Binigyang-diin ang pangangailangang malinaw na paghiwalayin ang mga kawili-wili at nakababagot na gawain.

Hindi Salamangka ang Compliance

  • Madalas ilarawan ng mga vendor at provider ang compliance bilang mahalaga, magastos, at tila mahiwaga.
  • Sa katunayan, karaniwan itong isa lamang pang business requirement na kailangang tugunan ng mga kumpanya.
  • Ang pagiging compliant ay nangangahulugang seryosong pinahahalagahan ang seguridad at tiwala ng kliyente.

Prinsipyo ng Shared Responsibility

  • Responsable ang AWS sa pinagbabatayang infrastructure.
  • Responsable ang mga customer sa lahat ng inilalagay nila sa cloud.

Mga Compliance Framework

  • Maraming iba't ibang framework, at ang ilan ay nakaayon sa ISO 27001.
  • May mga partikular na paghihigpit at panuntunan ang mga rehiyon tulad ng Hong Kong at mainland China.
  • Magkakatulad na aspeto ang saklaw ng karamihan sa mga framework, gaya ng encryption, access control, at mga mekanismo ng pag-login.
  • Kapag naipatupad ang isang framework, madalas ay mahigit 50% na rin ang natapos para sa pagpapatupad ng anumang ibang framework.

Karaniwang Proseso ng Compliance

  • Tukuyin kung aling mga compliance requirement ang kailangang matugunan.
  • Gumamit ng mga AWS service o third-party service upang tasahin ang kasalukuyang compliance posture.
  • Unawain ang dami ng kailangang trabaho, kung ano na ang natapos, at kung ano pa ang natitira.

Mga Tool at Service para sa Compliance

  • Control Tower: Mahalaga sa pamamahala ng compliance.
  • Organizations at Service Control Policies: Ginagamit upang kontrolin ang mga hangganan at pahintulot.
  • CloudFormation Guard: Isang open-source project ng AWS na gumagana sa Terraform code.
  • CloudTrail at Config: Kapaki-pakinabang sa pagtukoy ng mga pagbabago sa configuration at mga API call.
  • AWS Audit Manager: Isang service para mangolekta ng ebidensya ng pagbabago ng infrastructure sa isang S3 bucket na may KMS encryption.

Mga Infrastructure as Code Tool

  • Sa kasalukuyan, kabilang sa mga pangunahing tool para sa pagpapatupad ng mga kinakailangang control ang Checkov, Trivy, at Terrascan.

Pakikipag-ugnayan sa mga Tagapakinig tungkol sa Paggamit ng mga Tool

  • Karamihan ay gumagamit ng Checkov at Trivy.
  • Ang Checkov ay isang open-source static code analysis tool para sa Infrastructure as Code (IaC) na naghahanap ng mga maling security configuration at isyu sa compliance bago ang deployment.
  • Ang Trivy ang pinakasikat na open-source security scanner para sa mga vulnerability, IaC, pagtuklas ng SBOM, cloud scanning, at Kubernetes security.
  • Nakagugulat na bihirang banggitin ng mga user ang Terrascan.
  • Ang Terrascan ay isang open-source security scanner para sa Infrastructure as Code (IaC) na sinusuportahan ng Tenable.

Mga Hakbang sa Remediation

  • Matapos patakbuhin ang mga compliance tool, kailangang magsagawa ng remediation upang ayusin ang mga configuration file.
  • Unawain ang mga failure message, tukuyin ang mga module o parameter na sanhi nito, at ayusin ang mga iyon.
  • Bilang alternatibo, gamitin ang mga compliance-ready Terraform module na ibinibigay ng compliance.tf.

DevSecOps Pipeline

  • Kasama sa pipeline ang pagpapatakbo ng mga compliance check sa mga development machine o CI/CD pipeline.
  • Manu-manong ayusin ang mga isyung hindi compliant, muling i-push ang code, at kumpirmahin ang mga pag-aayos sa mga cloud resource.
  • Gumamit ng mga tool tulad ng Checkov, Prowler, at Steampipe para sa komprehensibong compliance check.

Mga Inirerekomendang Tool

  • Checkov: Angkop sa karamihan ng sitwasyon at kapaki-pakinabang bilang unang pagsusuri.
  • Prowler: Open-source tool na sumusuri sa mga aktuwal na resource sa inyong environment para sa mga maling configuration.
  • Steampipe: Nagbibigay-daan sa pag-query sa mga cloud API gamit ang SQL, sa pamamagitan ng mga paunang itinakda at custom na query.

Pag-iwas sa Drift

  • Binigyang-diin ang kahalagahan ng pag-iwas sa drift sa pamamagitan ng paghihigpit sa console access sa mga AWS environment.

Drift at ClickOps

  • Ang ClickOps ay ang manu-manong pamamahala ng mga cloud resource gamit ang user interface, gaya ng AWS Console.
  • Madalas na gusto ng mga tao ang direktang access sa mga AWS account, na humahantong sa ClickOps at nagdudulot ng drift.
  • Maaaring gamitin ang mga service tulad ng Config Rules para sa tuloy-tuloy na verification at remediation, bagaman maaaring mahirap ipatupad ang remediation.

Awtomatikong Remediation

  • Maisasagawa ang awtomatikong remediation sa pamamagitan ng pag-uugnay ng CloudTrail, EventBridge, at AWS Systems Manager (SSM) Automation Documents.
  • Para sa mga Terraform module at remediation, sumangguni sa docs.compliance.tf para sa awtomatikong pag-update ng documentation.

Mga Terraform Active Directory (AD) Module at Compliance Requirement

  • Ipinakita kung paano tawagin ang mga Terraform Active Directory (AD) Module mula sa Terraform registry.
  • Ipinakita kung paano gumawa ng S3 bucket at paganahin ang pag-login ayon sa mga compliance requirement.
  • Ipinaliwanag ang proseso ng pagsasalin ng compliance information tungo sa Terraform code, na maaaring maging kumplikado dahil sa paggamit ng mga module.

Dokumentasyon at mga Terraform Snippet

  • Itinuro ang docs.compliance.tf para sa mga partikular na check at wastong Terraform snippet.
  • Nagbigay ng halimbawa ng paglalapat ng iba't ibang framework tulad ng SOC 2 o PCI DSS sa pamamagitan ng pagtukoy sa login section.

Karagdagang Impormasyon: Checkov, Prowler, Steampipe

  • Ang Checkov ay isang static analysis tool para sa Infrastructure as Code (IaC). Sinusuri nito ang mga configuration file (gaya ng Terraform, CloudFormation, Kubernetes manifest, at Dockerfile) sa development lifecycle (shifting left) upang makita ang mga maling configuration at paglabag sa compliance bago ang deployment.
  • Ang Prowler ay isang command-line tool na nagsasagawa ng security, compliance, at best-practices check sa mga aktuwal na cloud environment (AWS, Azure, Google Cloud, at Kubernetes). Pangunahin itong Cloud Security Posture Management (CSPM) tool na bumubuo ng detalyadong report na nakaayon sa mga pamantayan ng industriya tulad ng CIS Benchmarks, PCI-DSS, at ISO 27001.
  • Ang Steampipe ay isang natatanging tool na gumagamit ng Postgres Foreign Data Wrapper upang ipakita bilang relational database ang data mula sa mga external system (gaya ng mga cloud provider, API, at infrastructure), kaya maaaring i-query ng mga user ang kanilang mga cloud resource gamit ang SQL. Nagbibigay-daan ito sa mga kumplikado at ad hoc na security at compliance check, pati sa paggawa ng mga custom dashboard gamit ang mga SQL query. Ibang paraan ito ng assessment kumpara sa sunod-sunod na pagsusuri ng Prowler.

Karagdagang Impormasyon 2: CloudTrail, EventBridge, at SSM Automation Documents

Panimula

  • Magkakaiba ngunit madalas na pinagsasamang service sa AWS ecosystem ang AWS CloudTrail, EventBridge, at SSM Automation Documents. Ginagamit ang mga ito sa pamamahala at pag-automate ng mga cloud operation.

AWS CloudTrail

  • Layunin: Ang CloudTrail ay isang AWS service na nagbibigay ng talaan ng mga aksyong isinagawa ng mga user, role, o AWS service sa inyong AWS account. Itinatala nito ang mga API call na ginawa sa pamamagitan ng AWS Management Console, AWS SDK, command-line tool, at iba pang AWS service.
  • Kakayahan: Nagbibigay ito ng event history na magagamit sa security analysis, pagsubaybay sa pagbabago ng resource, at troubleshooting. Kabilang sa mga detalye ang gumawa ng call, oras ng paggawa nito, pinagmulang IP address, at mga resource na naapektuhan.
  • Mga Gamit: Security audit, compliance, operational troubleshooting, at pagtukoy ng hindi awtorisadong aktibidad.

Amazon EventBridge

  • Layunin: Ang EventBridge ay isang serverless event bus service na nagpapadali sa pag-uugnay ng mga application gamit ang mga event. Nagbibigay-daan itong bumuo ng scalable at event-driven na mga application sa pamamagitan ng pagruruta ng mga event mula sa iba't ibang source patungo sa mga target.
  • Kakayahan: Maaari itong tumanggap ng mga event mula sa mga AWS service (gaya ng CloudTrail), custom application, at SaaS partner. Pagkatapos, maaaring magtakda ng mga rule upang salain at iruta ang mga event sa iba't ibang target, kabilang ang mga AWS Lambda function, Amazon SNS topic, Amazon SQS queue, at AWS Systems Manager Automation.
  • Mga Gamit: Real-time event processing, pagbuo ng loosely coupled microservice, integration sa mga third-party application, at pag-trigger ng mga automated workflow batay sa mga event.

AWS Systems Manager (SSM) Automation Documents

  • Layunin: Ang SSM Automation Documents ay mga paunang itinakda o custom na script o runbook na naglalarawan ng sunod-sunod na hakbang upang i-automate ang mga karaniwang operational task sa inyong mga AWS resource.
  • Kakayahan: Magagamit ang mga ito sa pagsisimula o paghinto ng mga instance, paglalapat ng patch, paggawa ng mga AMI, at pagpapatakbo ng mga custom script. Maaaring patakbuhin ang mga document na ito nang manu-mano, ayon sa iskedyul, o sa pamamagitan ng mga event.
  • Mga Gamit: Patch management, instance lifecycle management, pagpapatupad ng compliance, at automated incident response.

Halimbawa ng Integration

Maaaring pagsamahin ang mga service na ito upang lumikha ng makapangyarihang automation workflow. Halimbawa, maaaring mag-trigger ng EventBridge rule ang isang CloudTrail event na nagsasaad ng hindi awtorisadong pagbabago sa isang security group. Maaari namang tumawag ang rule na ito ng SSM Automation Document upang awtomatikong ibalik ang pagbabago, abisuhan ang administrator, o ihiwalay ang apektadong resource, kaya napahuhusay ang seguridad at operational efficiency.