【tfsec】Terraformの静的セキュリティスキャンを行ってみよう！

Terraformの、セキュリティスキャンツールである「tfsec」の触り部分を取り上げました。簡単なデモもあるため、ぜひご参考にしていただければと思います。
#AWS
#Terraform
たかくに
2022.02.15
この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは！AWS事業本部コンサルティング部のたかくに（@takakuni_）です。
今回は、tfsecを使用して、Terraformのセキュリティスキャンを体験してみようと思います。
 結論tfsecは、Terraformの静的なセキュリティスキャンを行うツール
ローカル環境で動作可能な認証情報などを用意しなくていい
 tfsecとはAqua Security社の、オープンソースツールです。
ざっくり、ご説明すると、Terraformの静的なセキュリティスキャナーです。
ローカル、CIパイプライン環境で実行できるように設計されています。
 いざ実践 インストール今回は、Macでtfsecを使用してみようと思います。
% brew install tfsec
各OSのインストール方法は、こちらからご参照ください。
 スキャン実行今回、tfsec用に、以下のtfファイルを作成しました。
VPC、パブリックサブネット、ルートテーブル、セキュリティグループを作成します。
vpc.tf
module "vpc" {
  source  = "terraform-aws-modules/vpc/aws"
  # source  = "../modules/vpc"
  version = "3.12.0"
  # insert the 23 required variables here
  cidr = "10.0.0.0/16"
  name = "terraform-reintroduction"
  public_subnets = ["10.0.0.0/24", "10.0.1.0/24"]
  azs = ["ap-northeast-1a", "ap-northeast-1c"]
}

resource "aws_security_group" "allow_tls" {
  name        = "allow_tls"
  description = "Allow TLS inbound traffic"
  vpc_id      = module.vpc.vpc_id

  ingress {
    description      = "TLS from VPC"
    from_port        = 443
    to_port          = 443
    protocol         = "tcp"
    cidr_blocks      = [module.vpc.vpc_cidr_block]
  }

  egress {
    from_port        = 0
    to_port          = 0
    protocol         = "-1"
    cidr_blocks      = ["0.0.0.0/0"]
    ipv6_cidr_blocks = ["::/0"]
  }

  tags = {
    Name = "allow_tls"
  }
}
では、実行してみます。
tfファイルを保管している、ディレクトリ内に移動して、tfsecコマンドを実行してみます。
% tfsec

Result #1 CRITICAL Security group rule allows egress to multiple public internet addresses. 
─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
 vpc.tf Line 30
───────┬─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
   26  │   egress {
   27  │     from_port        = 0
   28  │     to_port          = 0
   29  │     protocol         = "-1"
   30  │     cidr_blocks      = ["0.0.0.0/0"]
   31  │     ipv6_cidr_blocks = ["::/0"]
   32  │   }
───────┴─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
          ID aws-vpc-no-public-egress-sgr
      Impact Your port is egressing data to the internet
  Resolution Set a more restrictive cidr range

  More Information
  - https://aquasecurity.github.io/tfsec/v1.1.5/checks/aws/vpc/no-public-egress-sgr/
  - https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/security_group
─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────

Result #2 CRITICAL Security group rule allows egress to multiple public internet addresses. 
─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
 vpc.tf Line 31
───────┬─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
   26  │   egress {
   27  │     from_port        = 0
   28  │     to_port          = 0
   29  │     protocol         = "-1"
   30  │     cidr_blocks      = ["0.0.0.0/0"]
   31  │     ipv6_cidr_blocks = ["::/0"]
   32  │   }
───────┴─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
          ID aws-vpc-no-public-egress-sgr
      Impact Your port is egressing data to the internet
  Resolution Set a more restrictive cidr range

  More Information
  - https://aquasecurity.github.io/tfsec/v1.1.5/checks/aws/vpc/no-public-egress-sgr/
  - https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/security_group
─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────

Result #3 LOW Security group rule does not have a description. 
─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
 vpc.tf Lines 26-32
───────┬─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
   26  │   egress {
   27  │     from_port        = 0
   28  │     to_port          = 0
   29  │     protocol         = "-1"
   30  │     cidr_blocks      = ["0.0.0.0/0"]
   31  │     ipv6_cidr_blocks = ["::/0"]
   32  │   }
───────┴─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
          ID aws-vpc-add-description-to-security-group-rule
      Impact Descriptions provide context for the firewall rule reasons
  Resolution Add descriptions for all security groups rules

  More Information
  - https://aquasecurity.github.io/tfsec/v1.1.5/checks/aws/vpc/add-description-to-security-group-rule/
  - https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/security_group
  - https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/security_group_rule
─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────

  timings
  ──────────────────────────────────────────
  disk i/o             23.956709ms
  hcl parsing          74.834µs
  evaluation           21.812586ms
  adaptation           960µs
  running checks       4.643584ms
  total                109.267ms

  counts
  ──────────────────────────────────────────
  blocks               6
  modules              1
  files                9

  results
  ──────────────────────────────────────────
  ignored              0
  excluded             0
  critical             2
  high                 0
  medium               0
  low                  1

  3 potential problem(s) detected.
実行結果から、セキュリティグループ周りで、3件検知されていることが確認できます。
 重要度についてtfsecでは、検知結果を4つの重要度でカテゴライズしています。
critical
high
medium
low
重要度の具体的な、選別方法は明記されていないですが、検知されたルールに、ひととおり目を通しておきましょう。
 aws-vpc-no-public-egress-sgrAn egress security group rule allows traffic to /0.
Result #1, #2で、アウトバウンドルールが、フルオープンであることを検知していました。
リファレンスに、解決策や影響範囲が記載されているので、「何がどのように悪い」のか、とてもわかりやすいです。
 aws-vpc-add-description-to-security-group-ruleMissing description for security group rule.
Result #3では、アウトバウンドルールに、説明書きがないことを検知していました。
たしかに、説明書きがないと、使用用途がわかりづらいため、追加した方がいいですね。
 ルール検知を無視するスキャン実行で検知されたアウトバウンドルールのフルオープンを、ignore（無視）に変更してみようと思います。
変更方法は、コード内にコメントとして、検知を無視するコードを追記します。
無視を行うコードの有効範囲は、同一行と一つ下の行までです。
Result #1のみを無視する
vpc.tf
resource "aws_security_group" "allow_tls" {
  name        = "allow_tls"
  description = "Allow TLS inbound traffic"
  vpc_id      = module.vpc.vpc_id

  ingress {
    description      = "TLS from VPC"
    from_port        = 443
    to_port          = 443
    protocol         = "tcp"
    cidr_blocks      = [module.vpc.vpc_cidr_block]
  }

  egress {
    from_port        = 0
    to_port          = 0
    protocol         = "-1"
    # tfsec:ignore:aws-vpc-no-public-egress-sgr
    cidr_blocks      = ["0.0.0.0/0"] # ignored
    ipv6_cidr_blocks = ["::/0"] # critical
  }

  tags = {
    Name = "allow_tls"
  }
}

/* or

resource "aws_security_group" "allow_tls" {
  name        = "allow_tls"
  description = "Allow TLS inbound traffic"
  vpc_id      = module.vpc.vpc_id

  ingress {
    description      = "TLS from VPC"
    from_port        = 443
    to_port          = 443
    protocol         = "tcp"
    cidr_blocks      = [module.vpc.vpc_cidr_block]
  }

  egress {
    from_port        = 0
    to_port          = 0
    protocol         = "-1"
    cidr_blocks      = ["0.0.0.0/0"] # tfsec:ignore:aws-vpc-no-public-egress-sgr
    # 一行開ける
    ipv6_cidr_blocks = ["::/0"]
  }

  tags = {
    Name = "allow_tls"
  }
}

*/
Result #1,2を無視する
vpc.tf
resource "aws_security_group" "allow_tls" {
  name        = "allow_tls"
  description = "Allow TLS inbound traffic"
  vpc_id      = module.vpc.vpc_id

  ingress {
    description      = "TLS from VPC"
    from_port        = 443
    to_port          = 443
    protocol         = "tcp"
    cidr_blocks      = [module.vpc.vpc_cidr_block]
  }

  egress {
    from_port        = 0
    to_port          = 0
    protocol         = "-1"
    cidr_blocks      = ["0.0.0.0/0"] # tfsec:ignore:aws-vpc-no-public-egress-sgr
    ipv6_cidr_blocks = ["::/0"] # ignored →コードの影響範囲は1行下まで及ぶため
  }

  tags = {
    Name = "allow_tls"
  }
}

/* or

resource "aws_security_group" "allow_tls" {
  name        = "allow_tls"
  description = "Allow TLS inbound traffic"
  vpc_id      = module.vpc.vpc_id

  ingress {
    description      = "TLS from VPC"
    from_port        = 443
    to_port          = 443
    protocol         = "tcp"
    cidr_blocks      = [module.vpc.vpc_cidr_block]
  }

  egress {
    from_port        = 0
    to_port          = 0
    protocol         = "-1"
    cidr_blocks      = ["0.0.0.0/0"] # tfsec:ignore:aws-vpc-no-public-egress-sgr
    ipv6_cidr_blocks = ["::/0"] # tfsec:ignore:aws-vpc-no-public-egress-sgr
  }

  tags = {
    Name = "allow_tls"
  }
}

*/
 最後に今回は、かなり簡単ではありますが、tfsecの使い方をご紹介しました。
より応用的な使い方は、別途ブログにできたらと思います。
以上、AWS事業本部コンサルティング部のたかくに（@takakuni_）でした！