cfn-nag
Инструмент cfn-nag ищет шаблоны в CloudFormation , которые могут указывать на небезопасную инфраструктуру.
Что проверяется:
1) IAM и политики ресурсов (S3 Bucket, SQS и т. д.)
2) Security Group - например, ingress правило открыто для 0.0.0.0/0 , открыт диапазон 1-65535
3) Журналы доступа
Ищет журналы доступа, которые не включены для соответствующих ресурсов (например, Elastic Load Balancers и CloudFront Distributions)
4) Шифрование (на стороне сервера), которое не включено или не применяется для соответствующих ресурсов (например, томов EBS или для вызовов PutObject в корзине S3)
https://github.com/stelligent/cfn_nag
#tools #aws #ops
Инструмент cfn-nag ищет шаблоны в CloudFormation , которые могут указывать на небезопасную инфраструктуру.
Что проверяется:
1) IAM и политики ресурсов (S3 Bucket, SQS и т. д.)
2) Security Group - например, ingress правило открыто для 0.0.0.0/0 , открыт диапазон 1-65535
3) Журналы доступа
Ищет журналы доступа, которые не включены для соответствующих ресурсов (например, Elastic Load Balancers и CloudFront Distributions)
4) Шифрование (на стороне сервера), которое не включено или не применяется для соответствующих ресурсов (например, томов EBS или для вызовов PutObject в корзине S3)
https://github.com/stelligent/cfn_nag
#tools #aws #ops