1. プレイブックの詳細な分析を実施

Spotter は、ベスト プラクティスから徹底的なセキュリティ チェックまで、プレイブックの詳細な分析を実行します。また、潜在的な構成ミスやセキュリティ リスクを強調表示することで、プレイブックが安全に実行されるようにすることができます。プレイブックを実行する際の潜在的な結果を理解し、ベスト プラクティスに従ってセキュリティの脆弱性とダウンタイムを最小限に抑えるのに役立ちます。

スキャンを実行すると、基本的なセキュリティ チェックが自動的に実行されますが、Spotter でセキュリティ関連の問題のみをチェックしたい場合は、「spotter scan –profile security」コマンドを実行します。

$ spotter scan --profile security playbook.yml

> spotter scan --profile security playbook.yml playbook.yml:9:7: ERROR: [E903] Use a fully-qualified name, such as ansible.builtin.uri    instead of uri. playbook.yml:21:7: WARNING: [W2600::B411] Issue found in the Python implementation of     module inwx.collection.dns: Using xmlrpclib to parse untrusted XML data is known to be     vulnerable to XML attacks. Use defused.xmlrpc.     monkey_patch() function to monkey-patch xmlrpclib and mitigate XML vulnerabilities. playbook.yml:29:7: WARNING: [W2600::B324] Issue found in the Python implementation of module     community.aws.data_pipeline: Use of weak MD5 hash for security. Consider usedforsecurity=False. ------------------------------------------------------------------------ Spotter took 1.353 s to scan your input. It resulted in 1 error(s), 2 warning(s) and 0 hint(s). Overall status: ERROR >

Spotter によるセキュリティチェック

効率的で信頼性が高く、安全なプレイブックを作成するには、プレイブック作成者とセキュリティ チームが協力する必要があります。

Steampunk Spotter は、自動化ワークフロー全体のセキュリティと効率を最適化、高速化、強化するため、両者の作業を大幅に簡素化します。

主要クラウドのセキュリティチェックとベストプラクティス

Azure や AWS などの主要なクラウド プロバイダーの一般的なベスト プラクティスに基づいて、クラウド リソースの潜在的な誤った構成を検証します。

また、安全でない方法でリソースをプロビジョニングおよび構成している場合、Spotter が警告するため、Ansible Playbook の作成者は、セキュリティのベスト プラクティスを包括的に理解することなく、必要なクラウド リソースの記述に集中できます。

Ansibleモジュール実装におけるセキュリティ問題のチェック

Spotter は、すべての Ansible モジュール (組み込みモジュールと外部コレクションのモジュールの両方) を継続的にスキャンして、

モジュール内のセキュリティ問題を検出します。スキャンされた Ansible Playbook でこのような問題のあるモジュールが使用されている場合、ユーザーには潜在的なリスクについて警告されます。

依存する Python パッケージのセキュリティ問題のチェック

Spotter は、Ansible モジュールのサードパーティ依存関係をチェックします。

潜在的な問題をチェックし、公開されている CVE (Common Vulnerabilities and Exposures) を考慮して、Ansible Playbook を適用する前にセキュリティ チームがこれらの依存関係と潜在的な脅威を認識していることを確認します。

2. セキュリティを万全にする: 組織全体でのチェックの実施・省略

プレイブック スキャン ツールがセキュリティ問題を警告した場合でも、開発者は時間を節約するため、または影響の全容を認識していないために、その問題を無視することがあります。

Spotter の 強制チェック機能は、 セキュリティ上の懸念が見落とされることを防ぎます。組織は、セキュリティ要件に応じて、チェックを常に強制するかスキップするかを設定できます。

3. カスタムルールを追加してセキュリティの強化

Ansible のセキュリティのベスト プラクティスは重要な基盤ですが、組織固有のセキュリティ要件についてはどうでしょうか?

Spotter の カスタム ルール機能を使用すると、 特定のセキュリティ ポリシーをスキャン プロセスにシームレスに統合できます。

4. 定期的な監視 – CI/CDにプレイブックスキャンツールの統合

プレイブックが最初は安全であっても、その状態を維持するために継続的に監視することが重要です。

Spotter は、プレイブックの整合性に影響を与える可能性のあるセキュリティ上の問題や変更を継続的にスキャンして警告します。

5. プレイブックを効率的に管理

プレイブックを効率的に管理するには、スキャン結果を統合し、Ansible インフラストラクチャの健全性の包括的な概要を提供する集中型プラットフォームが必要です。

Spotter のダッシュボードは、プレイブックのパフォーマンス、セキュリティ、コンプライアンスを監視および管理するための集中管理パネルとして機能します。また、Spotter はプレイブックの状態に関する包括的なレポートを生成し、改善の余地がある領域をハイライトして貴重な洞察を提供します。 詳細は「13.分析とレポート」をご覧ください。