Warum verwenden sie Ihrer Meinung nach TerraForm? Sie haben auch AWS CDK und Cloudformation. Also vielleicht AWS Guard verwenden? Dann sind Ihre Regeln auch viel einfacher zu lesen und zu merken und Sie können die Ausgabe für Menschen lesbar machen: “Datei h hat die Ressource x mit der Eigenschaft y mit dem Wert z, der nicht in der Liste der zulässigen Werte q ist/nicht erfüllt das erlaubte Muster R “. Und AWS Config/ControlTower, denn selbst große Unternehmen haben immer noch Abteilungen, die manuelle Anpassungen vornehmen.

All diese Tools sehen sich jedoch nicht den hochgeladenen Inhalt in einem S3-Bucket an. Dieses Problem würde also nicht auftreten .

Sie können auch https://www.clamav.net/in einem Lambda-Container ausführen und diesen automatisch mit jeder neuen oder geänderten Datei ausführen. Über Tags und AWS iam stellen Sie sicher, dass nur freigegebene Dateien öffentlich zugänglich sind.

So verhindern Sie zumindest die möglichen Auswirkungen eines Angriffs. Aber selbst dann überprüft man nicht, ob sich Zugangsdaten in den Dateien auf S3 befinden.

Sie können immer noch bekannte Dateierweiterungen blockieren (das gleiche per Tagging) und möglicherweise eine Mustererkennung neben a . hinzufügen Virenscanner (wie diese Gitleaks, aber für Ihre neue/aktualisierte S3-Datei), aber es endet auch irgendwo.

[Reactie gewijzigd door djwice op 31. Dezember 2021 13:18]