Fugue近日發(fā)布了Regula 1.0，這是一種用于基礎(chǔ)設(shè)施即代碼(IaC)安全性的開源策略引擎。該工具可在GitHub上獲得，包括對常見IaC工具（如Terraform和AWS CloudFormation）的支持、具有數(shù)百個驗證AWS、Microsoft Azure和Google Cloud資源策略的預(yù)構(gòu)建庫，以及支持自定義規(guī)則開發(fā)和使用Open策略代理。

　　01 使用規(guī)則

　　支持廣泛的IaC輸入，包括Terraform HCL、Terraform plan JSON、AWS CloudFormation和無服務(wù)器應(yīng)用程序模型模板。

　　廣泛的規(guī)則庫能夠檢查常見的安全性和合規(guī)性違規(guī)以及高級的多資源錯誤配置，并可以檢測何時缺少所需的資源。Regula支持標準化的輸出格式，例如JUnit、測試任何協(xié)議（TAP）和JSON，使其能夠與CI/CD工具和測試框架（包括Jenkins、CircleCI、Travis CI和Conftest）無縫集成。

　　云和安全工程師可以在Fugue SaaS平臺中使用Regula策略來檢查他們的AWS、Microsoft Azure和Google Cloud環(huán)境，為他們提供統(tǒng)一的策略引擎，以保護從IaC到部署和運行時的整個云開發(fā)生命周期（CDLC）。

　　Fugue的首席執(zhí)行官喬什·斯特拉（Josh Stella）指出：“基礎(chǔ)設(shè)施即代碼為云團隊提供了在云安全部署前向左轉(zhuǎn)移的機會，他們需要更好的工具來開發(fā)和測試策略，將它們集成到他們的CI/CD工作流中，并將這些相同的規(guī)則應(yīng)用于他們的云運行時環(huán)境?！?/p>

　　“這些新的Regula功能和策略使云團隊比以往任何時候都更容易保護他們的IaC，并在整個CDLC和跨云平臺上一致地應(yīng)用策略，同時避免維護和協(xié)調(diào)不同策略框架的開銷。”

　　02 創(chuàng)建自定義規(guī)則

　　Regula利用云原生計算基金會的開放策略代理框架，以及用Rego語言編寫的富有表現(xiàn)力的強大規(guī)則。

　　開發(fā)人員可以創(chuàng)建自己的自定義規(guī)則來滿足組織要求，Regula包含用于對這些規(guī)則運行測試的其他工具?？梢苑艞壱?guī)則以指定特定資源的例外或完全禁用以適應(yīng)組織的需要。

　　Regula為CIS基金會基準提供開箱即用的支持，以及其他Regula策略檢查合規(guī)性框架可能遺漏的云漏洞，例如危險的AWS IAM策略、允許全局訪問的Lambda函數(shù)策略、禁用加密的EBS卷以及未標記的云資源。

　　注釋

　　Regula是一個包含CLI的預(yù)打包二進制文件，可以輕松地與Homebrew一起安裝或使用可在DockerHub找到的Docker映像進行部署。