Fugue近日發(fā)布了Regula 1.0，這是一種用于基礎(chǔ)設(shè)施即代碼(IaC)安全性的開源策略引擎。該工具可在GitHub上獲得，包括對(duì)常見IaC工具（如Terraform和AWS CloudFormation）的支持、具有數(shù)百個(gè)驗(yàn)證AWS、Microsoft Azure和Google Cloud資源策略的預(yù)構(gòu)建庫(kù)，以及支持自定義規(guī)則開發(fā)和使用Open策略代理。

　　01 使用規(guī)則

　　支持廣泛的IaC輸入，包括Terraform HCL、Terraform plan JSON、AWS CloudFormation和無服務(wù)器應(yīng)用程序模型模板。

　　廣泛的規(guī)則庫(kù)能夠檢查常見的安全性和合規(guī)性違規(guī)以及高級(jí)的多資源錯(cuò)誤配置，并可以檢測(cè)何時(shí)缺少所需的資源。Regula支持標(biāo)準(zhǔn)化的輸出格式，例如JUnit、測(cè)試任何協(xié)議（TAP）和JSON，使其能夠與CI/CD工具和測(cè)試框架（包括Jenkins、CircleCI、Travis CI和Conftest）無縫集成。

　　云和安全工程師可以在Fugue SaaS平臺(tái)中使用Regula策略來檢查他們的AWS、Microsoft Azure和Google Cloud環(huán)境，為他們提供統(tǒng)一的策略引擎，以保護(hù)從IaC到部署和運(yùn)行時(shí)的整個(gè)云開發(fā)生命周期（CDLC）。

　　Fugue的首席執(zhí)行官喬什·斯特拉（Josh Stella）指出：“基礎(chǔ)設(shè)施即代碼為云團(tuán)隊(duì)提供了在云安全部署前向左轉(zhuǎn)移的機(jī)會(huì)，他們需要更好的工具來開發(fā)和測(cè)試策略，將它們集成到他們的CI/CD工作流中，并將這些相同的規(guī)則應(yīng)用于他們的云運(yùn)行時(shí)環(huán)境。”

　　“這些新的Regula功能和策略使云團(tuán)隊(duì)比以往任何時(shí)候都更容易保護(hù)他們的IaC，并在整個(gè)CDLC和跨云平臺(tái)上一致地應(yīng)用策略，同時(shí)避免維護(hù)和協(xié)調(diào)不同策略框架的開銷?！?/p>

　　02 創(chuàng)建自定義規(guī)則

　　Regula利用云原生計(jì)算基金會(huì)的開放策略代理框架，以及用Rego語(yǔ)言編寫的富有表現(xiàn)力的強(qiáng)大規(guī)則。

　　開發(fā)人員可以創(chuàng)建自己的自定義規(guī)則來滿足組織要求，Regula包含用于對(duì)這些規(guī)則運(yùn)行測(cè)試的其他工具?？梢苑艞壱?guī)則以指定特定資源的例外或完全禁用以適應(yīng)組織的需要。

　　Regula為CIS基金會(huì)基準(zhǔn)提供開箱即用的支持，以及其他Regula策略檢查合規(guī)性框架可能遺漏的云漏洞，例如危險(xiǎn)的AWS IAM策略、允許全局訪問的Lambda函數(shù)策略、禁用加密的EBS卷以及未標(biāo)記的云資源。

　　注釋

　　Regula是一個(gè)包含CLI的預(yù)打包二進(jìn)制文件，可以輕松地與Homebrew一起安裝或使用可在DockerHub找到的Docker映像進(jìn)行部署。