# 結合 IaC 與 PaC 提供企業上雲與應用部署（K8S）的資安偵測與修補 郭二文 (二哥) 緯創資通 資深處長 ###### tags: `SRE2022` ## Overview ### WHY: 在快速跌待開發過程中，也要能確保資安的保證，與相關的設定可以符合資安規範的挑戰 IaC 加速 AP 迭代與上線 過去業務中最花時間的是採購，現在透過 IaC 及雲端加速 --- Why IaC: 把 infra 配置自動化 傳統公司採購會花很多時間，透過雲端及 IaC 後很快可以完成這個需求 如何確保合規？如何偵查錯誤？ 大部分問題都發生在「組態設定錯誤」 人員，流程，技術三項都是落實資安的重點 GitOps: 視為 Single Source of Truth Merge Pull request 是 Code 變化生效的關鍵點 選用 terrascan：https://runterrascan.io terrascan 應用在 merge pull 前會取設定好的 policy 去檢查程式碼是否符合規範 --- ------- 查理啊嗚啊嗚 why - 快速迭代，並快速確保資安規範 - 最花時間的是採購 (so 上雲) - 最常導致資安事件 60％-70％ 是因為設定錯誤 from 趨勢科技 blog how - 資安週報 64 期 - PaS 原來是 Policy as code - GitOps PR 是關鍵 - 資安左移 - OPA 是通用型的 access control / auth / policy engine what --------- Brian ## WHY ### 讓企業將基礎架構的配置方式自動化以便有效率的擴充雲端，節省時間與成本並加速應用服務的 blabla - 最常導致資安事件來自config error (60~70%) ## how ### 使用CNCF的opa、terrascan來作為`pac` blabla - 唯有人員、流程、技術 三項貫徹到位，資安才是玩真的 - people+process => scale - people + tech => innovate - tech + process => automate - Flow - Compliance team --> Policy > yoga 親門踏戶🥲 - git ops - git repo is single source of truth - merge req/ PR 是代碼生肖守門員 - 圖 - 元件選擇跟比較 - opa（open policy agent） - 圖 - opa + terrascan - 策略引擎解決方案 - terrascan => - step1 input normalize - policy verify - violation report - terrascan有現成760+現成repo策略 - 提供各大公有雲 Policy - 解決 Compilance 團隊對原有 Application Service 不熟時，可以有個公版參考 - 自行開發系統做 Policy remedation - 守門員監管門戶進出身份代理執行關鍵步驟 - 設定各 repo 管理者及相關權限 - 待開 PR 後透過 command call bot 做檢查確認 caller 有無權限、是否合規 - 待 approve 後走 IaC deploy ## what 時間不夠demo