HashiCorp Terraform是一个用于安全高效地提供基础设施的工具。为了做到这一点，Terraform将基础设施作为代码加以利用，这一点通常因其比传统的点击式供应解决方案提供的速度和效率优势而备受赞誉。除了提供更快速的部署之外，Terraform还具有保护部署和降低风险的功能。本博客将介绍您可以用来改善基础设施安全状况的功能：Sentinel策略作为代码、Terraform模块注册表和HashiCorp Vault集成。»作为代码的哨兵策略Sentinel是一个策略即代码框架，集成到Hashicorp企业产品中。Sentinel允许用户定义在Terraform运行的计划和应用阶段之间针对基础设施强制执行的策略。与许多扫描现有基础架构以发现策略违规的工具相比，Sentinel会主动阻止策略外基础设施的供应。编写策略即代码可以实现一系列目标，从限制超大规模的云部署到确保所有基础设施都正确标记。以下示例策略防止安全组将"出口"设置为0.0.0.0，以防止恶意攻击（如DDoS尝试）（有关更多示例策略，请参阅此存储库）。导入"tfplan"主=规则{全部tfplan.resources.aws_安全性_组作为实例{所有实例都是{全部sg.应用出口作为出口{出口cidr_区块不包含"0.0.0.0/0"}}}}»模块注册表Terraform模块注册表是另一个旨在确保所有基础设施符合最佳实践的功能。模块被打包为代码单元，可以在公共Terraform模块注册表和使用Terraform Enterprise的组织的私有注册表中找到。模块可以像单个计算实例那样简单，也可以像模块创建者希望的那样复杂。对于利用私有注册中心的组织，基础设施专家可以为基础设施组件设计标准化的最佳实践模块，并使开发人员能够以自助方式使用它们。通过为需要将应用程序部署到基础设施上的开发人员提供通过可定制模块构建基础设施的方法，运营商可以在不损害基础设施质量的情况下实现快速开发。»保险库加密和动态凭据使用Terraform提供的基础设施由策略作为代码进行管理，并使用最佳实践制作的模块构建，用于构建该基础架构的敏感凭证也需要得到保护，以获得最佳的安全态势。在Terraform中，变量可以标记为sensitive，它使用Vault对值进行加密，使它们只写，并确保没有带外的一方未经适当授权就可以读取这些值。保险库集成与动态秘密生成更进一步。为Terraform运行使用长寿命的静态云凭据可能是危险的，因为凭据的寿命越长，暴露的可能性就越大。通过利用Terraform Vault提供程序，您可以为每个Terraform运行生成短期凭证，这些凭证在运行后自动吊销（请参阅本指南了解更多信息）。»结论通过按需生成的独特、寿命短的凭据，以提供基于模块的基础设施，并由策略主动控制，代码组织可以显著改善基础设施的安全状况。要了解更多关于Terraform的信息，请查看地形.io或者访问Terraform学习中心。