InfoQ
·
Cloudflare通过左移安全实践扩展基础设施即代码
💡
原文英文,约700词,阅读约需3分钟。
📝
内容提要
Cloudflare通过基础设施即代码和自动化政策执行,消除了手动配置错误,处理约30个合并请求,提前发现安全违规。所有生产变更需经过验证管道,执行约50项安全政策,确保合规性,从而提高工程效率,降低安全风险,增强基础设施安全治理。
🎯
关键要点
- Cloudflare通过基础设施即代码和自动化政策执行消除了手动配置错误。
- 每天处理约30个合并请求,提前发现安全违规。
- 手动仪表板管理在数百个账户中增加了人为错误的机会。
- 所有生产变更需经过验证管道,执行约50项安全政策以确保合规性。
- 采用左移安全验证的方法,在开发早期阶段捕捉问题,降低修复成本。
- 实施基于Terraform的自定义持续集成和部署管道,所有生产账户配置集中在一个单一代码库中。
- 使用tfstate-butler程序作为Terraform的安全状态文件代理,确保每个状态文件的唯一加密密钥。
- 政策执行使用Open Policy Agent框架,自动在每个合并请求上运行安全要求验证。
- 迁移过程中发现基础设施即代码扩展的关键教训,包括配置漂移和Terraform流利度差异。
- Cloudflare实施自动漂移检测,持续比较状态文件与已部署配置,自动创建修复工单。
- Cloudflare Terraform Provider的API能力滞后于产品创新,v5版本解决了这一问题。
- 左移模型展示了如何在保持严格安全治理的同时扩展基础设施即代码。
- 许多公司正在采用左移方法,早期检测安全问题可以显著降低修复成本。
- 左移运动已发展为追求持续安全验证,通过自动扫描和政策即代码执行。
- AI驱动的工具正在快速改善安全测试,自动化采用率在一年内从64%上升到78%。
