Wiz
Tous les articlesApplication Security

Analyse IaC : concepts, processus et outils

Swaroop Sham
Obtenir l’aide-mémoire sur la sécurité IaCRegarder une démo de 5 minutes

Qu’est-ce que l’analyse IaC ?

L’analyse de l’infrastructure en tant que code (IaC) est le processus d’analyse des scripts qui provisionnent et configurent automatiquement l’infrastructure. Contrairement à l’analyse de code traditionnelle, qui se concentre sur le code d’application, l’analyse IaC cible la syntaxe et les structures spécifiques utilisées pour déclarer des environnements cloud. Il est devenu un outil crucial pour maintenir des opérations cloud sécurisées et efficaces.

L’analyse IaC identifie de manière préventive Erreurs de configuration et les problèmes de conformité avant qu’ils ne puissent être déployés. Dans le domaine de l’intégration et du déploiement continus (CI/CD), les analyses IaC agissent comme un point de contrôle essentiel, garantissant que les déploiements d’infrastructure sont Sécurisé dès la conception et également la facilitation d’itérations rapides et sûres des modifications de l’infrastructure.

Dans cet article, nous'Il est possible d’examiner de plus près son importance et le processus d’analyse. Nous passerons également en revue les concepts fondamentaux, explorerons les outils d’analyse IaC open source et fournirons des informations sur la façon dont ces outils peuvent renforcer votre infrastructure'de sécurité.

Get the IaC Security Best Practices [Cheat Sheet]

Scan early, fix at the source. Get the IaC Best Practices Cheat Sheet and discover how to embed scanning, remediation, feedback loops, and drift prevention into your infrastructure workflow.

Concepts clés de l’analyse IaC

Laisser'Commencez par examiner deux éléments fondamentaux qui font de l’analyse de code IaC un outil indispensable pour la gestion moderne de l’infrastructure :

  • Politique en tant que code : Politique en tant que code (PaC) Permet aux équipes d’énoncer et de gérer explicitement leur infrastructure'au sein des bases de code. Dans l’analyse IaC, PaC est utilisé pour valider et appliquer automatiquement la conformité à ces stratégies, garantissant ainsi que l’infrastructure provisionnée s’aligne sur les normes organisationnelles et réglementaires.

  • Posture de sécurité et de conformité : L’analyse de l’IaC a un impact direct sur une organisation'en détectant et en corrigeant systématiquement les menaces de sécurité potentielles et les infractions de conformité dans les scripts IaC. En bref, cette mesure proactive sécurise l’infrastructure et intègre la conformité dans la fondation de l’infrastructure'De plus, il n’y a pas d

La section suivante explore le processus d’analyse IaC et montre comment il s’intègre dans le cycle de vie du développement.

Catch code risks before you deploy

Learn how Wiz Code scans IaC, containers, and pipelines to stop misconfigurations and vulnerabilities before they hit your cloud.

Pour plus d’informations sur la façon dont Wiz traite vos données personnelles, veuillez consulter notre Politique de confidentialité.

Le processus de balayage IaC

L’analyse IaC se déroule en six étapes systématiques, chacune faisant partie intégrante de la sécurisation et de l’optimisation de l’infrastructure cloud :

StepDescription
Step 1: InitializationSelecting the appropriate policies to scan against is critical, as it sets the standard for security and compliance from the start. The goal is to ensure that the systems adhere to the necessary regulations and best practices, providing a foundation for robust security posture.
Step 2: IntegrationIntegrating IaC scanning into version control systems and CI/CD pipelines ensures that scans are an automated part of the build process, providing continuous oversight and timely detection of potential issues.
Step 3: ExecutionDuring execution, scanning tools assess the IaC against predefined rules, identifying potential security misconfigurations or compliance issues that could jeopardize the infrastructure's integrity.
Step 4: ReviewPost-scan, it is imperative to review the results closely to understand the context of each finding and prioritize issues based on their severity in order to address vulnerabilities promptly.
Step 5: RemediationRemediation involves taking actionable steps to address identified vulnerabilities, including modifying IaC scripts or incorporating modular, verified code snippets to fortify your infrastructure's security.
Step 6: Feedback loopEstablishing a feedback loop empowers developers to refine IaC scanning policies and processes. This iterative process allows continuous improvement based on historical scans and emerging threats, fostering a culture of security and vigilance.

The State of Code Security [2025]

Infrastructure as Code (IaC) templates often contain misconfigurations and secrets exposure risks. The State of Code Security Report 2025 found that cloud keys are commonly exposed in both public and private repositories.

Download report

Outils et solutions d’analyse IaC open source

Le choix d’un outil d’analyse IaC open source dépend de l’infrastructure unique de votre organisation. Cette section se concentre sur plusieurs outils d’analyse IaC open source de premier plan, fournissant les informations dont vous avez besoin pour faire le bon choix pour votre entreprise.

Terrascan (en anglais seulement)

Terrascan (en anglais seulement) est un outil d’analyse IaC complet qui permet d’identifier de manière préventive les problèmes de sécurité dans les modèles Terraform. Ce qui le distingue, c’est sa vaste bibliothèque de politiques, qui s’aligne sur les points de référence du CIS, ce qui en fait un outil formidable pour assurer la conformité.

Le processus d’installation est simple et Terrascan est fréquemment utilisé dans les pipelines automatisés pour détecter les cas de violation de politique. Les résultats de l’analyse sont faciles à comprendre, détaillant les violations telles que l’accès trop permissif au compartiment S3 avec une gravité élevée :

$ Terrascan Scan
Par défaut, Terrascan affichera ses résultats dans un format convivial pour l’homme :
Détails de l’infraction -

  Description : L’accès au compartiment S3 est autorisé à tous les utilisateurs de comptes AWS.
  Fichier : modules/storage/main.tf
  Ligne : 124
  Gravité : ÉLEVÉE
...

Checkov

Checkov'est doté d’un moteur d’analyse basé sur des graphiques, ce qui représente un bond en avant significatif en termes de performances et de précision. Grâce à son nouveau moteur, Checkov peut résoudre efficacement les dépendances complexes au sein de Terraform et analyser les configurations de fichiers Docker, offrant ainsi une approche holistique de l’analyse IaC.

Une fois que vous avez installé Checkov à partir de PyPI et que vous avez analysé un répertoire contenant les fichiers de plan Terraform, la sortie affichera clairement l’état de conformité pour chaque vérification, ce qui vous permettra d’identifier les configurations conformes et non conformes :

Figure 1: A Checkov result in Jenkins (Source: GitHub)

KICS (en anglais seulement)

KICS (en anglais seulement) est un scanner polyvalent capable de gérer différents formats IaC. Sa facilité d’intégration avec les pipelines CI/CD en fait un outil convivial pour les développeurs qui ne'De plus, il n’est pas possible d’interrompre le processus de développement tout en maintenant un niveau de sécurité élevé.

KICS offre la commodité d’analyser à la fois les répertoires et les fichiers individuels à l’aide de Docker :

$ docker exécuter -t -v {path_to_host_folder_to_scan}:/path checkmarx/kics :latest scan -p /path -o "/chemin/"
$ docker exécuter -t -v {path_to_host_folder}:/path checkmarx/kics :latest scan -p /path/{filename}.{extension} -o "/chemin/"

Il fournit également des rapports conviviaux pour les développeurs en indiquant la source des vulnérabilités :

Figure 2: KICS example PDF report (Source: KICS Docs)

TFSEC

En mettant l’accent sur Terraform, TFSEC est un outil d’analyse statique piloté par la communauté. Son argument de vente unique est la profondeur de ses contrôles de sécurité, qui sont régulièrement mis à jour par la communauté, garantissant que l’outil reste à la pointe des meilleures pratiques de sécurité.

L’analyseur tfsec peut être exécuté sur votre système ou en tant que conteneur Docker, en analysant un répertoire spécifié à la recherche de problèmes :

$ tfsec . 
$ docker run --rm -it -v "$(pwd):/src" aquasec/tfsec /src

L’état de sortie vous aidera à déterminer si des problèmes ont été détectés lors de l’analyse :

Figure 3: tfsec output (Source: GitHub)

TFLint

En tant que linter pour Terraform, TFLint Aide les développeurs à détecter les erreurs dès le début du cycle de développement. Il met l’accent sur le respect des normes de codage et la conformité aux politiques, ce qui est essentiel pour maintenir une base de code de haute qualité.

TFLint peut être installé sur différentes plates-formes à l’aide d’un script bash, Homebrew ou Docker, et il'Utilisé pour appliquer les meilleures pratiques et rechercher les erreurs :

$ docker run --rm -v $(pwd):/data -t ghcr.io/terraform-linters/tflint

TFLint est connu pour son architecture enfichable, où chaque fonctionnalité est fournie par des plugins, ce qui le rend hautement personnalisable et adaptable à divers besoins :

Figure 4: TFLint in GitHub Actions (Source: GitHub)

Comme nous l’avons vu, l’intégration d’outils open source dans votre pipeline CI/CD peut sécuriser votre infrastructure en détectant les problèmes potentiels dès le début du cycle de développement. La facilité d’utilisation et la documentation complète fournies par ces outils les rendent accessibles aux développeurs et aux professionnels de la sécurité, favorisant ainsi une Approche décalée-gauche au sein de votre organisation.

Wiz'Approche de l’analyse IaC

Wiz Code fournit une solution complète d’analyse IaC qui peut vous aider à identifier et à corriger les vulnérabilités de sécurité et les problèmes de conformité dans votre code d’infrastructure. Wiz'L’analyseur IaC peut analyser une variété de formats IaC, notamment Terraform, AWS CloudFormation, les modèles Azure Resource Manager et les manifestes Kubernetes. Wiz fournit également une variété de fonctionnalités pour vous aider à gérer votre posture de sécurité IaC, notamment :

  • Application de la politique :Wiz peut appliquer vos politiques de sécurité en signalant automatiquement le code qui enfreint vos politiques.

  • Analyse des vulnérabilités :Wiz peut analyser votre code à la recherche de vulnérabilités connues et vous fournir des conseils de remédiation.

  • Vérification de la conformité :Wiz peut vérifier la conformité de votre code aux normes de l’industrie, telles que PCI DSS et SOC 2.

Wiz'détecte les vulnérabilités, les secrets et les erreurs de configuration dans les modèles IaC, les images de conteneur et les images de machine virtuelle, renforçant ainsi la sécurité dès les premières étapes du développement. En fournissant une politique unique pour tous les environnements et codes cloud, Wiz unit les développeurs et les équipes de sécurité, en éliminant les silos et en garantissant une approche harmonisée de la sécurité du cloud.

Avec Wiz, vous pouvez sécuriser l’infrastructure de la source à la production, apprendre à partir de l’exécution et appliquer le code avec une efficacité et une précision sans précédent. Voyez Wiz en action par vous-même : Planifier une démo Aujourd’hui.