Yor, das neue Open-Source-Tool von Palo Alto Networks, taggt automatisch Cloud-Ressourcen innerhalb der Infrastructure-as-Code (IaC)-Frameworks Terraform, AWS CloudFormation und Serverless Framework YAML. Yor automatisiert die mühsame Arbeit des manuellen Taggings von Cloud-Ressourcen, hilft Sicherheitsteams bei der Verfolgung von Sicherheitsfehlkonfigurationen vom Code bis zur Cloud und ermöglicht hocheffektive GitOps über alle großen Cloud-Anbieter hinweg.

„Effektives Infrastruktur-Tagging ist entscheidend für die Nachverfolgung von Kostenzuweisung, Zugriffskontrolle, Betrieb und natürlich Sicherheit in der Cloud“, erklärt Barak Schoster, Chief Architect bei Palo Alto Networks. „Bislang war dies ein überwiegend manueller Prozess für Entwickler, wobei jeder Cloud-Anbieter und jedes Unternehmen unterschiedliche Standards und Namenskonventionen hat. Durch die Automatisierung des standardisierten Taggings bietet Yor nun Transparenz und Nachvollziehbarkeit von der IaC-Konfiguration bis zu den Cloud-Ressourcen in der Produktion.“

Unternehmen können Yor über alle Infrastrukturressourcen laufen lassen, um rückwirkend Eigentumsrechte und andere aussagekräftige Tags basierend auf IaC- und Git-Historiendaten zuzuweisen. Yor kann auch in den Continuous-Integration- und Continuous-Delivery-Lebenszyklus (CI/CD) integriert werden, um die Rückverfolgbarkeit zu verbessern, während die Infrastruktur modifiziert und erstellt wird. Ein konsistentes Tagging erleichtert die Rückverfolgung von Fehlkonfigurationen bis zu den ursprünglichen Code-Eigentümern und -Editoren und verkürzt die Zeit für Patches.

Die Cloud Security Alliance hat in ihrem jüngsten Bericht „The State of Cloud Security Concerns, Challenges, and Incidents“ festgestellt, dass Fehlkonfigurationen zu den Hauptursachen für Sicherheitsverletzungen und Ausfälle gehören. Dabei hat sich die Nutzung von Public Clouds in den letzten zwei Jahren verdoppelt. Wenn ein Sicherheitsteam eine Fehlkonfiguration identifiziert, vereinfacht das Vorhandensein der Tags für den Eigentümer des Entwicklers die Triage, sodass Tickets automatisch dem richtigen Entwickler zugewiesen werden können. Die Anwendungsfälle von Yor gehen auch über den Bereich der Sicherheit hinaus, indem sie das Taggen von Ressourcen zur Kostenzuordnung aus Sicht der Finanzen und Budgetierung erleichtern.

„Bei DevSecOps geht es darum, Silos aufzubrechen und die Produktivität zu verbessern“, kommentierte Ismail Yenigul, Open-Source-Mitarbeiter und DevSecOps-Experte. „Stellen Sie sich vor, es gibt einen SEV0-Sicherheitsvorfall: Das Letzte, was Sie tun wollen, ist, stundenlang zu ermitteln, was eine Fehlkonfiguration verursacht hat, oder den Entwickler ausfindig zu machen, der den Infrastrukturcode geschrieben oder verändert hat, der in Terraform, CloudFormation oder Serverless verwaltet wird. Mit Yor ist es möglich, sofort Antworten auf diese Fragen zu erhalten, was eine viel effektivere Zusammenarbeit und eine kürzere mittlere Zeit bis zur Lösung von Vorfällen ermöglicht.“

Yor wurde von Bridgecrew entwickelt, dem Team hinter dem beliebten Open-Source-IaC-Scanner Checkov, der von Entwicklern bereits über zwei Millionen Mal heruntergeladen wurde. Bridgecrew wurde im März 2021 von Palo Alto Networks übernommen. Gemeinsam investieren die beiden Unternehmen weiterhin in neue und bestehende Open-Source-Projekte.