El Proyecto | Sobre nosotros | Contribuir | Donaciones | Licencia
HOME Mis cursos Finalizados
◄ Anterior

Mejores Prácticas de Seguridad

Siguiente ►

En este módulo, aprenderás las mejores prácticas de seguridad al trabajar con Terraform. La seguridad es un aspecto crucial en la gestión de infraestructura como código (IaC), y seguir estas prácticas te ayudará a proteger tus recursos y datos.

  1. Gestión de Credenciales

Uso de Variables de Entorno

Es una buena práctica utilizar variables de entorno para gestionar credenciales y otros datos sensibles. Esto evita que las credenciales se almacenen directamente en los archivos de configuración de Terraform.

export AWS_ACCESS_KEY_ID="your_access_key_id"
export AWS_SECRET_ACCESS_KEY="your_secret_access_key"

Archivos de Configuración Seguros

Si necesitas almacenar credenciales en archivos, asegúrate de que estos archivos no se incluyan en el control de versiones. Utiliza un archivo .gitignore para excluirlos.

# .gitignore
*.tfstate
*.tfstate.backup
.terraform/

Herramientas de Gestión de Secretos

Utiliza herramientas como HashiCorp Vault, AWS Secrets Manager, o Azure Key Vault para gestionar y acceder a secretos de manera segura.

provider "aws" {
  access_key = data.aws_secretsmanager_secret_version.example.secret_string["access_key"]
  secret_key = data.aws_secretsmanager_secret_version.example.secret_string["secret_key"]
}

  1. Control de Acceso

Principio de Menor Privilegio

Asigna los permisos mínimos necesarios a los usuarios y roles que interactúan con Terraform. Esto reduce el riesgo de acceso no autorizado a los recursos.

resource "aws_iam_policy" "example" {
  name        = "example_policy"
  description = "A test policy"
  policy      = jsonencode({
    Version = "2012-10-17",
    Statement = [
      {
        Action   = ["ec2:Describe*"],
        Effect   = "Allow",
        Resource = "*",
      },
    ],
  })
}

Roles y Políticas

Utiliza roles y políticas para gestionar el acceso a los recursos de manera centralizada y controlada.

resource "aws_iam_role" "example" {
  name = "example_role"
  assume_role_policy = jsonencode({
    Version = "2012-10-17",
    Statement = [
      {
        Action    = "sts:AssumeRole",
        Effect    = "Allow",
        Principal = {
          Service = "ec2.amazonaws.com",
        },
      },
    ],
  })
}

  1. Gestión del Estado

Estado Remoto Seguro

Almacena el estado de Terraform en un backend remoto seguro, como AWS S3 con cifrado habilitado y control de acceso adecuado.

terraform {
  backend "s3" {
    bucket         = "my-terraform-state"
    key            = "path/to/my/key"
    region         = "us-west-2"
    encrypt        = true
    dynamodb_table = "terraform-lock"
  }
}

Bloqueo de Estado

Habilita el bloqueo de estado para evitar que múltiples usuarios realicen cambios simultáneamente, lo que podría causar inconsistencias.

terraform {
  backend "s3" {
    bucket         = "my-terraform-state"
    key            = "path/to/my/key"
    region         = "us-west-2"
    encrypt        = true
    dynamodb_table = "terraform-lock"
  }
}

  1. Auditoría y Monitoreo

Registro de Actividades

Habilita el registro de actividades para monitorear y auditar las acciones realizadas con Terraform. Utiliza servicios como AWS CloudTrail, Azure Monitor, o Google Cloud Logging.

resource "aws_cloudtrail" "example" {
  name           = "example"
  s3_bucket_name = "my-bucket"
  include_global_service_events = true
  is_multi_region_trail         = true
  enable_logging                = true
}

Alertas y Notificaciones

Configura alertas y notificaciones para recibir avisos sobre actividades sospechosas o cambios no autorizados.

resource "aws_sns_topic" "example" {
  name = "example-topic"
}

resource "aws_cloudwatch_metric_alarm" "example" {
  alarm_name          = "example-alarm"
  comparison_operator = "GreaterThanOrEqualToThreshold"
  evaluation_periods  = "1"
  metric_name         = "CPUUtilization"
  namespace           = "AWS/EC2"
  period              = "300"
  statistic           = "Average"
  threshold           = "80"
  alarm_actions       = [aws_sns_topic.example.arn]
}

  1. Cifrado

Cifrado en Tránsito

Asegúrate de que los datos se cifren en tránsito utilizando HTTPS y otros protocolos seguros.

resource "aws_s3_bucket" "example" {
  bucket = "my-bucket"
  acl    = "private"

  server_side_encryption_configuration {
    rule {
      apply_server_side_encryption_by_default {
        sse_algorithm = "AES256"
      }
    }
  }
}

Cifrado en Reposo

Habilita el cifrado en reposo para proteger los datos almacenados en discos y otros medios.

resource "aws_ebs_volume" "example" {
  availability_zone = "us-west-2a"
  size              = 40
  encrypted         = true
}

Conclusión

En esta sección, hemos cubierto las mejores prácticas de seguridad al trabajar con Terraform. Estas prácticas incluyen la gestión segura de credenciales, el control de acceso, la gestión del estado, la auditoría y monitoreo, y el cifrado de datos. Siguiendo estas recomendaciones, puedes mejorar significativamente la seguridad de tu infraestructura gestionada con Terraform.

A continuación, pasaremos a la integración de Terraform con CI/CD, donde aprenderás cómo automatizar tus despliegues de infraestructura utilizando herramientas de integración continua y entrega continua.

◄ Anterior
Siguiente ►
El Proyecto | Sobre nosotros | Contribuir | Donaciones | Licencia
© Copyright 2024. Todos los derechos reservados