Unter Infrastructure-as-Code (IaC) versteht man die Nutzung von Code (in Form von vorgefertigten Vorlagen) zur Bereitstellung von Infrastruktur-Ressourcen, die zur Unterstützung von cloudbasierten Anwendungen erforderlich sind. Entwickler können diese hochgradig reproduzierbare Vorgehensweise nutzen, um Code zu schreiben, zu testen und zu veröffentlichen, der die Infrastruktur schafft, auf der Anwendungen ausgeführt werden. Der gesamte Prozess kann als Teil der CI/CD-Softwarepipeline (Continuous Integration/Continuous Deployment) automatisiert werden.
IaC kann sehr vorteilhaft sein, da Sie nicht jedes Mal manuell Ressourcen bereitstellen müssen, wenn Sie neuen Code in die Produktion geben. Wiederholbare Aufgaben können automatisiert werden und Teams können Produkte schneller bereitstellen.
Die Implementierung von IaC kann Entwicklern zwar zu einem schnelleren und effizienteren Arbeitsprozess verhelfen, doch ist dies oft mit einem Kompromiss verbunden. Diese erhöhte Geschwindigkeit führt oft dazu, dass Plattform- und DevOps-Teams weniger Kontrolle und Überblick haben. Und das kann in manchen Fällen dazu führen, dass Ressourcen nicht ordnungsgemäß bereitgestellt oder, schlimmer noch, auf unsichere Weise erstellt werden. Um dem entgegenzuwirken, heißt es in einem aktuellen Forrester-Bericht, dass 58 % der weltweit führenden Sicherheitsentscheider planten, ihr Budget für Anwendungssicherheit im Jahr 2022 zu erhöhen.
Die Integration von Cybersecurity in den Entwicklungszyklus kann jedoch zu Konflikten zwischen Entwicklern und Sicherheitspersonal führen, da SecOps versucht, mit DevOps Schritt zu halten und Workloads so schnell wie möglich zu sichern.
Jede Umgebung und ihr Zweck sind einzigartig. Einige Tools eignen sich besser als andere, daher sollten Sie recherchieren, was für Ihre speziellen Bedürfnisse am besten geeignet ist. Zu beachten ist dabei, dass viele Cloud-Anbieter native Tools und Dienste für ihre Plattformen bereitstellen. Versuchen Sie, dies während des Rechercheprozesses zu berücksichtigen, um eine Redundanz von Funktionen zu vermeiden, die Ihnen möglicherweise bereits bei der Einführung einer bestimmten Plattform zur Verfügung stehen.
Erfahren Sie mehr über unseren Ansatz: Integration von Cloud-Sicherheit mit DevOps und CI/CD-Tools
Terraform hilft Nutzern, Ressourcen und Infrastruktur in lesbaren, deklarativen Konfigurationsdateien zu definieren. Es kann den Lebenszyklus einer Infrastruktur auf mehreren Cloud-Plattformen verwalten und Ressourcenänderungen während der Bereitstellung verfolgen.
Mit Chef Infra können Nutzer das Konfigurationsmanagement automatisieren, indem Richtlinien definiert werden, die reproduzierbar, einheitlich und wiederverwendbar sind. Es kann Konfigurationen und Richtlinien als Code definieren, der testbar und durchsetzbar ist und in großem Umfang als Teil automatisierter Pipelines bereitgestellt werden kann. Chef kann auch Konfigurationsabweichungen erkennen und diese bei Bedarf korrigieren.
Puppet ist ein Tool, das deklarativen Code zur Verwaltung und Automatisierung der Serverkonfiguration verwendet. Es ermöglicht die Skalierung der Infrastrukturautomatisierung mit den IT-Anforderungen eines Unternehmens. Nutzer können den gewünschten Systemzustand beschreiben, im Gegensatz zu den Schritten, die erforderlich sind, um dorthin zu gelangen.
AWS CloudFormation unterstützt Nutzer bei der Verwaltung der Infrastruktur mit DevOps. Es ermöglicht Automatisierung, Tests und Vorlagen für die Bereitstellung der Infrastruktur mit CI/CD-Automatisierungen. Es kann auch die Infrastruktur erweitern und verwalten, um in der CloudFormation Registry veröffentlichte Cloud-Ressourcen, die Entwickler-Community und eine Nutzerbibliothek einzubeziehen.
Ansible ist eine auf Open Source basierende Befehlszeilensoftwareanwendung für die IT-Automatisierung. Es kann Systeme konfigurieren, Software bereitstellen und fortschrittliche Workflows zur Unterstützung von Anwendungsbereitstellung, Systemaktualisierungen und mehr orchestrieren. Ansible verfügt über minimale „bewegliche Teile“ und verwendet OpenSSH für den Transport. Es verwendet außerdem eine für Menschen lesbare Sprache, damit die Anwender schnell loslegen können.
SaltStack ist eine auf Python basierende Open-Source-Software für die Remote-Ausführung von Aufgaben und das Konfigurationsmanagement, mit der Nutzer komplexe IT-Systeme bereitstellen und konfigurieren können. Es kombiniert menschenlesbares YAML mit ereignisgesteuerter Automatisierung, um ITOps-, DevOps-, NetOps- oder SecOps-Funktionen zu nutzen.
Wie oben erwähnt, ist der Hauptvorteil von Infrastructure-as-Code in Cloud-Umgebungen die Geschwindigkeit. Etwas genauer betrachtet, ergeben sich die folgenden greifbareren und spezifischeren Geschäftsvorteile:
Der makroökonomische Nutzen, den die meisten modernen Unternehmen erreichen wollen, ist der große „Shift-Left“-Ansatz. Das heißt, die Integration von DevOps und SecOps in eine echte DevSecOps-Kultur, die Sicherheit in die CI/CD-Pipeline verlagert und Sicherheit und Compliance von einer reaktiven zu einer präventiven Strategie macht.
Was also ist IaC? Was deutlich wird, ist, dass es viele Möglichkeiten zur Beantwortung der Frage gibt. Wenn man etwas genauer hinschaut, gibt es zwei allgemeine Möglichkeiten, dies zu tun: deklarative IaC und imperative IaC. Einfach ausgedrückt: Diese beiden Methoden zeigen, wie ein Entwickler die IaC-Automatisierungsplattform informiert, was zu tun ist.
Bei der Angabe eines gewünschten Ergebnisses lässt ein Nutzer das System auf vorgefertigte Vorlagen und Regeln zurückgreifen, um zu diesem Ergebnis zu gelangen. Daher benötigt der Nutzer weniger technisches Wissen über den Konfigurationsprozess, und durch die Delegation werden Effizienzvorteile erzielt. Ein Nutzer sagt im Wesentlichen: „Ich möchte, dass dieses Ergebnis eintritt, nachdem der Prozess abgeschlossen ist, und es ist mir egal, wie Sie es machen.“ Ein weiterer Vorteil ist, dass Nutzer bei der Gestaltung und Bereitstellung der gesamten Anwendung einen strategischeren Ansatz verfolgen können.
Zur Erinnerung: Die Natur von IaC besteht darin, Anweisungen zu schreiben, die die Cloud-Infrastruktur definieren, auf der Code ausgeführt wird. Deklarative IaC ist einfach ein schnellerer und einfacherer Weg, um zu einem gewünschten Ergebnis zu gelangen, und ist die Methode, die in der überwältigenden Mehrheit der Fälle angewendet wird.
Die Verantwortung für die Definition jedes einzelnen Schritts bis zum Endergebnis klingt vielleicht nach einem großen Nachteil, und das kann es auch sein. Ein Nutzer muss die Programmiersprache sehr gut kennen und jeden Schritt fehlerfrei ausführen, damit der gesamte Vorgang funktioniert. Der Vorteil ist, dass der Nutzer mehr Kontrolle über den Automatisierungsprozess und den Code hat und den Konfigurationsprozess an die spezifischen Anforderungen einer Situation anpassen kann.
Es geht darum, dem Controller zu sagen, wie er genau Dinge tun soll. „Iteriere durch diese Schleife, prüfe diese Randbedingung, führe diese Aktion aus, wenn die Bedingung erfüllt ist, aber diese andere Aktion, wenn die Bedingung nicht erfüllt ist.“ Imperative Programmierung ist im Wesentlichen Mikromanagement und wird im Allgemeinen von Menschen geleitet.
Die Teams müssen sicherstellen, dass die Erhöhung der Geschwindigkeit und Effizienz im Entwicklungszyklus durch IaC nicht zu Sicherheitsproblemen führt. Somit ist es entscheidend, Sicherheitskontrollen und -prüfungen so früh wie möglich im Prozess zu implementieren. Auf diese Weise können Sie vermeiden, dass Ressourcen erstellt werden, die nicht den Unternehmensstandards entsprechen, da Probleme in der Vorlage erkannt werden, bevor sie überhaupt erstellt werden. Werfen wir einen Blick auf einige der Herausforderungen von IaC (keine Sorge, die Vorteile überwiegen):
Erfahren Sie, wie die Cloud Security-Plattform von Rapid7 IAC Sicherheit bietet
Aktuelle Themen zur Cloud-Infrastruktur im Rapid7-Blog
2022 Cloud Misconfigurations Report: Neueste Cloud Security-Verstöße und Angriffstrends