Cloudflare 通過左移安全實踐擴展基礎設施即代碼

作者 | Tim Anderson

譯者 | 劉雅夢

策劃 | 丁曉昀

Cloudflare 通過實施基礎設施即代碼和自動化策略執行，消除了數百個生產賬戶中的手動配置錯誤，每天處理大約 30 個合并請求，并在部署前而不是事件發生后捕捉安全違規。

公司的 Customer Zero 團隊面臨一個關鍵問題：單一配置錯誤可能在幾秒鐘內傳播到 Cloudflare 的全球邊緣，可能會導致員工被鎖定或生產服務癱瘓。在這種規模下，對數百個賬戶進行手動儀表板管理為人為錯誤創造了太多機會。

該解決方案的核心是將所有基礎設施配置視為代碼，進行強制性的同行評審和自動化安全檢查。現在，每個生產變更都要經過一個驗證管道，該管道在部署前執行大約 50 個安全策略。團隊仍然使用儀表板進行分析和可觀測性，但關鍵的生產變更需要提交與用戶、工單和自動化合規性檢查相關聯的代碼。

根據 Cloudflare 團隊的 Chase Catelli、Ryan Pesek 和 Derek Pitts 的說法，這種左移方法將安全驗證轉移到開發的早期階段，在補救成本最低時捕捉問題。該模型防止事件發生，而不是對事件作出響應，同時通過讓團隊相信他們的變更是合規的，從而實際上提高了工程速度。

實施以 Terraform 和 Cloudflare Terraform Provider 為中心，集成到一個自定義的持續集成和部署管道中，該管道在 Atlantis 上運行并與 GitLab 集成。所有生產賬戶配置都存儲在一個集中的單體存儲庫中，各個團隊作為指定的代碼所有者擁有和部署他們的特定部分。

Cloudflare 的基礎設施即代碼數據流圖

一個名為 tfstate-butler 的自定義 Go 程序充當 Terraform 的 HTTP 后端，充當安全狀態文件代理。該設計通過確保每個狀態文件的唯一加密密鑰來優先考慮安全性，從而限制了任何妥協的潛在爆炸半徑。

策略執行使用 Open Policy Agent 框架和 Rego 語言來驗證安全要求。策略在每個合并請求上自動運行，并以兩種模式運行：允許部署并帶有評論的警告，或者完全阻止變更的拒絕。異常處理需要基于 Jira 的正式批準，然后是一個拉取請求來記錄偏差。

遷移揭示了擴展基礎設施擴展即代碼（Infrastructure as Code）的關鍵教訓。最初，由于團隊之間的 Terraform 熟練程度不同，進入門檻很高，阻礙了最初的采用。cf-terraforming 命令行實用程序，它自動從 Cloudflare API 生成 Terraform 代碼，通過消除手動資源導入，顯著加速了上手速度。

當團隊在事件期間進行緊急儀表板變更時，配置漂移就會出現，從而使 Terraform 狀態與部署配置不同步。Cloudflare 實施了自動漂移檢測，該檢測連續比較狀態文件與部署配置，并在檢測到差異時自動創建具有服務級別協議的補救工單。

Cloudflare Terraform Provider 落后于 API 能力，因為 Cloudflare 的快速產品創新速度超過了 Terraform 的支持。v5 提供者版本通過從 OpenAPI 規范自動生成代碼，解決了這個問題，保持了產品 API 和基礎設施代碼能力之間的持續對齊。

左移模型展示了組織如何在保持嚴格的安全治理的同時擴展基礎設施即代碼。通過將驗證從反應性審計轉移到主動自動化檢查，Cloudflare 既提高了安全性，又提高了工程速度。

許多公司正在采用左移方法。谷歌云 指出，在生產中定位安全問題可能導致重大的財務處罰，例如高達全球收入 4% 的 GDPR 罰款。通過自動化 CI/CD 安全檢查進行早期檢測可以大大降低補救成本，減少對架構更改的需求。OpsMx指出 了實施障礙、自動化差距、復雜工具和組織孤島等挑戰，同時強調使用 NIST 和 OWASP 等框架的自動化策略執行可以幫助團隊識別和優先考慮風險，而不會給開發人員帶來負擔。根據 Splunk 的研究，73% 的公司認為缺乏自動化是他們在左移實踐中的主要挑戰，但 AI 驅動的工具正在通過智能自動化迅速改進安全測試，采用率在短短一年內從 64% 體升到 78%。

左移運動已經超越了簡單地將安全檢查提前。組織現在正在追求通過自動化掃描（SAST、SCA、DAST、秘密管理）、策略即代碼執行和 AI 驅動的漏洞優先級排序進行持續的安全驗證，在現有的工作流程中為開發人員提供即時、可操作的反饋。

https://www.infoq.com/news/2026/01/cloudflare-security-shift-left/

聲明：本文為 InfoQ 翻譯，未經許可禁止轉載。