Dans « Comment SQL peut unifier l’accès aux API », j’ai présenté SQL comme un environnement typique dans lequel raisonner sur le flux d’informations provenant de diverses API. Le catalyseur clé de ce scénario est Steampipe, un outil basé sur Postgres avec une suite croissante de plugins d’API qui mappent les API à des tables étrangères dans Postgres.
Ces API étaient, au départ, celles fournies par AWS, Azure et GCP. Ces API sont généralement rendues plus accessibles aux concepteurs au moyen de wrappers comme boto3. Une interface utilisateur SQL typique est peut-être un meilleur unificateur des écosystèmes d’API tentaculaires au sein de ces nuages, et c’est incontestablement réel dans les situations multicloud. Avec Postgres sous le capot, au fait, vous n’êtes pas limité à SQL : vous pouvez raccorder Python ou JavaScript ou un autre langage à Postgres et profiter également de l’interface utilisateur SQL typique de ces langages.
La communauté Steampipe s’est ensuite élargie avec des plugins pour de nombreux autres services comprenant GitHub, Google Work Space, IMAP, Jira, LDAP, Shodan, Slack, Stripe et Zendesk. L’inscription à ces API est une superpuissance mieux prouvée par cet exemple qui s’inscrit avec des points de terminaison Amazon EC2 avec des vulnérabilités Shodan en seulement 10 lignes de SQL vraiment basique.
sélectionnez a.instance _ id, s.ports s.vulns à partir de aws_ec2_instance, une jointure gauche shodan_host s sur a.public _ ip_address = s.ip où a.public _ ip_address n’est pas null ; ——————— ———- ——————- -|id_instance|ports|vuln|——————— ———- ———– ———|i-0dc60dd191cb84239|null|null|| i-042a51a815773780d|[80,22]|null|| i-00cf426db9b8a58b6|[22]|null|| i-0e97f373db42dfa3f|[22,111]|[« CVE-2018-15919 « ]|——————— ———- – ——————-
Les fichiers sont aussi des API
Mais qu’est-ce qu’une API, vraiment ? Doit-il constamment exiger des requêtes HTTP pour desservir les points de terminaison ? Plus largement, les API sont des sources de données qui existent également dans d’autres versions. Les sites Web sont encore souvent des API de facto. J’ai fait plus de scraping Web que je ne le pense au fil des ans et la compétence reste utile.
Les fichiers sont également des sources de données : fichiers de configuration (INI, YAML, JSON), fichiers d’infrastructure en tant que code (Terraform, CloudFormation), fichiers d’information (CSV). Lorsque les plugins pour ces sources ont commencé à s’inscrire avec le mélange, Steampipe a fini par être encore plus puissant.
Le premier est venu le plugin CSV, qui a débloqué toutes sortes de demandes utiles. Pensez, par exemple, à la façon dont nous prétendons souvent que les feuilles de calcul sont des bases de données. Ce faisant, nous pouvons présumer qu’il existe une stabilité référentielle alors qu’il n’y en a pas vraiment. Si vous exportez des informations de feuille de calcul vers CSV, vous pouvez utiliser SQL pour découvrir ces présomptions erronées. C’est tout simplement l’une des façons illimitées que je peux imaginer utiliser SQL pour interroger le premier format de fichier au monde pour l’échange d’informations.
Est venu le plugin Terraform, qui interroge les fichiers Terraform pour poser et répondre à des questions telles que : « Quelles pistes ne sont pas crypté ? »
sélectionnez le nom, le cours à partir de terraform_resource où le type = »aws_cloudtrail » et les arguments -> ‘kms_key_id’ est nul ;
À l’aide de la table aws_cloudtrail_trail du plug-in AWS, nous pouvons poser et répondre à la même question pour les installations publiées, et renvoyer un ensemble de résultats que vous pourriez UNION avec le premier.
sélectionnez le nom, arn comme chemin à partir de aws_cloudtrail_trail où kms_key_id est nul ;
Idéalement, les réponses seront toujours les mêmes. Ce que vous avez déclaré doit être déployé, à l’aide de Terraform, doit correspondre à ce qui est réellement publié si vous interrogez les API AWS. Dans le monde réel, bien sûr, la maintenance et/ou la réponse aux événements peuvent entraîner une dérive de configuration. Proposé une méthode commune pour prendre en compte l’infrastructure spécifiée et publiée, nous pouvons gérer cette dérive par programme.
Ceinture et bretelles
Pour l’infrastructure déployée, Steampipe propose depuis longtemps une suite de mods qui couche contrôles de sécurité et de conformité sur les tables étrangères dérivées de l’API. Le module AWS Compliance, par exemple, fournit des normes et des contrôles pour examiner l’infrastructure déployée par rapport à onze exigences et structures, notamment CIS, GDPR, HIPAA, NIST 800-53 et SOC 2.
IDG
Avec l’introduction du Le plugin Terraform a fini par être possible de produire des mods complémentaires, comme Terraform AWS Compliance, qui fournissent le même type de vérifications pour les installations spécifiées.
IDG
Ce que vous avez défini le mois dernier correspond-il à ce que vous avez publié hier ? Une réponse satisfaisante nécessite la capacité de prendre en compte une infrastructure spécifiée et publiée dans une méthode commune et fluide. SQL ne peut pas se débarrasser de toutes les frictions, mais c’est un solvant puissant.
Toute l’actualité en temps réel, est sur L’Entrepreneur
