xn0kkx/terraform-security-baseline

# terraform-security-baseline 强化的 AWS Terraform 基线，专注于最小权限默认配置、符合合规要求的加密以及 CI 强制安全检查。 ## 计划模块 - **`iam-least-privilege/`** — 基于 `aws_iam_policy_document` 数据源构建的 IAM 角色，无 `*:*` 权限，强制执行标签。 - **`s3-encrypted/`** — 启用 SSE-KMS、版本控制、公有访问屏蔽、生命周期策略和访问日志记录的存储桶。 - **`cloudtrail-multi-region/`** — 与 S3 + CloudWatch + KMS 集成的多区域跟踪。 - **`security-groups-baseline/`** — 层级分离模式 (app/db)，仅 ALB:443 允许 `0.0.0.0/0`。 - **`kms-rotation/`** — 启用年度轮换和授权模式的 KMS 密钥。 - **`examples/web-app-baseline/`** — 调用所有模块的端到端示例。 ## 计划工具 - 包含 `init`、`plan`、`apply`、`destroy`、`tfsec`、`checkov` 目标的 `Makefile`。 - 在 PR 上运行 `tfsec` + `checkov` + `terraform validate` 的 GitHub Actions 工作流。 - OPA / Conftest 策略门禁。 - 文档中包含威胁模型和 OWASP Cloud Top 10 映射。 ## 作者 [Lucas Turossi · @xn0kkx](https://github.com/xn0kkx) · 安全工程师 / DevSecOps · 巴西 · 开放远程工作。 ## 许可证 Apache-2.0（计划中）

标签：AWS, checkov, CloudTrail, DevSecOps, DPI, EC2, ECS, GitHub Actions, IaC, IAM最小权限, KMS加密, OPA, S3存储桶加密, SSE-KMS, Terraform, tfsec, 上游代理, 人工智能安全, 合规性, 威胁建模, 安全基线, 安全组, 密钥轮换, 持续集成CI, 教学环境, 漏洞利用检测, 策略即代码, 网络安全审计, 聊天机器人安全, 自动笔记, 身份与访问管理, 靶场