Checkov项目中支持AzApi资源自定义YAML策略的实践指南

背景与挑战

在Azure云环境中，AzApi资源(azapi_resource)是一种特殊的资源类型，它允许用户创建和管理Azure中任何类型的资源。这种灵活性带来了一个显著挑战：如何在Checkov这类基础设施即代码(IaC)安全扫描工具中，为不同类型的AzApi资源定义和执行针对性的安全策略。

AzApi资源检查的基本原理

Checkov通过资源类型和属性匹配机制来执行安全检查。对于AzApi资源，关键在于如何准确识别资源类型并应用相应的策略规则。AzApi资源在Terraform配置中通常表现为：

resource "azapi_resource" "example" {
  type      = "Microsoft.ContainerRegistry/registries@2021-06-01-preview"
  name      = "example"
  location  = "eastus"
  parent_id = azurerm_resource_group.example.id
  # 其他配置...
}

实现策略检查的两种方法

方法一：YAML策略定义

Checkov支持通过YAML格式定义自定义策略。针对AzApi资源，可以利用条件组合来实现精确控制：

definition:
  or:
    - cond_type: attribute
      resource_types:
      - azapi_resource
      attribute: type
      operator: not_regex_match
      value: Microsoft\.ContainerRegistry/registries@[^/]+
    - cond_type: attribute
      resource_types:
      - azapi_resource
      attribute: identity.type
      operator: not_contains
      value: "UserAssigned"

这种方法的优势在于：

1. 无需编写代码即可快速实现策略
2. 支持复杂的逻辑组合
3. 易于维护和共享

但需要注意，这种方法可能会产生较多的"通过"结果，因为第一个条件会放过所有非目标资源类型。

方法二：Python自定义检查

对于更复杂的检查逻辑，可以开发Python检查插件：

from __future__ import annotations
from typing import Any
import re
from checkov.common.models.enums import CheckResult, CheckCategories
from checkov.terraform.checks.resource.base_resource_check import BaseResourceCheck

resource_regex = r'Microsoft\.ContainerRegistry/registries@[^/]+'

class CustomAzApiCheck(BaseResourceCheck):
    def __init__(self) -> None:
        name = "AzAPI资源身份验证检查"
        id = "CKV_AZURE_CUSTOM_001"
        supported_resources = ("azapi_resource",)
        categories = (CheckCategories.IAM,)
        super().__init__(name=name, id=id, categories=categories, 
                        supported_resources=supported_resources)

    def scan_resource_conf(self, conf: dict[str, list[Any]]) -> CheckResult:
        resource_type = conf.get("type")
        if not resource_type or re.match(resource_regex, resource_type[0]) is None:
            return CheckResult.UNKNOWN
        
        identity = conf.get("identity")
        if not identity:
            return CheckResult.FAILED
            
        identity_type = identity[0].get("type")
        if not identity_type:
            return CheckResult.FAILED
            
        if isinstance(identity_type, list):
            identity_types = [s.replace(" ", "") for s in identity_type[0].split(',')]
        else:
            identity_types = [identity_type.replace(" ", "")]
            
        return CheckResult.PASSED if "UserAssigned" in identity_types else CheckResult.FAILED

check = CustomAzApiCheck()

Python检查的优势包括：

1. 更精确的资源类型过滤
2. 支持复杂的业务逻辑
3. 更好的错误处理和类型检查
4. 可以跳过不相关的资源检查

最佳实践建议

1. 资源类型精确匹配：使用正则表达式确保准确匹配目标资源类型和API版本

2. 属性访问安全：在Python检查中，始终验证属性是否存在，避免因配置缺失导致的异常

3. 结果处理清晰：明确区分"跳过"、"通过"和"失败"三种状态，提高扫描结果的可读性

4. 性能优化：对于大型基础设施，优先考虑Python检查，减少不必要的资源处理

5. 测试覆盖：为自定义检查编写测试用例，覆盖各种边界情况和异常场景

实际应用场景

假设我们需要确保所有Azure容器注册表(Azure Container Registry)资源都启用了用户分配的身份验证，可以按照以下步骤实现：

1. 确定目标资源类型的完整格式，包括API版本
2. 设计检查逻辑：先匹配资源类型，再验证身份验证配置
3. 选择实现方式（YAML或Python）
4. 集成到CI/CD流水线中
5. 监控扫描结果并持续优化

通过这种方式，团队可以在使用AzApi资源的灵活性同时，确保关键安全策略得到有效执行。