POSTURE — wiedz, co posiadasz
Filar POSTURE odpowiada na pytanie „co tak naprawdę posiadam?". To baza — bez aktualnego obrazu zasobów reszta platformy traci kontekst.
Asset Inventory
Jedno źródło prawdy o wszystkim, co masz: chmura (Azure/AWS/GCP), on-prem, kontenery, repozytoria. Auto-odświeżane co ~6 h. Najważniejsze możliwości:
- inwentaryzacja przez read-only API chmur (nic nie modyfikujemy),
- cross-cloud search (jedno zapytanie, wszystkie chmury),
- tagi i atrybuty zasobów,
- graf zależności (kto od czego zależy),
- drift względem źródła prawdy IaC.
IaC Drift Detection
Porównuje stan żywej chmury z Twoim źródłem prawdy w IaC. Każdy drift to finding, który da się naprawić.
workspace: prod-eu-west
drift_detected:
- resource: aws_security_group.web
iac_state: ingress [443]
cloud_state: ingress [443, 22] # ← niespodziewane!
severity: high
Wspiera Terraform, ARM/Bicep, CloudFormation, Pulumi. Może generować PR-y naprawcze do GitHub/GitLab.
Topology Graph
Interaktywny graf wszystkich zasobów i relacji (force-directed, 10k+ węzłów), z nakładką attack-path (łańcuchy ryzykownych konfiguracji) i podświetleniem ekspozycji do internetu.
Cloud Posture (CSPM)
Skoring postawy względem benchmarków CIS dla każdej chmury — jedna zakładka na providera, jedna kolejka findings:
- AWS CIS Foundations v3.0
- Azure CIS v2.1
- GCP CIS v2.0
Findings są auto-mapowane do kontroli ISO 27001 / NIS2.
Kubernetes Posture
Posture na poziomie poda i klastra (EKS/AKS/GKE i self-hosted): Kubescape (NSA + MITRE), Trivy (obrazy), analiza RBAC, pokrycie NetworkPolicy.
Standard pracy: zacznij od Asset Inventory (czy widzimy wszystko?), potem Drift (czy żywa chmura zgadza się z IaC?), potem Cloud Posture (czy konfiguracja jest zgodna z benchmarkiem?). Topology użyj do pokazania klientowi ekspozycji i ścieżek ataku.
POSTURE to „mapa terenu". W następnej lekcji nakładamy na nią findings — filar SECURITY.