코드형 인프라(Infrastructure as Code) 테스트: 검증, 린팅(Linting) 및 컴플라이언스

코드형 인프라(Infrastructure as Code, IaC)는 여전히 코드이며, 애플리케이션 코드와 동일한 수준의 테스트 엄격함이 필요합니다. Terraform 또는 CloudFormation의 버그는 애플리케이션의 버그보다 더 치명적일 수 있습니다. 인프라 전체를 다운시킬 수 있기 때문입니다.

구문 검증(Syntax validation)부터 시작하세요. CI 파이프라인에서 terraform validate와 terraform fmt를 사용하십시오. 프로덕션 환경에 도달하기 전에 기본적인 오류를 잡아내야 합니다. 이러한 체크는 빠르며, 정의되지 않은 변수나 잘못된 리소스 정의와 같은 가장 흔한 실수들을 잡아냅니다.

tfsec, checkov 또는 cfn-nag와 같은 도구를 사용하여 정적 분석(Static analysis)을 추가하십시오. 이러한 도구들은 보안 모범 사례(Security best practices)에 따라 인프라 코드를 검사합니다. 예를 들어, S3 버킷은 비공개여야 하고, 암호화(Encryption)가 활성화되어야 하며, 보안 그룹(Security groups)은 제한적이어야 합니다. 이러한 검사를 CI에 통합하고, 심각한 위반 사항이 발생하면 빌드를 실패 처리하십시오.

모듈에 대한 단위 테스트(Unit test)를 수행하십시오. terratest와 같은 도구를 사용하면 Terraform 모듈을 검증하는 테스트를 작성할 수 있습니다. 모듈이 예상된 수의 리소스를 올바른 구성으로 생성하는지 확인할 수 있습니다.

계획 검증(Plan validation)은 가장 강력한 테스트 패턴 중 하나입니다. 비프로덕션(Non-production) 환경에 대해 terraform plan을 실행하고 계획된 변경 사항을 단언(Assert)하십시오. 예를 들어, 보안 그룹이 수정되지 않았는지, 또는 리소스의 수가 동일하게 유지되는지 등을 확인하십시오.

통합 테스트(Integration tests)는 샌드박스(Sandbox) 환경에서 terraform apply를 실행하여 결과로 생성된 인프라가 올바르게 작동하는지 확인합니다. VPC 모듈을 배포한 다음, 그 안에 리소스를 생성할 수 있는지 확인하십시오. 통합 테스트는 속도는 느리지만 가장 높은 신뢰도를 제공합니다.

컴플라이언스 테스트(Compliance testing)는 인프라가 조직의 정책을 준수하는지 확인합니다. Open Policy Agent와 같은 도구를 사용하여 정책 규칙을 작성하십시오. 예: 모든 S3 버킷은 암호화가 활성화되어 있어야 하며, 모든 EBS 볼륨은 암호화되어 있어야 합니다. CI 및 배포 파이프라인의 일부로 컴플라이언스 체크를 실행하십시오.

생성뿐만 아니라 파괴(destruction)도 테스트하십시오. 리소스가 적절히 정리되는지 확인하기 위해 terraform destroy 워크플로우를 테스트해야 합니다. 잔류 리소스(dangling resources)를 남기는 파괴 작업은 시간이 지남에 따라 비용과 보안 리스크를 누적시킵니다.

Rizwan Saleem | https://rizwansaleem.co