AWS、微软和谷歌等云供应商提供一整套原生安全工具。这些工具固然有用,但并不适合所有人。
随着云计算深入发展,IT团队常常发现安全地开发和管理这些平台上的工作负载的能力存在不足。最终,填补这些不足是用户的责任。这时候,开源云安全工具常常派得上用场。
流行的开源云安全工具常常是拥有丰富云经验的大型IT团队的公司开发的,比如Netflix、Capital One和Lyft。这些团队启动这些项目是为了满足现有工具和服务满足不了的特定需求,并抱着也会造福其他组织的想法最终开源软件。
本文介绍了GitHub上几款最受欢迎的开源云安全工具。其中许多工具可以跨不同的云环境使用,另一些工具专为与AWS结合使用而设计,毕竟AWS仍是使用最广泛的公共云。打量这些安全工具的可见性、主动测试和事件响应功能。
1. Cloud Custodian
Cloud Custodian是一种无状态规则引擎,用于管理AWS、微软Azure和谷歌云平台(GCP)等环境。它把企业组织使用的许多合规脚本整合到一个工具中,采用统一的报告和指标。借助Cloud Custodian,您可以设置规则,根据安全和合规标准以及成本优化准则来检查环境。
用YAML编写的Cloud Custodian策略表示要检查的资源的类型和集合,以及对这些资源采取何种操作。比如可以设置策略,对所有Amazon S3存储桶启用存储桶加密。您可以将Cloud Custodian与原生云服务和无服务器运行时环境连接起来,以自动解析策略。
Cloud Custodian最初由Capital One的软件工程师Kapil Thangavelu开发并开源。
2. Cartography
Cartography创建基础架构图。这个自动绘图工具直观地表明了你的云基础架构资产如何连接,这可以为整个团队提高安全可见性。可以使用该工具生成资产报告,重点列出潜在的攻击路径,并确定需要改进安全的方面。
Cartography由Lyft的工程师们用Python开发,在Neo4j数据库上运行。它支持AWS、谷歌云平台和G Suite上的多种服务。
3. Diffy
Diffy是一款用于数字取证和事件响应(DFIR)的排查工具。您的环境受到攻击或被黑时,DFIR团队的任务就是彻查资源,查找攻击者留下的任何痕迹。这可能是个繁琐的手动过程。Diffy提供的差异引擎可找出实例、虚拟机及其他资源行为中的异常情况。 Diffy会告诉DFIR团队哪些资源行为异常,从而帮助确定从哪里揪出攻击者。
Diffy处于开发初期,主要用于AWS上的Linux实例,但其插件结构可以支持多个云。 Diffy用Python编写,由Netflix的安全情报和响应团队开发。
4. Gitleaks
Gitleaks是一款静态应用程序安全测试工具,可以扫描Git存储库以查找机密信息、API密钥和令牌。由于IT安全团队注重初期阶段的安全,开发人员需要在开发环节中更早地测试代码。Gitleaks可以扫描整个企业的私有Git存储库,查找已提交和未提交的机密信息,包括JSON和CSV报告。
Gitleaks用Go编写,由GitLab的软件工程师Zachary Rice维护。
5. Git-secrets
Git-secrets是一种开发安全工具,可防止您在Git存储库中含有机密信息及其他敏感信息。它扫描提交代码和提交消息,拒绝与您预先配置的、禁止的表达式模式匹配的任何内容。
Git-secrets是为用于AWS而开发的。它由继续维护该项目的AWS Labs开发。
6. OSSEC
OSSEC这个安全平台结合了基于主机的入侵检测、日志监测以及安全信息和事件管理。它最初是为确保本地安全开发的,你也可以在基于云的虚拟机上使用它。
该平台的优点之一是用途广泛。它可用于AWS、Azure和GCP等环境。它还支持多种操作系统,比如Linux、Windows、Mac OS X和Solaris。除了代理和无代理监测外,OSSEC还提供了集中式管理服务器以便跨平台监测策略。
OSSEC的一些关键功能包括:文件完整性检查、日志监测、rootkit检测和主动响应。
OSSEC由OSSEC基金会维护。
7. PacBot
PacBot又叫Policy Bot,是一款合规监测平台。您将合规策略作为代码来实施,PacBot可根据这些策略检查您的资源和资产。可以使用PacBot自动创建合规报告,并使用预定义的修正版解决违规问题。
基于某些标准,使用Asset Group功能在PacBot UI仪表板内组织资源。比如说,可以按状态(比如挂起、运行或关闭)对所有Amazon EC2实例进行分组,然后一起查看。您还可以将监测操作的范围限制为一个资产组,以确保更有针对性的合规。
PacBot由继续负责维护的T-Mobile开发,可与AWS和Azure一起使用。
8. Pacu
Pacu是面向AWS环境的渗透测试工具包。它为红队提供了一系列攻击模块,旨在攻击EC2实例、测试S3存储桶配置和破坏监视功能等。该工具包目前有36个插件模块,包括用于文档编制和测试时间表的内置攻击审查功能。
Pacu用Python编写,由渗透测试提供商Rhino Security Labs维护。
9. Prowler
Prowler是AWS命令行工具,可根据AWS互联网安全中心基准以及GDPR和HIPAA标准评估基础架构。您可以检查整套基础架构,也可以指定要检查的AWS配置文件或区域。Prowler可以同时运行多项检查,提交采用CSV、JSON和HTML等标准格式的报告。它还与AWS Security Hub集成。
Prowler由仍维护该项目的AWS安全顾问Toni de la Fuente开发。
10. Security Monkey
Security Monkey这个监测工具可监测AWS、GCP和OpenStack环境中的策略更改和易受攻击的配置。比如在AWS中,Security Monkey在添加或删除S3存储桶或安全组时向您发出警报,密切跟踪AWS身份和访问管理密钥,并执行其他许多监测任务。
Security Monkey由Netflix开发,不过它对该工具的支持现在仅限于次要的错误修正版。其他替代产品是AWS Config和Google Cloud Asset Inventory。
转载请注明:IT运维空间 » 安全防护 » 不可不知的10款开源云安全工具!
发表评论