包括亞馬遜AWS、微軟和google等主流云供應商都提供了本機安全工具套件,這些工具雖然有用,但并不是所有人都能掌握的。而且,隨著云開發的發展,IT團隊會發現這些云計算平臺安全開發和管理工作負載的能力與需求存在差距。最終,用戶需要自己來填補這些能力空白,這就是開源云安全工具經常派上用場的地方。
流行的開源云安全工具通常是由擁有深厚云計算經驗的大型IT團隊的公司開發的,例如Netflix、Capital One和Lyft等。這些公司的團隊自行開發一些技術來解決現有云計算工具和服務未涵蓋的特定需求,由于這些工具也能使其他企業受益,最終決定將其開源。
這些工具面向不同的領域,有些跨不同的云環境工作,有些則專門設計用于與AWS結合使用,AWS仍然是目前市場上使用最廣泛的公共云(編者按:尤其是對于跨國業務而言,AWS往往是首選)。這些安全工具可以幫助了解可見性,主動測試和事件響應。
以下整理的十大開源安全工具并不是一個完整的列表,如果您想了解GitHub上最流行的開源云安全工具,本文開列的清單是一個不錯的起點:
Cloud Custodian
Cloud Custodian是一個無狀態規則引擎,用于管理AWS、Microsoft Azure和Google Cloud Platform(GCP)環境。它通過統一的報告和指標將組織使用的許多合規性腳本整合到一個工具中。使用Cloud Custodian,您可以設置規則,以根據安全性和合規性標準以及成本優化準則檢查環境。
用YAML編寫的Cloud Custodian策略表示要檢查的資源的類型和集合,以及對這些資源采取什么操作。例如,您可以設置一個策略,在所有Amazon S3存儲桶上啟用存儲桶加密。您可以將Cloud Custodian與本機云服務和無服務器運行時鏈接起來,以自動解析策略。
Cloud Custodian最初是由Capital One的軟件工程師Kapil Thangavelu開發并開源的。
Cartography
Cartography創建基礎結構圖。該自動繪圖工具直觀地說明了您的云基礎架構資產如何連接。這樣可以提高整個團隊的安全可見性。使用此工具可以生成資產報告,突出顯示潛在的攻擊路徑并確定需要改進安全性的區域。
Cartography由Lyft的工程師用Python開發,并在Neo4j數據庫上運行。它在AWS、Google Cloud Platform和G Suite上支持多種服務。
Diffy
Diffy是用于數字取證和事件響應(DFIR)的分類工具。當您的環境受到攻擊或破壞時,DFIR團隊的工作就是清除您的資源,以獲取攻擊者留下的任何東西。這可能是一個繁瑣的手動過程。Diffy提供了差異引擎,突出顯示了實例,VM和其他資源行為中的異常值。Diffy會告訴DFIR小組哪些資源行為異常,以幫助確定根除攻擊者的位置。
Diffy尚處于開發初期,主要在AWS上提供linux實例,但其插件結構可以支持多個云。Diffy用Python編寫,由Netflix的安全情報和響應團隊創建。
Gitleaks
Gitleaks是一個靜態應用程序安全測試工具,可以掃描您的Git存儲庫中的機密、API密鑰和令牌。隨著DevSecOps的IT安全性向左轉移,開發人員需要在開發管道中更早地測試代碼。Gitleaks可以掃描私有和組織范圍內的Git存儲庫,以查找已提交和未提交的秘密,并且包括JSON和CSV報告。
Gitleaks用Go編寫,由GitLab的軟件工程師Zachary Rice維護。
Git-secrets
Git-secrets是一種開發安全工具,可以防止您在Git存儲庫中包含機密和其他敏感信息。它掃描提交和提交消息,并拒絕與您預先配置的,禁止的表達式模式之一匹配的任何消息。
Git-secrets是為在AWS中使用而構建的。它是由AWS Labs創建的,后者將繼續維護該項目。
OSSEC
OSSEC是一個安全平臺,結合了基于主機的入侵檢測,日志監視以及安全信息和事件管理。最初是為本地安全性開發的,也可以在基于云的VM上使用它。
平臺的優勢之一是其多功能性。它適用于AWS,Azure和GCP環境。它還支持多種操作系統,例如Linux、windows、mac OS X和Solaris。OSSEC提供了一個集中式管理服務器來監視跨平臺的策略以及代理和無代理監視。
OSSEC的一些關鍵功能包括:
PacBot
PacBot,也稱為Policy Bot,是一個合規性監視平臺。您將遵從性策略作為代碼實施,PacBot會根據這些策略檢查您的資源和資產。您可以使用PacBot自動創建遵從性報告并使用預定義的修復程序解決遵從性違規問題。
根據某些條件,使用資產組功能在PacBot UI儀表板內組織資源。例如,您可以按狀態將所有Amazon EC2實例(例如,掛起、運行或關閉)分組,然后一起查看。您也可以將監視操作的范圍限制為一個資產組,以實現更有針對性的合規性。
PacBot由T-Mobile創建并繼續維護,可與AWS和Azure一起使用。
Pacu
Pacu是用于AWS環境的滲透測試工具箱。它為紅色團隊提供了一系列攻擊模塊,旨在破壞EC2實例,測試S3存儲桶配置,破壞監視功能等。該工具包當前具有36個插件模塊,并包括用于文檔編制和測試時間表的內置攻擊審核。
Pacu用Python編寫,由滲透測試提供商Rhino Security Labs維護。
Prowler
Prowler是一個AWS命令行工具,可根據AWS Center for Internet Security基準以及GDPR和HIPAA檢查評估您的基礎架構。您可以檢查整個基礎架構,也可以指定要查看的AWS配置文件或區域。Prowler可以同時運行多個評論,并以CSV、JSON和html等標準格式生成報告。它還與AWS Security Hub集成。
Prowler由仍然維護該項目的AWS安全顧問Toni de la Fuente創建。
Security Monkey
Security Monkey是一個監視工具,可監視AWS、GCP和OpenStack環境中的策略更改和易受攻擊的配置。例如,在AWS中,Security Monkey在添加或刪除S3存儲桶或安全組時向您發出警報,并跟蹤您的AWS Identity and Access Management密鑰以及許多其他監視任務。
Security Monkey由Netflix開發,盡管它對該工具的支持現在僅限于較小的錯誤修復。供應商替代品是AWS Config和Google Cloud Asset Inventory。
