包括亚马逊AWS、微软和google等主流云供应商都提供了本机安全工具套件,这些工具虽然有用,但并不是所有人都能掌握的。而且,随着云开发的发展,IT团队会发现这些云计算平台安全开发和管理工作负载的能力与需求存在差距。最终,用户需要自己来填补这些能力空白,这就是开源云安全工具经常派上用场的地方。
流行的开源云安全工具通常是由拥有深厚云计算经验的大型IT团队的公司开发的,例如Netflix、Capital One和Lyft等。这些公司的团队自行开发一些技术来解决现有云计算工具和服务未涵盖的特定需求,由于这些工具也能使其他企业受益,最终决定将其开源。
这些工具面向不同的领域,有些跨不同的云环境工作,有些则专门设计用于与AWS结合使用,AWS仍然是目前市场上使用最广泛的公共云(编者按:尤其是对于跨国业务而言,AWS往往是首选)。这些安全工具可以帮助了解可见性,主动测试和事件响应。
以下整理的十大开源安全工具并不是一个完整的列表,如果您想了解GitHub上最流行的开源云安全工具,本文开列的清单是一个不错的起点:
Cloud Custodian
Cloud Custodian是一个无状态规则引擎,用于管理AWS、Microsoft Azure和Google Cloud Platform(GCP)环境。它通过统一的报告和指标将组织使用的许多合规性脚本整合到一个工具中。使用Cloud Custodian,您可以设置规则,以根据安全性和合规性标准以及成本优化准则检查环境。
用YAML编写的Cloud Custodian策略表示要检查的资源的类型和集合,以及对这些资源采取什么操作。例如,您可以设置一个策略,在所有Amazon S3存储桶上启用存储桶加密。您可以将Cloud Custodian与本机云服务和无服务器运行时链接起来,以自动解析策略。
Cloud Custodian最初是由Capital One的软件工程师Kapil Thangavelu开发并开源的。
Cartography
Cartography创建基础结构图。该自动绘图工具直观地说明了您的云基础架构资产如何连接。这样可以提高整个团队的安全可见性。使用此工具可以生成资产报告,突出显示潜在的攻击路径并确定需要改进安全性的区域。
Cartography由Lyft的工程师用Python开发,并在Neo4j数据库上运行。它在AWS、Google Cloud Platform和G Suite上支持多种服务。
Diffy
Diffy是用于数字取证和事件响应(DFIR)的分类工具。当您的环境受到攻击或破坏时,DFIR团队的工作就是清除您的资源,以获取攻击者留下的任何东西。这可能是一个繁琐的手动过程。Diffy提供了差异引擎,突出显示了实例,VM和其他资源行为中的异常值。Diffy会告诉DFIR小组哪些资源行为异常,以帮助确定根除攻击者的位置。
Diffy尚处于开发初期,主要在AWS上提供linux实例,但其插件结构可以支持多个云。Diffy用Python编写,由Netflix的安全情报和响应团队创建。
Gitleaks
Gitleaks是一个静态应用程序安全测试工具,可以扫描您的Git存储库中的机密、API密钥和令牌。随着DevSecOps的IT安全性向左转移,开发人员需要在开发管道中更早地测试代码。Gitleaks可以扫描私有和组织范围内的Git存储库,以查找已提交和未提交的秘密,并且包括JSON和CSV报告。
Gitleaks用Go编写,由GitLab的软件工程师Zachary Rice维护。
Git-secrets
Git-secrets是一种开发安全工具,可以防止您在Git存储库中包含机密和其他敏感信息。它扫描提交和提交消息,并拒绝与您预先配置的,禁止的表达式模式之一匹配的任何消息。
Git-secrets是为在AWS中使用而构建的。它是由AWS Labs创建的,后者将继续维护该项目。
OSSEC
OSSEC是一个安全平台,结合了基于主机的入侵检测,日志监视以及安全信息和事件管理。最初是为本地安全性开发的,也可以在基于云的VM上使用它。
平台的优势之一是其多功能性。它适用于AWS,Azure和GCP环境。它还支持多种操作系统,例如Linux、windows、mac OS X和Solaris。OSSEC提供了一个集中式管理服务器来监视跨平台的策略以及代理和无代理监视。
OSSEC的一些关键功能包括:
PacBot
PacBot,也称为Policy Bot,是一个合规性监视平台。您将遵从性策略作为代码实施,PacBot会根据这些策略检查您的资源和资产。您可以使用PacBot自动创建遵从性报告并使用预定义的修复程序解决遵从性违规问题。
根据某些条件,使用资产组功能在PacBot UI仪表板内组织资源。例如,您可以按状态将所有Amazon EC2实例(例如,挂起、运行或关闭)分组,然后一起查看。您也可以将监视操作的范围限制为一个资产组,以实现更有针对性的合规性。
PacBot由T-Mobile创建并继续维护,可与AWS和Azure一起使用。
Pacu
Pacu是用于AWS环境的渗透测试工具箱。它为红色团队提供了一系列攻击模块,旨在破坏EC2实例,测试S3存储桶配置,破坏监视功能等。该工具包当前具有36个插件模块,并包括用于文档编制和测试时间表的内置攻击审核。
Pacu用Python编写,由渗透测试提供商Rhino Security Labs维护。
Prowler
Prowler是一个AWS命令行工具,可根据AWS Center for Internet Security基准以及GDPR和HIPAA检查评估您的基础架构。您可以检查整个基础架构,也可以指定要查看的AWS配置文件或区域。Prowler可以同时运行多个评论,并以CSV、JSON和html等标准格式生成报告。它还与AWS Security Hub集成。
Prowler由仍然维护该项目的AWS安全顾问Toni de la Fuente创建。
Security Monkey
Security Monkey是一个监视工具,可监视AWS、GCP和OpenStack环境中的策略更改和易受攻击的配置。例如,在AWS中,Security Monkey在添加或删除S3存储桶或安全组时向您发出警报,并跟踪您的AWS Identity and Access Management密钥以及许多其他监视任务。
Security Monkey由Netflix开发,尽管它对该工具的支持现在仅限于较小的错误修复。供应商替代品是AWS Config和Google Cloud Asset Inventory。