AWS、微软和谷歌等云供应商提供都本机安全工具套件,虽然这些工具很有用,但并不能满足所有人的需求。
随着云计算技术的发展,IT团队通常会发现他们难以在云计算平台安全地开发和管理工作负载。最终,用户需要承担这部分责任,这正是开源云安全工具派上用场的地方。
主流开源云安全工具通常是由拥有大型IT团队的公司开发,例如Netflix、Capital One和Lyft公司,他们的IT团队拥有丰富的云计算经验。这些团队开发开源云安全工具来解决特定需求—现有工具和服务无法解决的需求,然后他们会开源化软件以使其他企业受益。
下面的开源云安全工具并不是完整的列表,但这是很好的起点,特别是当你想了解GitHub最受欢迎的开源云安全工具的话。其中很多工具可跨越各种云环境,而其他工具则专门设计用于与AWS,AWS仍然是使用最广泛的公共云。下面让我们看看这些安全工具,以了解其可视性、主动测试和事件响应。
1. Cloud Custodian
Cloud Custodian是无状态规则引擎,用于管理AWS、Microsoft Azure和Google Cloud Platform(GCP)环境。它通过统一的报告和指标将组企业使用的很多合规性脚本整合到一个工具中。借助Cloud Custodian,你可以设置规则,以根据安全性和合规性标准以及成本优化准则检查环境。
Cloud Custodian策略以YAML编写,其中会表明需要检查的资源类型和集合,以及对这些资源采取何种操作。例如,你可以设置一个策略,在所有Amazon S3存储桶上启用存储桶加密。你还可以将Cloud Custodian连接到本机云服务和无服务器运行时,以自动解析策略。
Cloud Custodian最初是由Capital One的软件工程师Kapil Thangavelu开发并开源化。
2. Cartography
Cartography可创建基础设施图。该自动绘图工具直观地说明云基础架构资产如何连接。这样可以提高整个团队的安全可见性。使用此工具可以生成资产报告、突出显示潜在的攻击路径,并确定需要改进安全性的领域。
Cartography由Lyft的工程师用Python开发,并在Neo4j数据库上运行。它支持AWS、Google Cloud Platform和G Suite上的多种服务。
3. Diffy
Diffy是用于数字取证和事件响应(DFIR)的分类工具。当你的环境受到攻击或破坏时,DFIR团队需要负责检查全部资源,以获取攻击者留下的任何东西,这可能是繁琐的手动过程。而Diffy提供差异引擎,该引擎可突出显示实例、VM和其他资源行为中的异常值。Diffy会告诉DFIR团队哪些资源行为异常,以帮助确定从哪里对付攻击者。
Diffy尚处于开发早期阶段,主要用于AWS上的Linux实例,但其插件结构可以支持多个云计算。Diffy用Python编写,由Netflix的安全情报和响应团队创建。
4. Gitleaks
Gitleaks是静态应用程序安全测试工具,可扫描你的Git存储库中的机密信息、API密钥和令牌。随着IT安全通过DevSecOps左移,开发人员需要在开发规划中更早地测试代码。Gitleaks可以扫描专有和企业范围内的Git存储库,以查找已提交和未提交的机密信息,并包括JSON和CSV报告。
Gitleaks用Go编写,由GitLab的软件工程师Zachary Rice维护。
5. Git-secrets
Git-secrets是一种开发安全工具,可防止你在Git存储库中包含机密和其他敏感信息。它会扫描提交代码和提交说明,当与你预先配置的禁止表达式模式匹配,它会阻止提交。
Git-secrets旨在AWS中使用,它是由AWS Labs创建的,他们将继续维护该项目。
6. OSSEC
OSSEC是一个安全平台,它结合了基于主机的入侵检测、日志监视以及安全信息和事件管理。最初是为本地安全而开发,你也可以在基于云的VM使用它。
该平台的优势之一是其多功能性。它适用于AWS、Azure和GCP环境。它还支持多种操作系统,例如Linux、Windows、Mac OS X和Solaris。OSSEC提供集中式管理服务器来监视跨平台的策略以及代理和无代理监控。
OSSEC的关键功能包括:
- 文件完整性检查,当系统中的文件或目录更改时向你发出警报;
- 日志监控,收集和分析系统中的所有日志,并对任何可疑活动发出警报;
- Rootkit检测,当你的系统经历类似rootkit的修改时通知你;
- 主动响应,使OSSEC在检测到特定入侵时立即采取行动
OSSEC由OSSEC基金会维护。
7. PacBot
PacBot,也称为Policy as Code Bot,它是合规性监视平台。你可将合规性策略部署为代码,PacBot会根据这些策略检查你的资源和资产。你可以使用PacBot自动创建合规性报告,并使用预定义的修复程序解决合规性违规问题。
你可使用Asset Group功能在PacBot UI仪表板内整理资源—基于某些标准。例如,你可以按状态(例如,挂起、运行或关闭)对所有Amazon EC2实例分组,然后整体查看。你还可以将监视操作的范围限制为资产组,以实现更有针对性的合规性。
PacBot由T-Mobile创建,他们将继续维护,可与AWS和Azure一起使用。
8. Pacu
Pacu是用于AWS环境的渗透测试工具集。它为红色团队提供了一系列攻击模块,旨在破坏EC2实例、测试S3存储桶配置、破坏监视功能等。该工具包当前具有36个插件模块,并包括用于文档编制和测试时间表的内置攻击审核。
Pacu用Python编写,由渗透测试提供商Rhino Security Labs维护。
9. Prowler
Prowler是一个AWS命令行工具,可根据AWS Center for Internet Security基准以及GDPR和HIPAA评估你的基础架构。你可以检查整个基础架构,也可以指定要查看的AWS配置文件或区域。Prowler可以同时运行多个审查,并以CSV、JSON和HTML等标准格式生成报告。它还可与AWS Security Hub集成。
Prowler由AWS安全顾问Toni de la Fuente创建,并由他维护该项目。
10. Security Monkey
Security Monkey是一个监视工具,可监视AWS、GCP和OpenStack环境中的策略更改和易受攻击的配置。例如,在AWS中,Security Monkey在添加或删除S3存储桶或安全组时会向你发出警报,并跟踪你的AWS Identity and Access Management密钥以及很多其他监视任务。
Security Monkey是由Netflix开发,尽管他们对该工具的支持现在仅限于较小的错误修复。商业替代品包括AWS Config和Google Cloud Asset Inventory。