开源工具是网络安全团队武器库中必不可少的利器,在云计算普及的今天,虽然云安全厂商们大多提供了本机安全工具套件,但是随着云应用和云负载的不断增加,IT团队经常会发现云计算平台的安全开发、合规性和管理工作负载的能力与实际需求存在差距,而很多开源云安全工具则能弥补这个空白。以下,我们推荐七个2021年值得关注的云安全开源工具。
一、Janssen
Janssen是云安全身份验证和授权方面的开源工具。该项目的组件包括OAuth、OpenID Connect和FIDO标准的各种实现。
Janssen是Linux Foundation项目,根据基金会的章程进行管理。该项目的目标包括合并社区和建立生态系统,而不是简单地将产品或技术集合推向市场。
Janssen不只是授权和身份验证服务器,还提供了可扩展的集中式身份验证和授权服务的组件。尽管该项目承认存在许多商业(甚至其他开源)身份验证系统,但Janssen旨在提供高度可伸缩性、高度可用性和高度灵活性,并特别关注有大量并发用户负载或需要对大型物联网(IoT)设备进行身份验证和授权的应用场景。
项目地址: https://github.com/JanssenProject/home
二、OSSEC
OSSEC是一个开源的基于主机的入侵检测系统(HIDS)。它被广泛使用,高度可扩展且具有多平台,使其非常适合在基于云的基础架构上进行部署。
根据OSSEC项目团队的报告,OSSEC拥有庞大的用户群,每年下载量超过500,000。OSSEC的优势之一是它既可以用作IDS也可以用作分析引擎,从而可以分析防火墙、IDS、Web服务器和身份验证日志。
作为根据GNU GPL V2许可分发的开源项目,用户可以轻松地修改OSSEC以适合组织的特定需求。在标准配置中,OSSEC提供入侵、rootlet和恶意软件检测。积极应对攻击和未经授权的系统更改和合规性审核。
项目地址: https://www.ossec.net/
三、Security Monkey
安全猴子(Security Monkey)是Netflix“混沌工程”学科中涌现的工具之一,开发团队还发布了安全猴子(Monkey)的继承者Chaos Gorilla。它们一起被称为“ Simian Army”,用于测试Netflix基础结构的弱点和冗余。
Security Monkey的核心是随机重启云基础架构中的服务器。这为公司提供了有关应用程序交付网络是否可以承受任何特定服务器丢失的信息。
为了提供随机重启功能,Security Monkey还可以监视云基础架构的配置更改,服务器添加服务器性能参数。即使公司不使用随机重启功能,Simian Army也可以提供有价值的系统和配置监视功能。
重要的是要注意,Security Monkey目前处于“撂荒”状态,将仅接收维护更新。该项目建议那些希望使用其他功能的用户过渡到其他产品,敦促AWS用户切换到AWS Config,而GCP用户被定向到Cloud Asset Inventory。
项目地址: https://github.com/Netflix/security_monkey
四、Cartography
Cartography是一种安全图工具,可应用于多种网络利用场景。对于云安全专业人员而言,Cartography最有价值的功能就是阐明应用程序交付网络中各个节点之间的关系。
Cartography用Python编写,并使用neo4j数据库在网络节点上存储数据并控制其显示方式。Cartography支持的平台包括Amazon Web Services(EC2、Elasticsearch、Elastic Kubernetes服务、DynamoDB、IAM、Lambda、RDS、Redshift、Route53、S3、STS和标签),以及Google Cloud Platform(云资源管理器、Compute、DNS),存储Google Kubernetes引擎。
当Security Monkey、Chaos Gorilla和Simian Army从Netflix的实验室中脱颖而出时,Lyft将Cartography作为一种开源工具进行了开发。它既可以用于安全功能,又可以用作风险评估工具,显示(或确认)应用程序节点之间的关系,这些关系可以用来识别网络组件和整个网络的风险级别。
项目地址: https://github.com/lyft/cartography
五、Grapl
Grapl是一个安全数据分析程序,与大多数其他开源安全产品相比,最大的区别是:Grapl不使用关系数据库存储数据,而是使用图形,一种基于节点和边(Edge)的数据结构,其中节点是单个数据实体,而边是节点之间的关系。
Grapl能从日志文件中获取数据(通常以列表格式存储的数据)并将其转换为图形。图形形式可以更容易地展示各个节点之间的关系,并在此基础上识别并为攻击者行为建模。安全团队可以使用这些模型来制订防御计划并分析复杂的攻击者行为,为将来的攻击做准备。
Grapl是一个很新的工具,正在快速变化,目前还没有形成稳定的1.0发行版本,但目前的功能就已经可用,能帮助安全团队学习如何在安全实践中运用图形。
项目地址: https://github.com/grapl-security/grapl
六、Panther
Panther是基于Python的自托管的开源安全信息和事件管理(SIEM)工具。该系统由Panther Labs在2020年推出,可以分析来自许多不同安全工具(例如OSSEC和osquery)的日志以及云资源,包括AWS上提供的许多服务。在分析云资源时,可以为Panther配置策略,这些策略旨在帮助安全分析师发现易受攻击的基础结构并开发新的安全最佳实践。
Panther旨在提供与企业管理和分析产品(例如Splunk和LogRhythm的产品)竞争的功能。根据其文档,Panther将识别错误配置,实现合规性并在代码中模拟安全最佳实践。
Panther有三种版本:社区(免费)、团队和专业版。Team和Pro是付费许可证,提供更多数据源、功能、更全面的支持,以及更高的价格。
项目地址: https://github.com/panther-labs/panther
七、PacBot
PacBot(也称为Policy Bot)是一个合规性监视平台,可将合规策略作为代码实施,PacBot会根据这些策略检查您的资源和资产。您可以使用PacBot自动创建合规报告并使用预定义的修复程序解决遵从性违规问题。
根据某些条件,使用资产组功能在PacBot UI仪表板内组织资源。例如,您可以按状态将所有Amazon EC2实例(例如挂起、运行或关闭)分组,然后一起查看。您也可以将监视操作的范围限制为一个资产组,以实现更有针对性的合规性。
PacBot由T-Mobile创建并继续维护,可与AWS和Azure一起使用。
项目地址:https://github.com/tmobile/pacbot