AWS、Microsoft和Google等云提供商提供的原生安全工具套件虽然有用,但并不适合所有人的需求。随着云计算技术的发展,IT团队常常发现很难在云计算平台上安全地开发和管理工作负载。最终,用户需要承担这部分责任,这就是开源云安全工具派上用场的地方。主流的开源云安全工具通常由拥有大型IT团队的公司开发,例如Netflix、CapitalOne和Lyft,其IT团队具有丰富的云计算经验。这些团队开发开源云安全工具来满足特定需求——现有工具和服务无法满足的需求——然后他们开源软件以使其他企业受益。以下开源云安全工具并非完整列表,但它们是很好的起点,尤其是如果您想了解GitHub最受欢迎的开源云安全工具。其中许多工具跨越各种云环境,而其他工具则专门设计用于AWS,它仍然是使用最广泛的公共云。让我们来看看这些用于可见性、主动测试和事件响应的安全工具。1.CloudCustodianCloudCustodian是一个无状态规则引擎,用于管理AWS、MicrosoftAzure和GoogleCloudPlatform(GCP)环境。它将组织使用的许多合规性脚本整合到一个具有统一报告和指标的工具中。借助CloudCustodian,您可以设置规则来根据安全和合规性标准以及成本优化指南检查您的环境。CloudCustodian策略以YAML编写,指示要检查的资源类型和集合以及对这些资源采取的操作。例如,您可以设置策略以在所有AmazonS3存储桶上启用存储桶加密。您还可以将CloudCustodian连接到本地云服务和无服务器运行时以自动解析策略。CloudCustodian最初由CapitalOne的软件工程师KapilThangavelu开发并开源。2.CartographyCartography可以创建基础设施地图。这个自动绘图工具直观地说明了云基础设施资产是如何连接的。这提高了整个团队的安全可见性。使用此工具生成资产报告、突出显示潜在的攻击路径并确定需要改进安全性的区域。Cartography由Lyft工程师用Python开发,并在Neo4j数据库上运行。它支持AWS、谷歌云平台和GSuite上的多种服务。3.DiffyDiffy是用于数字取证和事件响应(DFIR)的分类工具。当您的环境受到攻击或破坏时,DFIR团队负责检查所有资源中是否有攻击者留下的任何东西,这可能是一个繁琐的手动过程。另一方面,Diffy提供了一个差异引擎,可以突出显示实例、虚拟机和其他资源行为中的异常值。Diffy告诉DFIR团队哪些资源行为异常,以帮助确定攻击者的攻击目标。Diffy仍处于早期开发阶段,主要用于AWS上的Linux实例,但其插件结构可以支持多云。Diffy用Python编写,由Netflix的安全情报和响应团队创建。4.GitleaksGitleaks是一种静态应用程序安全测试工具,可以扫描Git存储库中的秘密、API密钥和令牌。随着IT安全通过DevSecOps向左移动,开发人员需要在开发计划的早期测试代码。Gitleaks可以扫描专有和企业范围的Git存储库以获取已提交和未提交的机密信息,并包括JSON和CSV报告。Gitleaks是用Go编写的,由GitLab的软件工程师ZacharyRice维护。5.Git-secretsGit-secrets是一种开发安全工具,可防止您在Git存储库中包含秘密和其他敏感信息。它扫描提交代码和提交指令,当它与您预先配置的禁止表达式模式匹配时,它会阻止提交。Git-secrets旨在用于AWS,它由AWS实验室创建,他们继续维护该项目。6.OSSECOSSEC是一个集基于主机的入侵检测、日志监控、安全信息和事件管理于一体的安全平台。最初是为本地安全而开发的,您也可以在基于云的VM上使用它。该平台的优势之一是它的多功能性。它适用于AWS、Azure和GCP环境。它还支持各种操作系统,如Linux、Windows、MacOSX和Solaris。OSSEC提供了一个集中管理服务器来监控跨平台的策略以及代理和无代理监控。OSSEC的主要功能包括:文件完整性检查,当系统中的文件或目录发生变化时会提醒您;日志监控,收集和分析系统中的所有日志,并提醒您注意任何可疑活动;Rootkit检测,当您的系统发生类似Rootkit的修改时通知您;主动响应,允许OSSEC在检测到特定入侵时立即采取行动OSSEC由OSSEC基金会维护。7.PacBotPacBot,又称PolicyasCodeBot,是一个合规监控平台。您可以将合规策略部署为代码,PacBot会根据这些策略检查您的资源和资产。您可以使用PacBot自动创建合规报告并使用预定义修复解决合规违规问题。您可以使用资产组功能根据特定条件在PacBotUI仪表板中组织资产。例如,您可以按状态(例如,暂停、运行或关闭)对所有AmazonEC2实例进行分组,并全面查看它们。您还可以将监控操作的范围限制为资产组,以实现更有针对性的合规性。PacBot由T-Mobile创建,他们继续维护它,并与AWS和Azure一起工作。8.PacuPacu是用于AWS环境的渗透测试工具集。它为红队提供了一系列攻击模块,旨在破坏EC2实例、测试S3存储桶配置、破坏监控功能等。该工具包目前具有36个附加模块,包括用于文档和测试计划的内置攻击审计。Pacu用Python编写,由渗透测试提供商RhinoSecurityLabs维护。9.ProwlerProwler是一种AWS命令??行工具,可根据AWS互联网安全中心基准以及GDPR和HIPAA评估您的基础设施。您可以检查整个基础设施,也可以指定要查看的AWS配置文件或区域。Prowler可以同时运行多个评论并生成CSV、JSON和HTML等标准格式的报告。它还与AWSSecurityHub集成。Prowler由维护该项目的AWS安全顾问TonidelaFuente创建。10.SecurityMonkeySecurityMonkey是一个监控AWS、GCP和OpenStack环境的策略变化和易受攻击配置的监控工具。例如,在AWS中,SecurityMonkey会在添加或删除S3存储桶或安全组时提醒您,并跟踪您的AWSIdentityandAccessManagement密钥,以及许多其他监控任务。SecurityMonkey由Netflix开发,尽管他们对该工具的支持现在仅限于小错误修复。商业替代品包括AWSConfig和GoogleCloudAssetInventory。
