【51CTO.com快譯】AWS、微軟和谷歌等云供應(yīng)商提供一整套原生安全工具。這些工具固然有用，但并不適合所有人。

隨著云計(jì)算深入發(fā)展，IT團(tuán)隊(duì)常常發(fā)現(xiàn)安全地開(kāi)發(fā)和管理這些平臺(tái)上的工作負(fù)載的能力存在不足。最終，填補(bǔ)這些不足是用戶的責(zé)任。這時(shí)候，開(kāi)源云安全工具常常派得上用場(chǎng)。

[[328471]]

流行的開(kāi)源云安全工具常常是擁有豐富云經(jīng)驗(yàn)的大型IT團(tuán)隊(duì)的公司開(kāi)發(fā)的，比如Netflix、Capital One和Lyft。這些團(tuán)隊(duì)啟動(dòng)這些項(xiàng)目是為了滿足現(xiàn)有工具和服務(wù)滿足不了的特定需求，并抱著也會(huì)造福其他組織的想法最終開(kāi)源軟件。

本文介紹了GitHub上幾款最受歡迎的開(kāi)源云安全工具。其中許多工具可以跨不同的云環(huán)境使用，另一些工具專為與AWS結(jié)合使用而設(shè)計(jì)，畢竟AWS仍是使用最廣泛的公共云。打量這些安全工具的可見(jiàn)性、主動(dòng)測(cè)試和事件響應(yīng)功能。

1. Cloud Custodian

Cloud Custodian是一種無(wú)狀態(tài)規(guī)則引擎，用于管理AWS、微軟Azure和谷歌云平臺(tái)(GCP)等環(huán)境。它把企業(yè)組織使用的許多合規(guī)腳本整合到一個(gè)工具中，采用統(tǒng)一的報(bào)告和指標(biāo)。借助Cloud Custodian，您可以設(shè)置規(guī)則，根據(jù)安全和合規(guī)標(biāo)準(zhǔn)以及成本優(yōu)化準(zhǔn)則來(lái)檢查環(huán)境。

用YAML編寫的Cloud Custodian策略表示要檢查的資源的類型和集合，以及對(duì)這些資源采取何種操作。比如可以設(shè)置策略，對(duì)所有Amazon S3存儲(chǔ)桶啟用存儲(chǔ)桶加密。您可以將Cloud Custodian與原生云服務(wù)和無(wú)服務(wù)器運(yùn)行時(shí)環(huán)境連接起來(lái)，以自動(dòng)解析策略。

Cloud Custodian最初由Capital One的軟件工程師Kapil Thangavelu開(kāi)發(fā)并開(kāi)源。

2. Cartography

Cartography創(chuàng)建基礎(chǔ)架構(gòu)圖。這個(gè)自動(dòng)繪圖工具直觀地表明了你的云基礎(chǔ)架構(gòu)資產(chǎn)如何連接，這可以為整個(gè)團(tuán)隊(duì)提高安全可見(jiàn)性?？梢允褂迷摴ぞ呱少Y產(chǎn)報(bào)告，重點(diǎn)列出潛在的攻擊路徑，并確定需要改進(jìn)安全的方面。

Cartography由Lyft的工程師們用Python開(kāi)發(fā)，在Neo4j數(shù)據(jù)庫(kù)上運(yùn)行。它支持AWS、谷歌云平臺(tái)和G Suite上的多種服務(wù)。

3. Diffy

Diffy是一款用于數(shù)字取證和事件響應(yīng)(DFIR)的排查工具。您的環(huán)境受到攻擊或被黑時(shí)，DFIR團(tuán)隊(duì)的任務(wù)就是徹查資源，查找攻擊者留下的任何痕跡。這可能是個(gè)繁瑣的手動(dòng)過(guò)程。Diffy提供的差異引擎可找出實(shí)例、虛擬機(jī)及其他資源行為中的異常情況。 Diffy會(huì)告訴DFIR團(tuán)隊(duì)哪些資源行為異常，從而幫助確定從哪里揪出攻擊者。

Diffy處于開(kāi)發(fā)初期，主要用于AWS上的Linux實(shí)例，但其插件結(jié)構(gòu)可以支持多個(gè)云。 Diffy用Python編寫，由Netflix的安全情報(bào)和響應(yīng)團(tuán)隊(duì)開(kāi)發(fā)。

4. Gitleaks

Gitleaks是一款靜態(tài)應(yīng)用程序安全測(cè)試工具，可以掃描Git存儲(chǔ)庫(kù)以查找機(jī)密信息、API密鑰和令牌。由于IT安全團(tuán)隊(duì)注重初期階段的安全，開(kāi)發(fā)人員需要在開(kāi)發(fā)環(huán)節(jié)中更早地測(cè)試代碼。Gitleaks可以掃描整個(gè)企業(yè)的私有Git存儲(chǔ)庫(kù)，查找已提交和未提交的機(jī)密信息，包括JSON和CSV報(bào)告。

Gitleaks用Go編寫，由GitLab的軟件工程師Zachary Rice維護(hù)。

5. Git-secrets

Git-secrets是一種開(kāi)發(fā)安全工具，可防止您在Git存儲(chǔ)庫(kù)中含有機(jī)密信息及其他敏感信息。它掃描提交代碼和提交消息，拒絕與您預(yù)先配置的、禁止的表達(dá)式模式匹配的任何內(nèi)容。

Git-secrets是為用于AWS而開(kāi)發(fā)的。它由繼續(xù)維護(hù)該項(xiàng)目的AWS Labs開(kāi)發(fā)。

6. OSSEC

OSSEC這個(gè)安全平臺(tái)結(jié)合了基于主機(jī)的入侵檢測(cè)、日志監(jiān)測(cè)以及安全信息和事件管理。它最初是為確保本地安全開(kāi)發(fā)的，你也可以在基于云的虛擬機(jī)上使用它。

該平臺(tái)的優(yōu)點(diǎn)之一是用途廣泛。它可用于AWS、Azure和GCP等環(huán)境。它還支持多種操作系統(tǒng)，比如Linux、Windows、Mac OS X和Solaris。除了代理和無(wú)代理監(jiān)測(cè)外，OSSEC還提供了集中式管理服務(wù)器以便跨平臺(tái)監(jiān)測(cè)策略。

OSSEC的一些關(guān)鍵功能包括：文件完整性檢查、日志監(jiān)測(cè)、rootkit檢測(cè)和主動(dòng)響應(yīng)。

OSSEC由OSSEC基金會(huì)維護(hù)。

7. PacBot

PacBot又叫Policy Bot，是一款合規(guī)監(jiān)測(cè)平臺(tái)。您將合規(guī)策略作為代碼來(lái)實(shí)施，PacBot可根據(jù)這些策略檢查您的資源和資產(chǎn)?？梢允褂肞acBot自動(dòng)創(chuàng)建合規(guī)報(bào)告，并使用預(yù)定義的修正版解決違規(guī)問(wèn)題。

基于某些標(biāo)準(zhǔn)，使用Asset Group功能在PacBot UI儀表板內(nèi)組織資源。比如說(shuō)，可以按狀態(tài)(比如掛起、運(yùn)行或關(guān)閉)對(duì)所有Amazon EC2實(shí)例進(jìn)行分組，然后一起查看。您還可以將監(jiān)測(cè)操作的范圍限制為一個(gè)資產(chǎn)組，以確保更有針對(duì)性的合規(guī)。

PacBot由繼續(xù)負(fù)責(zé)維護(hù)的T-Mobile開(kāi)發(fā)，可與AWS和Azure一起使用。

8. Pacu

Pacu是面向AWS環(huán)境的滲透測(cè)試工具包。它為紅隊(duì)提供了一系列攻擊模塊，旨在攻擊EC2實(shí)例、測(cè)試S3存儲(chǔ)桶配置和破壞監(jiān)視功能等。該工具包目前有36個(gè)插件模塊，包括用于文檔編制和測(cè)試時(shí)間表的內(nèi)置攻擊審查功能。

Pacu用Python編寫，由滲透測(cè)試提供商Rhino Security Labs維護(hù)。

9. Prowler

Prowler是AWS命令行工具，可根據(jù)AWS互聯(lián)網(wǎng)安全中心基準(zhǔn)以及GDPR和HIPAA標(biāo)準(zhǔn)評(píng)估基礎(chǔ)架構(gòu)。您可以檢查整套基礎(chǔ)架構(gòu)，也可以指定要檢查的AWS配置文件或區(qū)域。Prowler可以同時(shí)運(yùn)行多項(xiàng)檢查，提交采用CSV、JSON和HTML等標(biāo)準(zhǔn)格式的報(bào)告。它還與AWS Security Hub集成。

Prowler由仍維護(hù)該項(xiàng)目的AWS安全顧問(wèn)Toni de la Fuente開(kāi)發(fā)。

10. Security Monkey

Security Monkey這個(gè)監(jiān)測(cè)工具可監(jiān)測(cè)AWS、GCP和OpenStack環(huán)境中的策略更改和易受攻擊的配置。比如在AWS中，Security Monkey在添加或刪除S3存儲(chǔ)桶或安全組時(shí)向您發(fā)出警報(bào)，密切跟蹤AWS身份和訪問(wèn)管理密鑰，并執(zhí)行其他許多監(jiān)測(cè)任務(wù)。

Security Monkey由Netflix開(kāi)發(fā)，不過(guò)它對(duì)該工具的支持現(xiàn)在僅限于次要的錯(cuò)誤修正版。其他替代產(chǎn)品是AWS Config和Google Cloud Asset Inventory。

原文標(biāo)題：10 open source cloud security tools to know，作者：Ryan Dowd

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】