不可不知的10款開源雲安全工具!

AWS、微軟和谷歌等雲供應商提供一整套原生安全工具。這些工具固然有用，但並不適合所有人。

隨著雲計算深入發展，IT團隊常常發現安全地開發和管理這些平臺上的工作負載的能力存在不足。最終，填補這些不足是用戶的責任。這時候，開源雲安全工具常常派得上用場。

流行的開源雲安全工具常常是擁有豐富雲經驗的大型IT團隊的公司開發的，比如Netflix、Capital One和Lyft。這些團隊啟動這些項目是為了滿足現有工具和服務滿足不了的特定需求，並抱著也會造福其他組織的想法最終開源軟體。

本文介紹了GitHub上幾款最受歡迎的開源雲安全工具。其中許多工具可以跨不同的雲環境使用，另一些工具專為與AWS結合使用而設計，畢竟AWS仍是使用最廣泛的公共雲。打量這些安全工具的可見性、主動測試和事件響應功能。

1. Cloud Custodian

Cloud Custodian是一種無狀態規則引擎，用於管理AWS、微軟Azure和谷歌雲平臺(GCP)等環境。它把企業組織使用的許多合規腳本整合到一個工具中，採用統一的報告和指標。藉助Cloud Custodian，您可以設置規則，根據安全和合規標準以及成本優化準則來檢查環境。

用YAML編寫的Cloud Custodian策略表示要檢查的資源的類型和集合，以及對這些資源採取何種操作。比如可以設置策略，對所有Amazon S3存儲桶啟用存儲桶加密。您可以將Cloud Custodian與原生雲服務和無伺服器運行時環境連接起來，以自動解析策略。

Cloud Custodian最初由Capital One的軟體工程師Kapil Thangavelu開發並開源。

2. Cartography

Cartography創建基礎架構圖。這個自動繪圖工具直觀地表明了你的雲基礎架構資產如何連接，這可以為整個團隊提高安全可見性。可以使用該工具生成資產報告，重點列出潛在的攻擊路徑，並確定需要改進安全的方面。

Cartography由Lyft的工程師們用Python開發，在Neo4j資料庫上運行。它支持AWS、谷歌雲平臺和G Suite上的多種服務。

3. Diffy

Diffy是一款用於數字取證和事件響應(DFIR)的排查工具。您的環境受到攻擊或被黑時，DFIR團隊的任務就是徹查資源，查找攻擊者留下的任何痕跡。這可能是個繁瑣的手動過程。Diffy提供的差異引擎可找出實例、虛擬機及其他資源行為中的異常情況。 Diffy會告訴DFIR團隊哪些資源行為異常，從而幫助確定從哪裡揪出攻擊者。

Diffy處於開發初期，主要用於AWS上的Linux實例，但其插件結構可以支持多個雲。 Diffy用Python編寫，由Netflix的安全情報和響應團隊開發。

4. Gitleaks

Gitleaks是一款靜態應用程式安全測試工具，可以掃描Git存儲庫以查找機密信息、API密鑰和令牌。由於IT安全團隊注重初期階段的安全，開發人員需要在開發環節中更早地測試代碼。Gitleaks可以掃描整個企業的私有Git存儲庫，查找已提交和未提交的機密信息，包括JSON和CSV報告。

Gitleaks用Go編寫，由GitLab的軟體工程師Zachary Rice維護。

5. Git-secrets

Git-secrets是一種開發安全工具，可防止您在Git存儲庫中含有機密信息及其他敏感信息。它掃描提交代碼和提交消息，拒絕與您預先配置的、禁止的表達式模式匹配的任何內容。

Git-secrets是為用於AWS而開發的。它由繼續維護該項目的AWS Labs開發。

6. OSSEC

OSSEC這個安全平臺結合了基於主機的入侵檢測、日誌監測以及安全信息和事件管理。它最初是為確保本地安全開發的，你也可以在基於雲的虛擬機上使用它。

該平臺的優點之一是用途廣泛。它可用於AWS、Azure和GCP等環境。它還支持多種作業系統，比如Linux、Windows、Mac OS X和Solaris。除了代理和無代理監測外，OSSEC還提供了集中式管理伺服器以便跨平臺監測策略。

OSSEC的一些關鍵功能包括：文件完整性檢查、日誌監測、rootkit檢測和主動響應。

OSSEC由OSSEC基金會維護。

7. PacBot

PacBot又叫Policy Bot，是一款合規監測平臺。您將合規策略作為代碼來實施，PacBot可根據這些策略檢查您的資源和資產。可以使用PacBot自動創建合規報告，並使用預定義的修正版解決違規問題。

基於某些標準，使用Asset Group功能在PacBot UI儀錶板內組織資源。比如說，可以按狀態(比如掛起、運行或關閉)對所有Amazon EC2實例進行分組，然後一起查看。您還可以將監測操作的範圍限制為一個資產組，以確保更有針對性的合規。

PacBot由繼續負責維護的T-Mobile開發，可與AWS和Azure一起使用。

8. Pacu

Pacu是面向AWS環境的滲透測試工具包。它為紅隊提供了一系列攻擊模塊，旨在攻擊EC2實例、測試S3存儲桶配置和破壞監視功能等。該工具包目前有36個插件模塊，包括用於文檔編制和測試時間表的內置攻擊審查功能。

Pacu用Python編寫，由滲透測試提供商Rhino Security Labs維護。

9. Prowler

Prowler是AWS命令行工具，可根據AWS網際網路安全中心基準以及GDPR和HIPAA標準評估基礎架構。您可以檢查整套基礎架構，也可以指定要檢查的AWS配置文件或區域。Prowler可以同時運行多項檢查，提交採用CSV、JSON和HTML等標準格式的報告。它還與AWS Security Hub集成。

Prowler由仍維護該項目的AWS安全顧問Toni de la Fuente開發。

10. Security Monkey

Security Monkey這個監測工具可監測AWS、GCP和OpenStack環境中的策略更改和易受攻擊的配置。比如在AWS中，Security Monkey在添加或刪除S3存儲桶或安全組時向您發出警報，密切跟蹤AWS身份和訪問管理密鑰，並執行其他許多監測任務。

Security Monkey由Netflix開發，不過它對該工具的支持現在僅限於次要的錯誤修正版。其他替代產品是AWS Config和Google Cloud Asset Inventory。