【51CTO.com快譯】AWS、微軟和谷歌等云供應(yīng)商提供一整套原生安全工具。這些工具固然有用，但并不適合所有人。

隨著云計算深入發(fā)展，IT團隊常常發(fā)現(xiàn)安全地開發(fā)和管理這些平臺上的工作負載的能力存在不足。最終，填補這些不足是用戶的責任。這時候，開源云安全工具常常派得上用場。

[[328471]]

流行的開源云安全工具常常是擁有豐富云經(jīng)驗的大型IT團隊的公司開發(fā)的，比如Netflix、Capital One和Lyft。這些團隊啟動這些項目是為了滿足現(xiàn)有工具和服務(wù)滿足不了的特定需求，并抱著也會造福其他組織的想法最終開源軟件。

本文介紹了GitHub上幾款最受歡迎的開源云安全工具。其中許多工具可以跨不同的云環(huán)境使用，另一些工具專為與AWS結(jié)合使用而設(shè)計，畢竟AWS仍是使用最廣泛的公共云。打量這些安全工具的可見性、主動測試和事件響應(yīng)功能。

1. Cloud Custodian

Cloud Custodian是一種無狀態(tài)規(guī)則引擎，用于管理AWS、微軟Azure和谷歌云平臺(GCP)等環(huán)境。它把企業(yè)組織使用的許多合規(guī)腳本整合到一個工具中，采用統(tǒng)一的報告和指標。借助Cloud Custodian，您可以設(shè)置規(guī)則，根據(jù)安全和合規(guī)標準以及成本優(yōu)化準則來檢查環(huán)境。

用YAML編寫的Cloud Custodian策略表示要檢查的資源的類型和集合，以及對這些資源采取何種操作。比如可以設(shè)置策略，對所有Amazon S3存儲桶啟用存儲桶加密。您可以將Cloud Custodian與原生云服務(wù)和無服務(wù)器運行時環(huán)境連接起來，以自動解析策略。

Cloud Custodian最初由Capital One的軟件工程師Kapil Thangavelu開發(fā)并開源。

2. Cartography

Cartography創(chuàng)建基礎(chǔ)架構(gòu)圖。這個自動繪圖工具直觀地表明了你的云基礎(chǔ)架構(gòu)資產(chǎn)如何連接，這可以為整個團隊提高安全可見性?？梢允褂迷摴ぞ呱少Y產(chǎn)報告，重點列出潛在的攻擊路徑，并確定需要改進安全的方面。

Cartography由Lyft的工程師們用Python開發(fā)，在Neo4j數(shù)據(jù)庫上運行。它支持AWS、谷歌云平臺和G Suite上的多種服務(wù)。

3. Diffy

Diffy是一款用于數(shù)字取證和事件響應(yīng)(DFIR)的排查工具。您的環(huán)境受到攻擊或被黑時，DFIR團隊的任務(wù)就是徹查資源，查找攻擊者留下的任何痕跡。這可能是個繁瑣的手動過程。Diffy提供的差異引擎可找出實例、虛擬機及其他資源行為中的異常情況。 Diffy會告訴DFIR團隊哪些資源行為異常，從而幫助確定從哪里揪出攻擊者。

Diffy處于開發(fā)初期，主要用于AWS上的Linux實例，但其插件結(jié)構(gòu)可以支持多個云。 Diffy用Python編寫，由Netflix的安全情報和響應(yīng)團隊開發(fā)。

4. Gitleaks

Gitleaks是一款靜態(tài)應(yīng)用程序安全測試工具，可以掃描Git存儲庫以查找機密信息、API密鑰和令牌。由于IT安全團隊注重初期階段的安全，開發(fā)人員需要在開發(fā)環(huán)節(jié)中更早地測試代碼。Gitleaks可以掃描整個企業(yè)的私有Git存儲庫，查找已提交和未提交的機密信息，包括JSON和CSV報告。

Gitleaks用Go編寫，由GitLab的軟件工程師Zachary Rice維護。

5. Git-secrets

Git-secrets是一種開發(fā)安全工具，可防止您在Git存儲庫中含有機密信息及其他敏感信息。它掃描提交代碼和提交消息，拒絕與您預(yù)先配置的、禁止的表達式模式匹配的任何內(nèi)容。

Git-secrets是為用于AWS而開發(fā)的。它由繼續(xù)維護該項目的AWS Labs開發(fā)。

6. OSSEC

OSSEC這個安全平臺結(jié)合了基于主機的入侵檢測、日志監(jiān)測以及安全信息和事件管理。它最初是為確保本地安全開發(fā)的，你也可以在基于云的虛擬機上使用它。

該平臺的優(yōu)點之一是用途廣泛。它可用于AWS、Azure和GCP等環(huán)境。它還支持多種操作系統(tǒng)，比如Linux、Windows、Mac OS X和Solaris。除了代理和無代理監(jiān)測外，OSSEC還提供了集中式管理服務(wù)器以便跨平臺監(jiān)測策略。

OSSEC的一些關(guān)鍵功能包括：文件完整性檢查、日志監(jiān)測、rootkit檢測和主動響應(yīng)。

OSSEC由OSSEC基金會維護。

7. PacBot

PacBot又叫Policy Bot，是一款合規(guī)監(jiān)測平臺。您將合規(guī)策略作為代碼來實施，PacBot可根據(jù)這些策略檢查您的資源和資產(chǎn)。可以使用PacBot自動創(chuàng)建合規(guī)報告，并使用預(yù)定義的修正版解決違規(guī)問題。

基于某些標準，使用Asset Group功能在PacBot UI儀表板內(nèi)組織資源。比如說，可以按狀態(tài)(比如掛起、運行或關(guān)閉)對所有Amazon EC2實例進行分組，然后一起查看。您還可以將監(jiān)測操作的范圍限制為一個資產(chǎn)組，以確保更有針對性的合規(guī)。

PacBot由繼續(xù)負責維護的T-Mobile開發(fā)，可與AWS和Azure一起使用。

8. Pacu

Pacu是面向AWS環(huán)境的滲透測試工具包。它為紅隊提供了一系列攻擊模塊，旨在攻擊EC2實例、測試S3存儲桶配置和破壞監(jiān)視功能等。該工具包目前有36個插件模塊，包括用于文檔編制和測試時間表的內(nèi)置攻擊審查功能。

Pacu用Python編寫，由滲透測試提供商Rhino Security Labs維護。

9. Prowler

Prowler是AWS命令行工具，可根據(jù)AWS互聯(lián)網(wǎng)安全中心基準以及GDPR和HIPAA標準評估基礎(chǔ)架構(gòu)。您可以檢查整套基礎(chǔ)架構(gòu)，也可以指定要檢查的AWS配置文件或區(qū)域。Prowler可以同時運行多項檢查，提交采用CSV、JSON和HTML等標準格式的報告。它還與AWS Security Hub集成。

Prowler由仍維護該項目的AWS安全顧問Toni de la Fuente開發(fā)。

10. Security Monkey

Security Monkey這個監(jiān)測工具可監(jiān)測AWS、GCP和OpenStack環(huán)境中的策略更改和易受攻擊的配置。比如在AWS中，Security Monkey在添加或刪除S3存儲桶或安全組時向您發(fā)出警報，密切跟蹤AWS身份和訪問管理密鑰，并執(zhí)行其他許多監(jiān)測任務(wù)。

Security Monkey由Netflix開發(fā)，不過它對該工具的支持現(xiàn)在僅限于次要的錯誤修正版。其他替代產(chǎn)品是AWS Config和Google Cloud Asset Inventory。

原文標題：10 open source cloud security tools to know，作者：Ryan Dowd

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】