包括亞馬遜AWS、微軟和Google等主流云供應(yīng)商都提供了本機安全工具套件，這些工具雖然有用，但并不是所有人都能掌握的。而且，隨著云開發(fā)的發(fā)展，IT團隊會發(fā)現(xiàn)這些云計算平臺安全開發(fā)和管理工作負(fù)載的能力與需求存在差距。最終，用戶需要自己來填補這些能力空白，這就是開源云安全工具經(jīng)常派上用場的地方。

[[345353]]

流行的開源云安全工具通常是由擁有深厚云計算經(jīng)驗的大型IT團隊的公司開發(fā)的，例如Netflix、Capital One和Lyft等。這些公司的團隊自行開發(fā)一些技術(shù)來解決現(xiàn)有云計算工具和服務(wù)未涵蓋的特定需求，由于這些工具也能使其他企業(yè)受益，最終決定將其開源。

這些工具面向不同的領(lǐng)域，有些跨不同的云環(huán)境工作，有些則專門設(shè)計用于與AWS結(jié)合使用，AWS仍然是目前市場上使用最廣泛的公共云(編者按：尤其是對于跨國業(yè)務(wù)而言，AWS往往是首選)。這些安全工具可以幫助了解可見性，主動測試和事件響應(yīng)。

以下整理的十大開源安全工具并不是一個完整的列表，如果您想了解GitHub上最流行的開源云安全工具，本文開列的清單是一個不錯的起點：

Cloud Custodian

Cloud Custodian是一個無狀態(tài)規(guī)則引擎，用于管理AWS、Microsoft Azure和Google Cloud Platform(GCP)環(huán)境。它通過統(tǒng)一的報告和指標(biāo)將組織使用的許多合規(guī)性腳本整合到一個工具中。使用Cloud Custodian，您可以設(shè)置規(guī)則，以根據(jù)安全性和合規(guī)性標(biāo)準(zhǔn)以及成本優(yōu)化準(zhǔn)則檢查環(huán)境。

用YAML編寫的Cloud Custodian策略表示要檢查的資源的類型和集合，以及對這些資源采取什么操作。例如，您可以設(shè)置一個策略，在所有Amazon S3存儲桶上啟用存儲桶加密。您可以將Cloud Custodian與本機云服務(wù)和無服務(wù)器運行時鏈接起來，以自動解析策略。

Cloud Custodian最初是由Capital One的軟件工程師Kapil Thangavelu開發(fā)并開源的。

Cartography

[[345354]]

Cartography創(chuàng)建基礎(chǔ)結(jié)構(gòu)圖。該自動繪圖工具直觀地說明了您的云基礎(chǔ)架構(gòu)資產(chǎn)如何連接。這樣可以提高整個團隊的安全可見性。使用此工具可以生成資產(chǎn)報告，突出顯示潛在的攻擊路徑并確定需要改進安全性的區(qū)域。

Cartography由Lyft的工程師用Python開發(fā)，并在Neo4j數(shù)據(jù)庫上運行。它在AWS、Google Cloud Platform和G Suite上支持多種服務(wù)。

Diffy

Diffy是用于數(shù)字取證和事件響應(yīng)(DFIR)的分類工具。當(dāng)您的環(huán)境受到攻擊或破壞時，DFIR團隊的工作就是清除您的資源，以獲取攻擊者留下的任何東西。這可能是一個繁瑣的手動過程。Diffy提供了差異引擎，突出顯示了實例，VM和其他資源行為中的異常值。Diffy會告訴DFIR小組哪些資源行為異常，以幫助確定根除攻擊者的位置。

Diffy尚處于開發(fā)初期，主要在AWS上提供Linux實例，但其插件結(jié)構(gòu)可以支持多個云。Diffy用Python編寫，由Netflix的安全情報和響應(yīng)團隊創(chuàng)建。

Gitleaks

Gitleaks是一個靜態(tài)應(yīng)用程序安全測試工具，可以掃描您的Git存儲庫中的機密、API密鑰和令牌。隨著DevSecOps的IT安全性向左轉(zhuǎn)移，開發(fā)人員需要在開發(fā)管道中更早地測試代碼。Gitleaks可以掃描私有和組織范圍內(nèi)的Git存儲庫，以查找已提交和未提交的秘密，并且包括JSON和CSV報告。

Gitleaks用Go編寫，由GitLab的軟件工程師Zachary Rice維護。

Git-secrets

Git-secrets是一種開發(fā)安全工具，可以防止您在Git存儲庫中包含機密和其他敏感信息。它掃描提交和提交消息，并拒絕與您預(yù)先配置的，禁止的表達(dá)式模式之一匹配的任何消息。

Git-secrets是為在AWS中使用而構(gòu)建的。它是由AWS Labs創(chuàng)建的，后者將繼續(xù)維護該項目。

OSSEC

OSSEC是一個安全平臺，結(jié)合了基于主機的入侵檢測，日志監(jiān)視以及安全信息和事件管理。最初是為本地安全性開發(fā)的，也可以在基于云的VM上使用它。

平臺的優(yōu)勢之一是其多功能性。它適用于AWS，Azure和GCP環(huán)境。它還支持多種操作系統(tǒng)，例如Linux、Windows、Mac OS X和Solaris。OSSEC提供了一個集中式管理服務(wù)器來監(jiān)視跨平臺的策略以及代理和無代理監(jiān)視。

OSSEC的一些關(guān)鍵功能包括：

• 文件完整性檢查，在系統(tǒng)中的文件或目錄更改時向您發(fā)出警報;
• 日志監(jiān)視，該日志收集和分析系統(tǒng)中的所有日志并向任何可疑活動發(fā)出警報;
• Rootkit檢測，當(dāng)系統(tǒng)經(jīng)歷類似Rootkit的修改時通知您;
• 主動響應(yīng)，使OSSEC在檢測到特定入侵時立即采取行動;
• OSSEC由OSSEC基金會維護。

PacBot

PacBot，也稱為Policy Bot，是一個合規(guī)性監(jiān)視平臺。您將遵從性策略作為代碼實施，PacBot會根據(jù)這些策略檢查您的資源和資產(chǎn)。您可以使用PacBot自動創(chuàng)建遵從性報告并使用預(yù)定義的修復(fù)程序解決遵從性違規(guī)問題。

根據(jù)某些條件，使用資產(chǎn)組功能在PacBot UI儀表板內(nèi)組織資源。例如，您可以按狀態(tài)將所有Amazon EC2實例(例如，掛起、運行或關(guān)閉)分組，然后一起查看。您也可以將監(jiān)視操作的范圍限制為一個資產(chǎn)組，以實現(xiàn)更有針對性的合規(guī)性。

PacBot由T-Mobile創(chuàng)建并繼續(xù)維護，可與AWS和Azure一起使用。

Pacu

Pacu是用于AWS環(huán)境的滲透測試工具箱。它為紅色團隊提供了一系列攻擊模塊，旨在破壞EC2實例，測試S3存儲桶配置，破壞監(jiān)視功能等。該工具包當(dāng)前具有36個插件模塊，并包括用于文檔編制和測試時間表的內(nèi)置攻擊審核。

Pacu用Python編寫，由滲透測試提供商Rhino Security Labs維護。

Prowler

Prowler是一個AWS命令行工具，可根據(jù)AWS Center for Internet Security基準(zhǔn)以及GDPR和HIPAA檢查評估您的基礎(chǔ)架構(gòu)。您可以檢查整個基礎(chǔ)架構(gòu)，也可以指定要查看的AWS配置文件或區(qū)域。Prowler可以同時運行多個評論，并以CSV、JSON和HTML等標(biāo)準(zhǔn)格式生成報告。它還與AWS Security Hub集成。

Prowler由仍然維護該項目的AWS安全顧問Toni de la Fuente創(chuàng)建。

Security Monkey

Security Monkey是一個監(jiān)視工具，可監(jiān)視AWS、GCP和OpenStack環(huán)境中的策略更改和易受攻擊的配置。例如，在AWS中，Security Monkey在添加或刪除S3存儲桶或安全組時向您發(fā)出警報，并跟蹤您的AWS Identity and Access Management密鑰以及許多其他監(jiān)視任務(wù)。

Security Monkey由Netflix開發(fā)，盡管它對該工具的支持現(xiàn)在僅限于較小的錯誤修復(fù)。供應(yīng)商替代品是AWS Config和Google Cloud Asset Inventory。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文