安全團隊不可錯過的七個云安全開源工具
開源工具是網(wǎng)絡(luò)安全團隊武器庫中必不可少的利器,在云計算普及的今天,雖然云安全廠商們大多提供了本機安全工具套件,但是隨著云應(yīng)用和云負(fù)載的不斷增加,IT團隊經(jīng)常會發(fā)現(xiàn)云計算平臺的安全開發(fā)、合規(guī)性和管理工作負(fù)載的能力與實際需求存在差距,而很多開源云安全工具則能彌補這個空白。 以下,我們推薦七個2021年值得關(guān)注的云安全開源工具:
一、Janssen
Janssen是云安全身份驗證和授權(quán)方面的開源工具。該項目的組件包括OAuth、OpenID Connect和FIDO標(biāo)準(zhǔn)的各種實現(xiàn)。
Janssen是Linux Foundation項目,根據(jù)基金會的章程進行管理。該項目的目標(biāo)包括合并社區(qū)和建立生態(tài)系統(tǒng),而不是簡單地將產(chǎn)品或技術(shù)集合推向市場。
Janssen不只是授權(quán)和身份驗證服務(wù)器,還提供了可擴展的集中式身份驗證和授權(quán)服務(wù)的組件。盡管該項目承認(rèn)存在許多商業(yè)(甚至其他開源)身份驗證系統(tǒng),但Janssen旨在提供高度可伸縮性、高度可用性和高度靈活性,并特別關(guān)注有大量并發(fā)用戶負(fù)載或需要對大型物聯(lián)網(wǎng)(IoT)設(shè)備進行身份驗證和授權(quán)的應(yīng)用場景。
項目地址:
https://github.com/JanssenProject/home
二、OSSEC
OSSEC是一個開源的基于主機的入侵檢測系統(tǒng)(HIDS)。它被廣泛使用,高度可擴展且具有多平臺,使其非常適合在基于云的基礎(chǔ)架構(gòu)上進行部署。
根據(jù)OSSEC項目團隊的報告,OSSEC擁有龐大的用戶群,每年下載量超過500,000。OSSEC的優(yōu)勢之一是它既可以用作IDS也可以用作分析引擎,從而可以分析防火墻、IDS、Web服務(wù)器和身份驗證日志。
作為根據(jù)GNU GPL V2許可分發(fā)的開源項目,用戶可以輕松地修改OSSEC以適合組織的特定需求。在標(biāo)準(zhǔn)配置中,OSSEC提供入侵、rootlet和惡意軟件檢測。積極應(yīng)對攻擊和未經(jīng)授權(quán)的系統(tǒng)更改和合規(guī)性審核。
項目地址:
https://www.ossec.net/
三、Security Monkey
安全猴子(Security Monkey)是Netflix“混沌工程”學(xué)科中涌現(xiàn)的工具之一,開發(fā)團隊還發(fā)布了安全猴子(Monkey)的繼承者Chaos Gorilla。它們一起被稱為“ Simian Army”,用于測試Netflix基礎(chǔ)結(jié)構(gòu)的弱點和冗余。
Security Monkey的核心是隨機重啟云基礎(chǔ)架構(gòu)中的服務(wù)器。這為公司提供了有關(guān)應(yīng)用程序交付網(wǎng)絡(luò)是否可以承受任何特定服務(wù)器丟失的信息。
為了提供隨機重啟功能,Security Monkey還可以監(jiān)視云基礎(chǔ)架構(gòu)的配置更改,服務(wù)器添加服務(wù)器性能參數(shù)。即使公司不使用隨機重啟功能,Simian Army也可以提供有價值的系統(tǒng)和配置監(jiān)視功能。
重要的是要注意,Security Monkey目前處于“撂荒”狀態(tài),將僅接收維護更新。該項目建議那些希望使用其他功能的用戶過渡到其他產(chǎn)品,敦促AWS用戶切換到AWS Config,而GCP用戶被定向到Cloud Asset Inventory。
項目地址:
https://github.com/Netflix/security_monkey
四、Cartography
Cartography是一種安全圖工具,可應(yīng)用于多種網(wǎng)絡(luò)利用場景。對于云安全專業(yè)人員而言,Cartography最有價值的功能就是闡明應(yīng)用程序交付網(wǎng)絡(luò)中各個節(jié)點之間的關(guān)系。
Cartography用Python編寫,并使用neo4j數(shù)據(jù)庫在網(wǎng)絡(luò)節(jié)點上存儲數(shù)據(jù)并控制其顯示方式。Cartography支持的平臺包括Amazon Web Services(EC2、Elasticsearch、Elastic Kubernetes服務(wù)、DynamoDB、IAM、Lambda、RDS、Redshift、Route53、S3、STS和標(biāo)簽),以及Google Cloud Platform(云資源管理器、Compute、DNS),存儲Google Kubernetes引擎。
當(dāng)Security Monkey、Chaos Gorilla和Simian Army從Netflix的實驗室中脫穎而出時,Lyft將Cartography作為一種開源工具進行了開發(fā)。它既可以用于安全功能,又可以用作風(fēng)險評估工具,顯示(或確認(rèn))應(yīng)用程序節(jié)點之間的關(guān)系,這些關(guān)系可以用來識別網(wǎng)絡(luò)組件和整個網(wǎng)絡(luò)的風(fēng)險級別。
項目地址:
https://github.com/lyft/cartography
五、Grapl
Grapl是一個安全數(shù)據(jù)分析程序,與大多數(shù)其他開源安全產(chǎn)品相比,最大的區(qū)別是:Grapl不使用關(guān)系數(shù)據(jù)庫存儲數(shù)據(jù),而是使用圖形,一種基于節(jié)點和邊(Edge)的數(shù)據(jù)結(jié)構(gòu),其中節(jié)點是單個數(shù)據(jù)實體,而邊是節(jié)點之間的關(guān)系。
Grapl能從日志文件中獲取數(shù)據(jù)(通常以列表格式存儲的數(shù)據(jù))并將其轉(zhuǎn)換為圖形。圖形形式可以更容易地展示各個節(jié)點之間的關(guān)系,并在此基礎(chǔ)上識別并為攻擊者行為建模。安全團隊可以使用這些模型來制訂防御計劃并分析復(fù)雜的攻擊者行為,為將來的攻擊做準(zhǔn)備。
Grapl是一個很新的工具,正在快速變化,目前還沒有形成穩(wěn)定的1.0發(fā)行版本,但目前的功能就已經(jīng)可用,能幫助安全團隊學(xué)習(xí)如何在安全實踐中運用圖形。
項目地址:
https://github.com/grapl-security/grapl
六、Panther
Panther是基于Python的自托管的開源安全信息和事件管理(SIEM)工具。該系統(tǒng)由Panther Labs在2020年推出,可以分析來自許多不同安全工具(例如OSSEC和osquery)的日志以及云資源,包括AWS上提供的許多服務(wù)。在分析云資源時,可以為Panther配置策略,這些策略旨在幫助安全分析師發(fā)現(xiàn)易受攻擊的基礎(chǔ)結(jié)構(gòu)并開發(fā)新的安全最佳實踐。
Panther旨在提供與企業(yè)管理和分析產(chǎn)品(例如Splunk和LogRhythm的產(chǎn)品)競爭的功能。根據(jù)其文檔,Panther將識別錯誤配置,實現(xiàn)合規(guī)性并在代碼中模擬安全最佳實踐。
Panther有三種版本:社區(qū)(免費)、團隊和專業(yè)版。Team和Pro是付費許可證,提供更多數(shù)據(jù)源、功能、更全面的支持,以及更高的價格。
項目地址:
https://github.com/panther-labs/panther
七、PacBot
PacBot(也稱為Policy Bot)是一個合規(guī)性監(jiān)視平臺,可將合規(guī)策略作為代碼實施,PacBot會根據(jù)這些策略檢查您的資源和資產(chǎn)。您可以使用PacBot自動創(chuàng)建合規(guī)報告并使用預(yù)定義的修復(fù)程序解決遵從性違規(guī)問題。
根據(jù)某些條件,使用資產(chǎn)組功能在PacBot UI儀表板內(nèi)組織資源。例如,您可以按狀態(tài)將所有Amazon EC2實例(例如掛起、運行或關(guān)閉)分組,然后一起查看。您也可以將監(jiān)視操作的范圍限制為一個資產(chǎn)組,以實現(xiàn)更有針對性的合規(guī)性。
PacBot由T-Mobile創(chuàng)建并繼續(xù)維護,可與AWS和Azure一起使用。
項目地址:
https://github.com/tmobile/pacbot
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
