安全團隊不可錯過的七個云安全開源工具
開源工具是網絡安全團隊武器庫中必不可少的利器,在云計算普及的今天,雖然云安全廠商們大多提供了本機安全工具套件,但是隨著云應用和云負載的不斷增加,IT團隊經常會發現云計算平臺的安全開發、合規性和管理工作負載的能力與實際需求存在差距,而很多開源云安全工具則能彌補這個空白。 以下,我們推薦七個2021年值得關注的云安全開源工具:
一、Janssen
Janssen是云安全身份驗證和授權方面的開源工具。該項目的組件包括OAuth、OpenID Connect和FIDO標準的各種實現。
Janssen是Linux Foundation項目,根據基金會的章程進行管理。該項目的目標包括合并社區和建立生態系統,而不是簡單地將產品或技術集合推向市場。
Janssen不只是授權和身份驗證服務器,還提供了可擴展的集中式身份驗證和授權服務的組件。盡管該項目承認存在許多商業(甚至其他開源)身份驗證系統,但Janssen旨在提供高度可伸縮性、高度可用性和高度靈活性,并特別關注有大量并發用戶負載或需要對大型物聯網(IoT)設備進行身份驗證和授權的應用場景。
項目地址:
https://github.com/JanssenProject/home
二、OSSEC
OSSEC是一個開源的基于主機的入侵檢測系統(HIDS)。它被廣泛使用,高度可擴展且具有多平臺,使其非常適合在基于云的基礎架構上進行部署。
根據OSSEC項目團隊的報告,OSSEC擁有龐大的用戶群,每年下載量超過500,000。OSSEC的優勢之一是它既可以用作IDS也可以用作分析引擎,從而可以分析防火墻、IDS、Web服務器和身份驗證日志。
作為根據GNU GPL V2許可分發的開源項目,用戶可以輕松地修改OSSEC以適合組織的特定需求。在標準配置中,OSSEC提供入侵、rootlet和惡意軟件檢測。積極應對攻擊和未經授權的系統更改和合規性審核。
項目地址:
https://www.ossec.net/
三、Security Monkey
安全猴子(Security Monkey)是Netflix“混沌工程”學科中涌現的工具之一,開發團隊還發布了安全猴子(Monkey)的繼承者Chaos Gorilla。它們一起被稱為“ Simian Army”,用于測試Netflix基礎結構的弱點和冗余。
Security Monkey的核心是隨機重啟云基礎架構中的服務器。這為公司提供了有關應用程序交付網絡是否可以承受任何特定服務器丟失的信息。
為了提供隨機重啟功能,Security Monkey還可以監視云基礎架構的配置更改,服務器添加服務器性能參數。即使公司不使用隨機重啟功能,Simian Army也可以提供有價值的系統和配置監視功能。
重要的是要注意,Security Monkey目前處于“撂荒”狀態,將僅接收維護更新。該項目建議那些希望使用其他功能的用戶過渡到其他產品,敦促AWS用戶切換到AWS Config,而GCP用戶被定向到Cloud Asset Inventory。
項目地址:
https://github.com/Netflix/security_monkey
四、Cartography
Cartography是一種安全圖工具,可應用于多種網絡利用場景。對于云安全專業人員而言,Cartography最有價值的功能就是闡明應用程序交付網絡中各個節點之間的關系。
Cartography用Python編寫,并使用neo4j數據庫在網絡節點上存儲數據并控制其顯示方式。Cartography支持的平臺包括Amazon Web Services(EC2、Elasticsearch、Elastic Kubernetes服務、DynamoDB、IAM、Lambda、RDS、Redshift、Route53、S3、STS和標簽),以及Google Cloud Platform(云資源管理器、Compute、DNS),存儲Google Kubernetes引擎。
當Security Monkey、Chaos Gorilla和Simian Army從Netflix的實驗室中脫穎而出時,Lyft將Cartography作為一種開源工具進行了開發。它既可以用于安全功能,又可以用作風險評估工具,顯示(或確認)應用程序節點之間的關系,這些關系可以用來識別網絡組件和整個網絡的風險級別。
項目地址:
https://github.com/lyft/cartography
五、Grapl
Grapl是一個安全數據分析程序,與大多數其他開源安全產品相比,最大的區別是:Grapl不使用關系數據庫存儲數據,而是使用圖形,一種基于節點和邊(Edge)的數據結構,其中節點是單個數據實體,而邊是節點之間的關系。
Grapl能從日志文件中獲取數據(通常以列表格式存儲的數據)并將其轉換為圖形。圖形形式可以更容易地展示各個節點之間的關系,并在此基礎上識別并為攻擊者行為建模。安全團隊可以使用這些模型來制訂防御計劃并分析復雜的攻擊者行為,為將來的攻擊做準備。
Grapl是一個很新的工具,正在快速變化,目前還沒有形成穩定的1.0發行版本,但目前的功能就已經可用,能幫助安全團隊學習如何在安全實踐中運用圖形。
項目地址:
https://github.com/grapl-security/grapl
六、Panther
Panther是基于Python的自托管的開源安全信息和事件管理(SIEM)工具。該系統由Panther Labs在2020年推出,可以分析來自許多不同安全工具(例如OSSEC和osquery)的日志以及云資源,包括AWS上提供的許多服務。在分析云資源時,可以為Panther配置策略,這些策略旨在幫助安全分析師發現易受攻擊的基礎結構并開發新的安全最佳實踐。
Panther旨在提供與企業管理和分析產品(例如Splunk和LogRhythm的產品)競爭的功能。根據其文檔,Panther將識別錯誤配置,實現合規性并在代碼中模擬安全最佳實踐。
Panther有三種版本:社區(免費)、團隊和專業版。Team和Pro是付費許可證,提供更多數據源、功能、更全面的支持,以及更高的價格。
項目地址:
https://github.com/panther-labs/panther
七、PacBot
PacBot(也稱為Policy Bot)是一個合規性監視平臺,可將合規策略作為代碼實施,PacBot會根據這些策略檢查您的資源和資產。您可以使用PacBot自動創建合規報告并使用預定義的修復程序解決遵從性違規問題。
根據某些條件,使用資產組功能在PacBot UI儀表板內組織資源。例如,您可以按狀態將所有Amazon EC2實例(例如掛起、運行或關閉)分組,然后一起查看。您也可以將監視操作的范圍限制為一個資產組,以實現更有針對性的合規性。
PacBot由T-Mobile創建并繼續維護,可與AWS和Azure一起使用。
項目地址:
https://github.com/tmobile/pacbot
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
