Инструменты, процессы и приложения облачной безопасности с открытым исходным кодом

Моя задача - найти доступные на рынке инструменты облачной безопасности для защиты наших приложений в облаке. Наше основное внимание уделяется облачным сервисам AWS и Azure.

Мне нужно искать инструменты с открытым исходным кодом, которые я попытаюсь интегрировать с докером.

Я пробовал много приложений. некоторые из них перечислены ниже: -

  • Логика предупреждений
  • Несс
  • AWS Inspector

Но все они платные, за исключением AWS Inspector, у которого есть ограничения в зависимости от региона. Я ищу любые инструменты с открытым исходным кодом, но не получаю никаких источников аутентификации, статьи, которые приводят меня к этим инструментам или приложению.

Если кто-то использует такие инструменты, поделитесь их ссылками, учебными пособиями и справочными материалами. Пожалуйста, поделитесь своими предложениями, которые могут помочь мне выполнить мою задачу. Это действительно поможет


security cloud cloud-security aws-security-group azure-security
person Shubham Jain    schedule 31.07.2017    source источник

Ответы (2)


arrow_upward
2
arrow_downward

Вы можете проверить эти инструменты с открытым исходным кодом ... полностью для проведения аудита безопасности вашей инфраструктуры AWS.

Scout2 - https://github.com/nccgroup/Scout2

Prowler - https://github.com/Alfresco/prowler

Облачная безопасность - https://github.com/SecurityFTW/cs-suite

Security Monkey - https://github.com/Netflix/security_monkey

Инструмент с открытым исходным кодом Azure Cloud для обеспечения безопасности все еще ожидается.

ИЗМЕНИТЬ - теперь у нас есть инструменты с открытым исходным кодом для аудита Azure.

https://github.com/nccgroup/azucar

https://github.com/SecurityFTW/cs-suite

person Shivankar    schedule 08.10.2017
comment
Большое спасибо, Шив. Я пробовал Scout2, Prowler, Cloud-security и все они дают хорошие аудиторские отчеты. Я также пробовал обезьяну безопасности. Об этом же скажу точно - person Shubham Jain; 12.10.2017
comment
Шив Я слышал об Cloud Custodian, AWS Trusted Advisor и AWS config .. Вы тоже их используете. Не могли бы вы поделиться списком инструментов, которые вы считаете полезными для веб / сети / безопасности / тестирования на проникновение - person Shubham Jain; 12.10.2017
comment
Привет, Шив, я отправил еще один вопрос, связанный с тем же. stackoverflow.com/questions/46727722 / - person Shubham Jain; 13.10.2017
comment
Привет, Шубхам, извините за поздний ответ. Да, Cloud Custodian также хорош, чтобы получить хороший отчет об аудите безопасности. AWS Trusted Advisor предоставляет любые неправильно настроенные сервисы в вашем аккаунте AWS. Но я думаю, что результаты этих инструментов с открытым исходным кодом лучше и их больше, чем от AWS Trusted Advisor Я понятия не имею, что конфигурация AWS откровенна :) Что касается того же web/network/penetration security/testing, я не думаю, что мы можем провести пентест в сети AWS без их предварительных разрешений. AWS не позволяет проводить пентест в своих сетях. - person Shivankar; 16.10.2017
comment
Если этот web/network/penetration security/testing вопрос был общего назначения, то, пожалуйста, поищите инструменты для Kali Linux OS. - person Shivankar; 16.10.2017
comment
Да, я знаю о разрешении AWS priror в сети AWS ... Я установил его до использования nessus и логики предупреждений, как я уже упоминал в вопросе .. Вопрос в том, используете ли вы какие-либо инструменты, которые уже эффективны, тогда, пожалуйста, поделитесь - person Shubham Jain; 16.10.2017

arrow_upward
0
arrow_downward

Я не уверен в инструменте безопасности, но использовал сервис parkmycloud. Это экономит огромные затраты в долгосрочной перспективе.

Обновлено:

Попробуйте этот nexpose https://community.rapid7.com/community/nexpose/blog/2016/03/04/nexpose-scan-engine-on-the-aws-marketplace

HP webinspect - оба связаны с тестированием безопасности

person Sekhar    schedule 31.07.2017
comment
Мы уже создали сервисы AWS, которые делают то же самое в отношении экономии затрат на AWS. - person Shubham Jain; 31.07.2017
comment
Nexpose выглядит хорошо, но, опять же, это платное приложение на торговой площадке ... см.: - aws.amazon. ru / marketplace / pp / B01CBHJL4K - person Shubham Jain; 31.07.2017
comment
HP webinspect - это сканер уязвимостей веб-приложений. Это не облачный сканер уязвимостей - person Shubham Jain; 31.07.2017
comment
Спасибо за вашу попытку - person Shubham Jain; 31.07.2017