在处理云安全的问题时,一种非常重要的思路就是检测和持续监控云上资源的安全情况,通过专业工具的支持,可以让云安全管理在问题发生前发现云环境中的潜在威胁,进而去采取有效的处理措施。
Prowler 是什么
Prowler 是一个命令行工具,用于执行云安全最佳实践评估、审计、事件响应、持续监控、强化和取证准备。Prowler 是针对 AWS 进行设计和实现,所以只能在 AWS 环境中使用,目前不支持其他的云环境。它遵循 CIS Amazon Web Services Foundations Benchmark(49 项检查)的指导方针,并有 100 多项额外检查,包括与 GDPR、HIPAA、PCI-DSS、ISO-27001、FFIEC、SOC2 等相关的检查。Prowler 的特征
Prowler 包含了 240+ 检查,涵盖所有 AWS 区域和大多数 AWS 服务的安全最佳实践,例如:
Identity and Access Management [group1]Logging [group2]Monitoring [group3]Networking [group4]CIS Level 1 [cislevel1]CIS Level 2 [cislevel2]Extras see Extras section [extras]Forensics related group of checks [forensics-ready]GDPR [gdpr] Read more hereHIPAA [hipaa] Read more hereTrust Boundaries [trustboundaries] Read more hereSecretsInternet exposed resourcesEKS-CIS另外也支持包括 PCI-DSS, ISO-27001, FFIEC, SOC2等
安装 Prowler
Prowler 是使用下面的 AWS-CLI 用 bash 编写的,它可以在 Linux、Mac OS 或 Windows 中使用 cygwin 或虚拟化运行。还需要jq和detect-secrets才能正常工作。确保安装了最新版本的 AWS-CLI。它适用于 v1 或 v2,但如果使用新区域,建议使用最新的 v2,因为它们需要 STS v2 令牌和其他所需组件,并且已经安装了 Python pip。Yum 安装
对于 Amazon Linux(yum 基于 Linux 发行版和 AWS CLI v2)对于 Amazon Linux(yum 基于 Linux 发行版和 AWS CLI v2)
sudo yum update -y sudo yum remove -y awscli curl “https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip” -o “awscliv2.zip” unzip awscliv2.zip sudo ./aws/install sudo yum install -y python3 jq git sudo pip3 install detect-secrets==1.0.3 git clone https://github.com/prowler-cloud/prowlerAPT 安装
对于 Ubuntu Linux(apt 基于 Linux 发行版和 AWS CLI v2)
sudo apt update sudo apt install python3 python3-pip jq git zip pip install detect-secrets==1.0.3 curl “https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip” -o “awscliv2.zip” unzip awscliv2.zip sudo ./aws/install git clone https://github.com/prowler-cloud/prowler注意:不再支持 detect-secrets Yelp 版本,现在维护来自 IBM 的版本。使用下面提到的一个或特定的 Yelp 版本 1.0.3 以确保它按预期工作 ( pip install detect-secrets==1.0.3)
快速执行
cd prowler./prowler查看帮助
./prowler -h执行一条规则的检测
./prowler –c check310当然更多的使用指令可以查看帮助的提示,下图是执行检测的过程图片。
Prowler 高阶架构
您可以从您的工作站、EC2 实例、Fargate 或任何其他容器、Codebuild、CloudShell 和 Cloud9 运行 Prowler。
从架构图可以看出 Prowler 项目的整体架构,更有助于我们理解产品的设计思路。
这里我们可以看出 Prowler 在设计中考虑到了很多扩展性和灵活型的内容,可以从不同的出发入口向 AWS 发起检测调用,这样保证了扩展的灵活性。同时在输出上也是可以有多种选择,覆盖了 AWS 生态体系的常见方式。
如果你也想设计一个 AWS 体系的产品,这个结果是非常值得借鉴的。
Prowler 项目信息
Github 项目地址:
https://github.com/prowler-cloud/prowler
关于HummerRisk
HummerRisk 是开源的云原生安全平台,以非侵入的方式解决云原生的安全和治理问题,核心能力包括混合云的安全治理和K8S容器云安全检测。
Github 地址:
https://github.com/HummerRisk/HummerRiskGitee 地址:
https://gitee.com/hummercloud/HummerRisk免责声明:文章内容来自互联网,本站仅提供信息存储空间服务,真实性请自行鉴别,本站不承担任何责任,如有侵权等情况,请与本站联系删除。
转载请注明出处:开源工具系列3:Prowler-开源开发工具 https://www.bxbdf.com/a/147838.shtml