Google開放了Forseti Security項(xiàng)目,其中包括對(duì)所有GCP(谷歌云平臺(tái),Google Cloud Platform)用戶可用的一系列開源安全工具。該項(xiàng)目是由Spotify和Google協(xié)作開發(fā)的,它將雙方最初各自獨(dú)立開發(fā)的工作組合在一起,統(tǒng)一以整體的工具集提供。Forseti的目的在于自動(dòng)化開發(fā)人員的安全過(guò)程,增大開發(fā)的自由度。
Forseti的核心工具集包括:
Inventory工具:間歇性地對(duì)資源做快照,用于安全審計(jì)目的。Scanner工具:監(jiān)控在資源上基于角色的訪問(wèn)控制,并將在策略出錯(cuò)時(shí)激發(fā)其中的通知系統(tǒng)。Enforcer工具:強(qiáng)制資源安全策略處于一個(gè)期望的狀態(tài),阻止所有不需要的更改。IAM Explain工具:幫助推理(Reason about)和建立Cloud Identity & Access Management策略。Spotify使用Forseti創(chuàng)建通知流水線,用于通知開發(fā)人員存在風(fēng)險(xiǎn)的安全配置,目的在于使開發(fā)團(tuán)隊(duì)對(duì)安全具有操作上的權(quán)限、提升認(rèn)知并移除阻礙物。對(duì)此,Spotify給出了如下解釋:
Forseti使我們可以看到GCP架構(gòu)的情況,這是我們以前并不具有的能力。Forseti的使用可幫助我們確認(rèn)正確的控制已到位,并在安全攻防上領(lǐng)先一步。Forseti有助于我們知悉自身環(huán)境的運(yùn)行情況,使我們可以快速地找出任何存在風(fēng)險(xiǎn)的不正確配置,并立刻修正它們。該工具集讓我們可以建立工作流,使安全團(tuán)隊(duì)處于一種積極主動(dòng)的狀態(tài),而非被動(dòng)的響應(yīng)式狀態(tài)。我們可以及時(shí)地通知所有涉及的人,而非等待問(wèn)題發(fā)生。
Inventory工具是Forseti的核心,它用于存儲(chǔ)GCP資源的信息,然后Scanner和Enforcer工具就可以操作這些數(shù)據(jù)。各GCP資源及相應(yīng)的可用處理工具列表,以特性覆蓋表形式給出。
審計(jì)功能是Inventory工具的主要用例。使用Inventory,我們易于確定資源安全可能在哪一個(gè)時(shí)間點(diǎn)上發(fā)生了更改,并可確定更改者。
Scanner工具定義了資源所期望的安全策略,它采用的是JSON或YAML規(guī)則定義文件。該工具進(jìn)而使用一種規(guī)則引擎,對(duì)期待策略與實(shí)際策略間的差異做對(duì)比,輸出所有違反安全的規(guī)則,并存儲(chǔ)在CloudSQL中。
Enforcer工具不僅監(jiān)控和報(bào)告安全情況,事實(shí)上也會(huì)操作所有被檢測(cè)到的違反安全的策略或規(guī)則。其功能使用了多種Google Cloud API實(shí)現(xiàn),可操作資源恢復(fù)為期望的安全狀態(tài)。
Explain工具用于分析和開發(fā)Cloud IAM策略。在更為復(fù)雜的項(xiàng)目中,這些策略通常會(huì)變得難以推理。例如,Explain工具可以解釋一個(gè)主體(Principal)訪問(wèn)特定資源的原因,或是對(duì)將一個(gè)主體授權(quán)給特定資源的方式提出建議。
Forseti Security項(xiàng)目的文檔和源代碼均已在線提供,即刻就可在GCP上安裝和使用。
查看英文原文: Spotify and Google Release Forseti GCP Security Tools