1. Toy模板网首页
  2. > Toy博客

开源工具系列1:Cloud Custodian

8月前 作者:HummerCloud云原生 分类:Toy博客 阅读(20) 违法举报

这篇具有很好参考价值的文章主要介绍了开源工具系列1:Cloud Custodian。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

对云安全的检测中,最重要的一个组成部分就是对配置的验证,今天来介绍一个开源的规则检测引擎项目,Cloud Custodian。

custodian github,开源工具,云安全合规,云计算,安全

一、Cloud Custodian 是什么

  • Cloud Custodian 是用于管理公有云帐户和资源的规则引擎。规则策略用简单的 YAML 格式,使用户能够指定资源类型(EC2、ASG、Redshift、CosmosDB、PubSub 主题)的策略,并由过滤器和操作的词汇表构建。
  • 官方的 Cloud Custodian 可用于管理 AWS、Azure 和 GCP 环境,我们在此基础上新增了阿里云、华为云、腾讯云、火山云、金山云、百度云、青云、七牛云、UCloud、OpenStack、VMware vSphere等。

二、Cloud Custodian 项目结构

custodian github,开源工具,云安全合规,云计算,安全

Custodian 特征

  • 对公共云服务和资源的全面支持,具有丰富的操作和过滤器库,可用于构建策略。
  • 支持对具有嵌套布尔条件的资源进行任意过滤。
  • 试运行任何政策,看看它会做什么。
  • 自动配置无服务器函数和事件源(AWS CloudWatchEvents、AWS Config Rules、Azure EventGrid、GCP AuditLog 和 Pub/Sub 等)
  • 与策略匹配的资源上的云提供商本机指标输出
  • 将结构化输出到云原生对象存储中,其资源与策略相匹配。
  • 智能缓存使用以最小化 api 调用。
  • 支持多账户/订阅/项目使用。
  • 经过实战测试 - 在一些非常大的云环境中进行生产。

三、Cloud Custodian 快速安装

$ python3 -m venv custodian
$ source custodian/bin/activate
(custodian) $ pip install c7n
(custodian) $ pip install -e tools/c7n_aliyun
(custodian) $ pip install -e tools/c7n_huawei
(custodian) $ pip install -e tools/c7n_tencent
(custodian) $ pip install -e tools/c7n_baidu

四、Cloud Custodian 用法

使用 Cloud Custodian 的第一步是编写包含您要运行的策略的 YAML 文件。每个策略指定策略将运行的资源类型,一组控制资源将受此策略影响的过滤器,策略对匹配资源采取的操作,以及控制策略执行方式的模式。

最好的入门指南是云提供商特定的教程。

作为快速浏览,下面是 AWS 资源的一些示例策略

  1. 将强制所有 S3 存储桶都没有启用跨账户访问。
  2. 将终止任何新启动的没有加密 EBS 卷的 EC2 实例。
  3. 将在四天内停止任何没有跟随标签“Environment”、“AppId”和“OwnerContact”或“DeptID”的 EC2 实例。
policies:
  - name: s3-cross-account
    description: |
      Checks S3 for buckets with cross-account access and
      removes the cross-account access.
    resource: aws.s3
    region: us-east-1
    filters:
      - type: cross-account
    actions:
      - type: remove-statements
        statement_ids: matched

  - name: ec2-require-non-public-and-encrypted-volumes
    resource: aws.ec2
    description: |
      Provision a lambda and cloud watch event target
      that looks at all new instances and terminates those with
      unencrypted volumes.
    mode:
      type: cloudtrail
      role: CloudCustodian-QuickStart
      events:
      - RunInstances
    filters:
      - type: ebs
        key: Encrypted
        value: false
    actions:
      - terminate

  - name: tag-compliance
    resource: aws.ec2
    description: |
      Schedule a resource that does not meet tag compliance policies to be stopped in four days. Note a separate policy using the`marked-for-op` filter is required to actually stop the instances after four days.
    filters:
      - State.Name: running
      - "tag:Environment": absent
      - "tag:AppId": absent
      - or:
        - "tag:OwnerContact": absent
        - "tag:DeptID": absent
    actions:
      - type: mark-for-op
        op: stop
        days: 4

您可以使用以下命令使用示例策略验证、测试和运行 Cloud Custodian

# Validate the configuration (note this happens by default on run)
$ custodian validate policy.yml

# Dryrun on the policies (no actions executed) to see what resources
# match each policy.
$ custodian run --dryrun -s out policy.yml

# Run the policy
$ custodian run -s out policy.yml

您也可以通过 Docker 运行 Cloud Custodian

# Download the image
$ docker pull cloudcustodian/c7n
$ mkdir output

# Run the policy
#
# This will run the policy using only the environment variables for authentication
$ docker run -it \
-v $(pwd)/output:/home/custodian/output \
-v $(pwd)/policy.yml:/home/custodian/policy.yml \
--env-file <(env | grep "^AWS\|^AZURE\|^GOOGLE") \
cloudcustodian/c7n run -v -s /home/custodian/output /home/custodian/policy.yml

# Run the policy (using AWS's generated credentials from STS)
#
# NOTE: We mount the ``.aws/credentials`` and ``.aws/config`` directories to
# the docker container to support authentication to AWS using the same credentials
# credentials that are available to the local user if authenticating with STS.

$ docker run -it \
-v $(pwd)/output:/home/custodian/output \
-v $(pwd)/policy.yml:/home/custodian/policy.yml \
-v $(cd ~ && pwd)/.aws/credentials:/home/custodian/.aws/credentials \
-v $(cd ~ && pwd)/.aws/config:/home/custodian/.aws/config \
--env-file <(env | grep "^AWS") \
cloudcustodian/c7n run -v -s /home/custodian/output /home/custodian/policy.yml

五、项目地址

  • Github 项目地址:https://github.com/hummerrisk/cloud-custodian/tree/hummerrisk
  • Cloud Custodian 官方文档:https://cloudcustodian.io/docs/index.html

HummerRisk 对 Cloud Custodian的操作进行可视化的处理,更加的便捷和简单,并且增强了多个方面的能力,如果想体验相关的能力,我们建议直接入手HummerRisk 。

关于HummerRisk

custodian github,开源工具,云安全合规,云计算,安全

HummerRisk 是开源的云原生安全平台,以非侵入的方式解决云原生的安全和治理问题,核心能力包括混合云的安全治理和K8S容器云安全检测。文章来源地址https://www.toymoban.com/news/detail-783385.html

到了这里,关于开源工具系列1:Cloud Custodian的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • 正式开源 无恒实验室推出 appshark 自动化漏洞及隐私合规检测工具

    正式开源 无恒实验室推出 appshark 自动化漏洞及隐私合规检测工具

    随着移动互联网的高速发展,人们的生产生活也逐渐从 PC 电脑端转移到手机等移动端,各类移动 App 也如雨后春笋般产生。受限于代码的开发质量等原因, App 中或多或少的会存在安全漏洞或因开发设计不谨慎引入的违规收集个人信息等合规风险,带漏洞运行的 App 将严重威胁

    2024年02月14日
    浏览(37)
  • 出海合规云安全,AWS Landing Zone解决方案建立安全着陆区

    出海合规云安全,AWS Landing Zone解决方案建立安全着陆区

    在出海的大环境中,企业数字化转型的趋势之一就是上云。然而,上云也带来了新的挑战,特别是对企业的 IT 建设和管理提出了更高的要求。为了构建一个安全合规的云上信息系统环境,满足企业中不同用户的快速增长、资源访问可控、成本可控以及与本地数据中心安全网络

    2024年02月04日
    浏览(29)
  • 阿里巴巴开源的Spring Cloud Alibaba手册在GitHub上火了

    阿里巴巴开源的Spring Cloud Alibaba手册在GitHub上火了

    “微服务架构经验你有吗?” 前段时间一个朋友去面试,阿里面试官一句话问倒了他。实际上,不在BAT这样的大厂工作,是很难接触到支撑千亿级流量微服务架构项目的。 但也正是这种难得,让各个大厂都抢着要这样的人才! 下面这十道题是他当时阿里三面时被问到的,基

    2024年02月09日
    浏览(42)
  • 【开源黑客工具】2023全网最全黑客/网络安全工具合集(附github地址)

    【开源黑客工具】2023全网最全黑客/网络安全工具合集(附github地址)

    首先,恭喜你发现了宝藏。 本文章集成了全网优秀的开源攻防武器项目,包含: 信息收集工具(自动化利用工具、资产发现工具、目录扫描工具、子域名收集工具、指纹识别工具、端口扫描工具、各种插件....etc...) 漏洞利用工具(各大CMS利用工具、中间件利用工具等项目

    2024年02月08日
    浏览(112)
  • 【Azure】解析 Microsoft Defender for Cloud:云安全的保护与管理

    【Azure】解析 Microsoft Defender for Cloud:云安全的保护与管理

    你在使用自己的电脑的时候,作为安全防护你可能直接装个杀毒软件,或者什么xx管家之类的,那么你是否有想过,如果我有一套云服务之后,我应该如何进行安全防护呢?本文带你了解在 Azure 云中的安全防护体系:Microsoft Defender for Cloud。 随着云计算技术的快速发展,企业

    2024年02月13日
    浏览(27)
  • SpringCloud 微服务系列——Spring Cloud Alibaba 微服务工具集

    SpringCloud 微服务系列——Spring Cloud Alibaba 微服务工具集

    ✅作者简介:2022年 博客新星 第八 。热爱国学的Java后端开发者,修心和技术同步精进。 🍎个人主页:Java Fans的博客 🍊个人信条:不迁怒,不贰过。小知识,大智慧。 💞当前专栏:SpringCloud 微服务学习专栏 ✨特色专栏:国学周更-心性养成之路 🥭本文内容:SpringCloud 微服

    2024年02月04日
    浏览(36)
  • 来自GitHub的系列渗透测试工具

    来自GitHub的系列渗透测试工具

    渗透测试 Kali - GNU / Linux发行版,专为数字取证和渗透测试而设计。(https://www.kali.org/) ArchStrike - 为安全专业人士和爱好者提供Arch GNU / Linux存储库。(https://archstrike.org/) BlackArch - 基于GNU / Linux的分布式渗透测试人员和安全研究人员。(BlackArch Linux - Penetration Testing Distribution Network

    2024年02月09日
    浏览(43)

  • 开源模型应用落地-安全合规篇-用户输入合规性检测(一)

        在前面的“业务优化篇系列文章”的学习中,我们学会了如何使用线程池、Redis和向量数据库等工具。现在,我们要加快学习的速度。一方面,我们会继续改进AI服务的性能瓶颈,另一方面,我们还要学习如何进行合规操作。     接下来,我们将学习如何使用开源组件来

    2024年03月27日
    浏览(35)
  • 开源模型应用落地-安全合规篇-用户输入合规性检测(二)

    开源模型应用落地-安全合规篇-用户输入合规性检测(二)

        为什么我们需要花大力气对用户输入的内容和模型生成的输出进行合规性检测,一方面是严格遵守各项法规要求,具体如下: 互联网信息服务深度合成管理规定 https://www.gov.cn/zhengce/zhengceku/2022-12/12/content_5731431.htm     其次,受限于模型本身的一些缺陷,模型可能会生成一

    2024年03月19日
    浏览(80)

  • 开源软件合规风险与开源协议的法律效力

     更多内容:​​​​​​OWASP TOP 10 之敏感数据泄露 OWASP TOP 10 之失效的访问控制 ​​​​​​OWASP TOP 10 之失效的身份认证 一、开源软件主要合规风险 1、版权侵权风险 没有履行开源许可证规定的协议导致的版权侵权,例如没有按照许可要求的保留版权声明等。 2、商业机密

    2024年01月19日
    浏览(32)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包