Mae yna nifer o ddewisiadau amgen ffynhonnell agored defnyddiol yn ogystal â'r atebion diogelwch brodorol y mae cwmnïau cwmwl yn eu cyflenwi.
Dyma enghraifft o wyth technoleg diogelwch cwmwl ffynhonnell agored eithriadol.
Dim ond ychydig o gwmnïau cwmwl yw AWS, Microsoft, a Google sy'n darparu amrywiaeth o nodweddion diogelwch brodorol. Er bod y technolegau hyn yn ddiamau o gymorth, ni allant fodloni anghenion pawb. Mae timau TG yn aml yn darganfod bylchau yn eu gallu i greu a chynnal llwythi gwaith yn ddiogel ar yr holl lwyfannau hyn wrth i ddatblygiad cwmwl fynd rhagddo. Yn y diwedd, mater i'r defnyddiwr yw cau'r bylchau hyn. Mae technolegau diogelwch cwmwl ffynhonnell agored yn ddefnyddiol mewn sefyllfaoedd fel hyn.
Mae technolegau diogelwch cwmwl ffynhonnell agored a ddefnyddir yn eang yn cael eu creu'n aml gan sefydliadau fel Netflix, Capital One, a Lyft sydd â thimau TG sylweddol sydd ag arbenigedd cwmwl sylweddol. Mae timau'n cychwyn y prosiectau hyn i ddatrys rhai gofynion nad ydynt yn cael eu bodloni gan yr offer a'r gwasanaethau sydd eisoes ar gael, ac maent yn agor meddalwedd ffynhonnell o'r fath yn y gobaith y bydd yn ddefnyddiol i fusnesau eraill hefyd. Er nad yw'n hollgynhwysol, mae'r rhestr hon o'r atebion diogelwch cwmwl ffynhonnell agored mwyaf poblogaidd ar GitHub yn lle gwych i ddechrau. Mae llawer ohonynt yn gydnaws â gosodiadau cwmwl eraill, tra bod eraill wedi'u hadeiladu'n benodol i weithredu gydag AWS, y cwmwl cyhoeddus mwyaf poblogaidd. Edrychwch ar y technolegau diogelwch hyn ar gyfer ymateb i ddigwyddiadau, profi rhagweithiol, a gwelededd.
Ceidwad Cwmwl
Mae rheolaeth amgylcheddau AWS, Microsoft Azure, a Google Cloud Platform (GCP) yn cael ei wneud gyda chymorth Cloud Custodian, peiriant rheolau di-wladwriaeth. Gydag adrodd a dadansoddeg gyfunol, mae'n cyfuno nifer o'r arferion cydymffurfio y mae mentrau'n eu defnyddio mewn un platfform. Efallai y byddwch yn sefydlu rheolau gan ddefnyddio Cloud Ceidwad sy'n cymharu'r amgylchedd â gofynion diogelwch a chydymffurfio yn ogystal â meini prawf ar gyfer optimeiddio costau. Mynegir y math a'r grŵp o adnoddau i'w gwirio, yn ogystal â'r camau i'w cymryd ar yr adnoddau hyn, ym mholisïau Ceidwad Cwmwl, a ddiffinnir yn YAML. Efallai y byddwch, er enghraifft, yn sefydlu polisi sy'n sicrhau bod amgryptio bwced ar gael ar gyfer holl fwcedi Amazon S3. I ddatrys rheolau yn awtomatig, gallwch integreiddio Cloud Ceidwad ag amseroedd rhedeg di-weinydd a gwasanaethau cwmwl brodorol. Wedi'i greu i ddechrau ac ar gael fel ffynhonnell am ddim gan
Cartograffeg
Y prif dynfa yma yw'r mapiau Isadeiledd a wneir gan gartograffeg. Mae'r offeryn graffio awtomatig hwn yn darparu cynrychiolaeth weledol o'r cysylltiadau rhwng eich cydrannau seilwaith cwmwl. Gall hyn gynyddu gwelededd diogelwch cyffredinol y tîm. Defnyddiwch yr offeryn hwn i greu adroddiadau asedau, nodi fectorau ymosodiad posibl, a nodi cyfleoedd gwella diogelwch. Creodd peirianwyr yn Lyft gartograffeg, sy'n defnyddio cronfa ddata Neo4j. Mae'n cefnogi amrywiaeth o wasanaethau AWS, G Suite, a Google Cloud Platform.
Diffy
Adnodd brysbennu offer hynod boblogaidd ar gyfer fforensig digidol ac ymateb i ddigwyddiadau yw Diffy (DFIR). Cyfrifoldeb eich tîm DFIR yw chwilio'ch asedau am unrhyw dystiolaeth a adawyd gan y tresmaswr ar ôl i'ch amgylchedd gael ei ymosod neu ei hacio eisoes. Efallai y bydd hyn yn gofyn am lafur dwylo manwl. Mae peiriant gwahaniaethol a gynigir gan Diffy yn datgelu achosion anghyson, peiriannau rhithwir, a gweithgaredd adnoddau eraill. Er mwyn helpu tîm DFIR i nodi lleoliadau ymosodwyr, bydd Diffy yn eu hysbysu pa adnoddau sy'n ymddwyn yn rhyfedd. Mae Diffy yn dal i fod yn ei gamau datblygu cynnar ac erbyn hyn dim ond enghreifftiau Linux y mae'n eu cefnogi ar AWS, ond gallai ei bensaernïaeth ategyn alluogi cymylau eraill. Dyfeisiodd Tîm Cudd-wybodaeth ac Ymateb Diogelwch Netflix Diffy, sydd wedi'i ysgrifennu yn Python.
Cyfrinachau git
Mae'r teclyn diogelwch datblygu hwn o'r enw Git-secrets yn eich gwahardd rhag storio cyfrinachau yn ogystal â data sensitif arall yn eich storfa Git. Mae unrhyw negeseuon ymrwymo neu ymrwymo sy'n cyd-fynd ag un o'ch patrymau ymadroddion gwaharddedig rhagddiffiniedig yn cael eu gwrthod ar ôl cael eu sganio. Crëwyd git-secrets gydag AWS mewn golwg. Fe'i datblygwyd gan AWS Labs, sy'n dal i fod yn gyfrifol am gynnal a chadw prosiectau.
OSSEC
Mae OSSEC yn blatfform diogelwch sy'n integreiddio monitro logiau, diogelwch gwybodaeth a rheoli digwyddiadau, a chanfod ymwthiad yn seiliedig ar westeiwr. Gallwch ddefnyddio hwn ar VMs cwmwl er ei fod wedi'i gynllunio'n wreiddiol ar gyfer amddiffyniad ar y safle. Mae addasrwydd platfform yn un o'i fanteision. Gall amgylcheddau ar AWS, Azure, a GCP ei ddefnyddio. Yn ogystal, mae'n cefnogi amrywiaeth o OSes, gan gynnwys Windows, Linux, Mac OS X, a Solaris. Yn ogystal â monitro asiant a heb asiant, mae OSSEC yn cynnig gweinydd gweinyddol canolog ar gyfer cadw golwg ar reolau ar draws sawl platfform. Mae nodweddion amlycaf OSSEC yn cynnwys: Bydd unrhyw newid ffeil neu gyfeiriadur ar eich system yn cael ei ganfod trwy fonitro cywirdeb ffeil, a fydd yn rhoi gwybod i chi. Mae monitro logiau yn casglu, yn archwilio ac yn eich hysbysu am unrhyw ymddygiad anarferol o'r holl gofnodion yn y system.
Canfod Rootkit, sy'n eich rhybuddio os bydd eich system yn mynd trwy newid fel rootkit. Pan ddarganfyddir ymyriadau penodol, gall OSSEC ymateb yn weithredol a gweithredu ar unwaith. Mae Sefydliad OSSEC yn goruchwylio'r gwaith o gynnal OSSEC.
GoPhish
Am phish profion efelychu, mae Gophish yn rhaglen ffynhonnell agored sy'n galluogi anfon e-byst, eu holrhain, a phenderfynu faint o dderbynwyr sydd wedi clicio ar ddolenni yn eich e-byst ffug. A gallwch edrych ar eu holl ystadegau. Mae'n rhoi nifer o ddulliau ymosod i dîm coch gan gynnwys e-byst rheolaidd, e-byst gydag atodiadau, a hyd yn oed RubberDuckies i brofi diogelwch corfforol a digidol. Dros 36 ar hyn o bryd Gwe-rwydo mae templedi ar gael gan y gymuned. Mae HailBytes yn cynnal dosbarthiad yn seiliedig ar AWS sydd wedi'i lwytho ymlaen llaw â thempledi ac wedi'i ddiogelu i safonau CIS yma.
Prowler
Offeryn llinell orchymyn yw Prowler ar gyfer AWS sy'n gwerthuso'ch seilwaith o'i gymharu â safonau a osodwyd ar gyfer AWS gan y Ganolfan Diogelwch Rhyngrwyd yn ogystal ag arolygiadau GDPR a HIPAA. Mae gennych yr opsiwn o adolygu eich seilwaith cyflawn neu broffil neu ranbarth AWS penodol. Mae gan Prowler y gallu i gyflawni llawer o adolygiadau ar unwaith a chyflwyno adroddiadau mewn fformatau gan gynnwys CSV, JSON, a HTML. Yn ogystal, mae AWS Security Hub wedi'i gynnwys. Datblygodd Toni de la Fuente, arbenigwr diogelwch Amazon sy'n dal i fod yn gysylltiedig â chynnal a chadw'r prosiect, Prowler.
Mwnci Diogelwch
Mewn gosodiadau AWS, GCP, ac OpenStack, mae Security Monkey yn offeryn corff gwarchod sy'n cadw llygad am addasiadau polisi a gosodiadau gwan. Er enghraifft, mae Security Monkey yn AWS yn eich hysbysu pryd bynnag y bydd bwced S3 yn ogystal â grŵp diogelwch yn cael ei greu neu ei ddileu, yn monitro eich allweddi Rheoli Hunaniaeth a Mynediad AWS, ac yn gwneud sawl dyletswydd monitro arall. Creodd Netflix Security Monkey, er mai dim ond atebion bach i broblemau y mae'n eu cynnig ar hyn o bryd. Mae AWS Config a Google Cloud Assets Inventory yn amnewidion gwerthwyr.
I weld hyd yn oed mwy o offer ffynhonnell agored gwych ar AWS, edrychwch ar ein HailBytes ' Offrymau marchnad AWS yma.
