词云开源工具
如果您作为开发人员,系统管理员,全栈工程师或站点可靠性工程师的日常工作涉及到Git在GitHub上的推入,提交和拉取以及到Amazon Web Services(AWS)的部署,则安全性始终是一个令人担忧的问题。 。 幸运的是,可以使用开放源代码工具来帮助您的团队避免可能导致组织损失数千美元的常见错误。
本文介绍了四个开源工具,这些工具可帮助您在GitHub和AWS上进行开发时改善安全实践。 另外,本着开放源代码的精神,我与三位安全专家合作-Netflix的高级云安全工程师Travis McPeak ; Red Hat高级首席信息安全分析师Rich Monk ; 和Red Hat首席信息安全分析师Alison Naylor共同为本文做出贡献。
我们已按方案将每个工具分开,但它们并不互相排斥。
1.使用Gitrob查找敏感数据
您需要找到团队Git仓库中存在的任何潜在敏感信息,以便将其删除。 使用红色/蓝色团队模型专注于攻击应用程序或系统的工具可能对您有意义,在该模型中,信息安全团队分为两部分:攻击团队(又名红色团队)和防御团队(又名蓝队)。 有一个红色的团队来尝试渗透您的系统和应用程序比等待对手这样做要好得多。 您的红色团队可能会尝试使用Gitrob ,该工具可以克隆并爬过Git存储库以查找凭据和敏感文件。
即使可以使用诸如Gitrob之类的工具来造成伤害,但此处的想法是让您的信息安全团队使用它来查找属于您的组织的无意间泄露的敏感数据(例如AWS密钥对或错误提交的其他凭证)。 这样,您可以固定存储库并清除敏感数据,希望在对手找到它们之前。 请记住,不仅要删除受影响的文件, 还要删除它们的历史记录 !
2.避免使用git-secret提交敏感数据
git-secrets 。 使用此工具,您可以设置钩子,以扫描提交,提交消息和合并,以查找机密的常见模式。 选择与您的团队使用的凭证匹配的模式,例如AWS访问密钥和秘密密钥。 如果找到匹配项,则您的提交被拒绝,避免了潜在的危机。为现有存储库设置git-secrets很简单,并且您可以应用全局配置来保护您初始化或克隆的所有将来的存储库。 您还可以使用git-secrets扫描您的存储库(以及所有以前的修订版),以在将其公开之前搜索秘密。
3.使用Key Conjurer创建临时凭证
可以有一点额外的保险,以防止无意间发布存储的机密,这很好,但是也许我们根本不存储凭据可以做得更好。 通常,要跟踪凭证(包括谁有权访问凭证,将凭证存储在哪里以及何时上次旋转)是很麻烦的。 但是,以编程方式生成临时凭证可以完全避免很多此类问题,从而巧妙地避开了在Git存储库中存储秘密的问题。 输入Key Conjurer ,它是为解决这一需求而创建的。 有关Riot Games为什么创建Key Conjurer及其开发方式的更多信息,请阅读Key conjurer:我们的最低特权政策 。
4.使用Repokid自动应用最小特权
参加过安全性101课程的任何人都知道,最低特权是基于角色的访问控制配置的最佳实践。 可悲的是,在学校外,手动应用最低特权策略变得非常困难。 应用程序的访问要求会随时间变化,并且开发人员太忙以至于无法手动削减其权限。 Repokid使用AWS提供的有关身份和访问管理(IAM)的数据来自动调整策略大小。 Repokid甚至可以帮助最大的组织在AWS中自动应用最少的特权。
工具,不是银弹
这些工具绝不是灵丹妙药,而是它们:工具! 因此,在尝试实施任何这些工具或其他控件之前,请确保与组织的其他成员一起了解云服务的用例和使用模式。
熟悉所有云和代码存储库服务记录的最佳做法也应认真对待。 以下文章将帮助您做到这一点。
对于AWS:
对于GitHub:
最后但并非最不重要的一点是,与您的Infosec团队联系; 他们应该能够为您提供有关团队成功的想法,建议和准则。 永远记住:安全是每个人的责任,而不仅仅是他们的责任。
翻译自: https://opensource.com/article/19/9/open-source-cloud-security
词云开源工具