Google開放了Forseti Security項目,其中包括對所有GCP(谷歌云平臺,Google Cloud Platform)用戶可用的一系列開源安全工具。該項目是由Spotify和Google協(xié)作開發(fā)的,它將雙方最初各自獨立開發(fā)的工作組合在一起,統(tǒng)一以整體的工具集提供。Forseti的目的在于自動化開發(fā)人員的安全過程,增大開發(fā)的自由度。
Forseti的核心工具集包括:
Inventory工具:間歇性地對資源做快照,用于安全審計目的。Scanner工具:監(jiān)控在資源上基于角色的訪問控制,并將在策略出錯時激發(fā)其中的通知系統(tǒng)。Enforcer工具:強制資源安全策略處于一個期望的狀態(tài),阻止所有不需要的更改。IAM Explain工具:幫助推理(Reason about)和建立Cloud Identity & Access Management策略。Spotify使用Forseti創(chuàng)建通知流水線,用于通知開發(fā)人員存在風險的安全配置,目的在于使開發(fā)團隊對安全具有操作上的權(quán)限、提升認知并移除阻礙物。對此,Spotify給出了如下解釋:
Forseti使我們可以看到GCP架構(gòu)的情況,這是我們以前并不具有的能力。Forseti的使用可幫助我們確認正確的控制已到位,并在安全攻防上領先一步。Forseti有助于我們知悉自身環(huán)境的運行情況,使我們可以快速地找出任何存在風險的不正確配置,并立刻修正它們。該工具集讓我們可以建立工作流,使安全團隊處于一種積極主動的狀態(tài),而非被動的響應式狀態(tài)。我們可以及時地通知所有涉及的人,而非等待問題發(fā)生。
Inventory工具是Forseti的核心,它用于存儲GCP資源的信息,然后Scanner和Enforcer工具就可以操作這些數(shù)據(jù)。各GCP資源及相應的可用處理工具列表,以特性覆蓋表形式給出。
審計功能是Inventory工具的主要用例。使用Inventory,我們易于確定資源安全可能在哪一個時間點上發(fā)生了更改,并可確定更改者。
Scanner工具定義了資源所期望的安全策略,它采用的是JSON或YAML規(guī)則定義文件。該工具進而使用一種規(guī)則引擎,對期待策略與實際策略間的差異做對比,輸出所有違反安全的規(guī)則,并存儲在CloudSQL中。
Enforcer工具不僅監(jiān)控和報告安全情況,事實上也會操作所有被檢測到的違反安全的策略或規(guī)則。其功能使用了多種Google Cloud API實現(xiàn),可操作資源恢復為期望的安全狀態(tài)。
Explain工具用于分析和開發(fā)Cloud IAM策略。在更為復雜的項目中,這些策略通常會變得難以推理。例如,Explain工具可以解釋一個主體(Principal)訪問特定資源的原因,或是對將一個主體授權(quán)給特定資源的方式提出建議。
Forseti Security項目的文檔和源代碼均已在線提供,即刻就可在GCP上安裝和使用。
查看英文原文: Spotify and Google Release Forseti GCP Security Tools