Quante volte ti sei svegliato di notte sudato chiedendomi se questo tirocinante un po ‘troppo “entusiasta” (Teubé cosa) non aveva lasciato un corpo S3 in accesso pubblico con le discariche della tua base di clienti?
Eh?
Quindi, se vivi questo tipo di incubo ricorrente dell’Infra sotto pressione, potrei aver trovato il rimedio per le tue ansie notturne!
Questo si chiama Correggi l’inventario Ed è uno strumento open source che scansionerà la tua infrastruttura cloud e ti dirà esattamente dove sono i cadaveri. E il meglio di tutto ciò è che è gratuito al 100% e funziona su tutte le tue nuvole preferite, in cui soluzioni come Wiz o Prisma Cloud ti chiederanno facilmente 6 cifre all’anno. Sì sì & mldr;
Siamo onesti, i moderni infrasuli della nuvola sono davvero il bordello. Tra le condutture CI/CD che si distribuiscono 50 volte al giorno per nulla, gli sviluppatori che hanno accesso che non dovrebbero avere e le risorse che si moltiplicano come i gremlin che avremmo annaffiato dopo mezzanotte, come mantenere una chiara visione della sua sicurezza ?? Impossibile!
Il problema con gli strumenti di sicurezza del cloud tradizionali è che analizzano ogni risorsa come entità isolata. Ti portano fuori un bel elenco di “non conformità” senza comprendere veramente il contesto. Ad esempio, a Bucket pubblico S3 non è necessariamente un problema & mldr; A meno che non contenga i dati dei tuoi clienti o se sono accessibili da un servizio di compromesso.
E ciò che è gravemente carente negli strumenti classici è proprio questa comprensione delle relazioni tra risorse.
Un po ‘come Neo in Matrix che può vedere il codice dietro la realtà (Vedo anche Matrix 4 di nuovo dopo il Reco de Bruce ed è Phew & MLDR;), Fix Inventory ti consente di vedere le connessioni invisibili tra le risorse cloud, questi percorsi di accesso che gli agenti di Smith delle soluzioni proprietarie ti caricheranno una fortuna per identificare.
In breve, questo strumento promette di fare ciò che fanno le soluzioni proprietarie per le somme a cinque o sei cifre. Il suo approccio è quello di scansionare l’infrastruttura cloud (AWS, GCP, Azure, Digitalocean, Hetzner, Kubernetes, GitHub) senza agente (tramite le loro API) e normalizzare tutti questi dati disparati in un modello unificato.
Concretamente, correggere l’inventario in tre fasi:
1. Raccolta dei dati : Mette in discussione le API dei tuoi fornitori cloud per recuperare i metadati delle tue risorse.
2. Normalizzazione : Trasforma questi dati eterogenei in uno schema grafico unificato, in cui ogni risorsa (istanza, volume, bucket, utente e mldr;) ha proprietà comuni come ID, nome, tipo, tag.
3. Analisi del rischio : Scansiona i dati raccolti con quadri di conformità predefiniti o personalizzati per identificare i problemi.
Il Dev Behind Fix Inventory ha sviluppato un modello con più di 40 “Base di tipi“Chi descrive risorse comuni come il” database “o” IP_ADDRES “, che consente di implementare un insieme unico di politiche (ad esempio,” nessun volumi di archiviazione non crittografato “) che funziona su tutte le nuvole. In questo modo, non è necessario imparare e mantenere regole specifiche per ciascun fornitore.
E il livello delle prestazioni, è abbastanza buono poiché la collezione è eseguita in parallelo, rispettando le quote API di ciascun fornitore. Nessun rischio pertanto, per farti blacklister perché lo strumento ha inviato troppe domande.
In breve, per darti un’idea della potenziale economia, come ti ho detto in introduzione, una soluzione come Wiz generalmente inizia circa € 100.000 all’anno per un’infrastruttura di medie dimensioni. Fix Inventory ti costerà & MLDR; Il prezzo dell’alloggio se lo distribuisci da solo. Lascia spazio per alcune birre.
E dove l’inventario fissa si distingue davvero dagli altri strumenti, è con i suoi grafico di origine e accesso. Non è contento di raccogliere informazioni su risorse isolate, cattura anche le relazioni tra loro.
Questo approccio consente a questo di rispondere a domande cruciali come:
- “Qual è il raggio di impatto di questa risorsa pubblica?”
- “Esiste un percorso tra questa risorsa e un ruolo privilegiato?”
- “Quali utenti hanno accesso indiretto a questo database sensibile?”
Per esplorare queste relazioni, Fix Inventory offre anche un linguaggio di query tanto potente quanto intuitivo. Ad esempio, per trovare tutti i secchi S3 a cui un utente specifico ha accesso alla scrittura, puoi semplicemente digitare:
search --with-edges is(aws_iam_user) and name=matthias -iam[0:]{permissions[*].level==write}-> is(aws_iam_user, aws_s3_bucket) | format --dot
Questa richiesta non solo identificherà le bevande accessibili direttamente, ma anche quelle indirettamente accessibili tramite ruoli o politiche. Il risultato può essere esportato in formato dote per visualizzare graficamente queste relazioni. È perfetto per mostrare al tuo capo perché devi rafforzare i controlli di accesso.
Un altro punto di forza, Corret Inventory assume programmi istantanei dalla tua infrastruttura, che lo consente di farlo Seguire le modifiche alla configurazione nel tempo. Puoi vedere quando e da chi è stata cambiata una risorsa e tornare ad analizzare l’evoluzione della tua posizione di sicurezza.
Ecco & mldr; Questo strumento copre quindi una vasta gamma di casi d’uso:
- Cloud Security Posture Management (CSPM) : per monitorare e applicare le politiche di sicurezza.
- AI Security Posture Management (AI-SPM) : Per scoprire automaticamente i servizi di intelligenza artificiale utilizzati e le loro fonti di dati.
- Cloud Infrastructure Entitlement Management (CIEM) : per scoprire identità umane e non umane con accesso al rischio.
- Inventario delle risorse cloud : per la completa visibilità sui tuoi ambienti multi-cloud.
Ecco alcune richieste utili per iniziare:
Trova tutti i volumi non crittografati: search is(volume) and volume_encrypted=false
Identifica istanze con IP pubblici: search is(instance) and public_ip_address!=null
Identifica i secchi pubblici: search is(bucket) and public_access=true
Lo strumento offre anche quadri di conformità preconfigurati come Benchmark cis,, ISO-27001 O Nis-2. È possibile lanciare un rapporto CIS su AWS come esempio:
fix report benchmark run cis_aws
Puoi anche definire le proprie politiche trasformando qualsiasi richiesta come regola di conformità e impostare avvisi quando queste regole vengono violentate. Ad esempio, se si desidera essere avvisato ogni volta che viene creato un nuovo secchio pubblico, è possibile trasformare la richiesta search is(bucket) and public_access=true in politica e configurare una notifica a Slack o via e -mail.
Livello di distribuzione, hai diverse opzioni: installalo sul tuo laptop, distribuiscilo nel tuo cloud o utilizza la sicurezza fissa, La loro versione SaaS (che aggiunge alcune funzionalità come visualizzazioni pronta -a -utilizzo).
Se vuoi testare rapidamente, ecco come iniziare:
1. Installazione tramite Docker:
docker run -it ghcr.io/someengineering/fixinventory
2. Configurazione per AWS:
3. Collezione dei dati:
4. E eccoti, puoi iniziare a cercare vulnerabilità!
Il fatto che questo strumento sia open source e estensibile rende ancora più interessante per i team tecnologici che vogliono mantenere il controllo sulla loro sicurezza senza rompere la banca.
In breve, da scoprire senza indugio! E un grande ringraziamento a LeStsar per la condivisione!
Source link
Subscribe to our email newsletter to get the latest posts delivered right to your email.
Comments