BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

Spotify和Google联合发布GCP安全工具

| 作者 Andrew Morgan 关注 3 他的粉丝 ,译者 盖磊 关注 2 他的粉丝 发布于 2017年9月25日. 估计阅读时间: 3 分钟 | 如何结合区块链技术,帮助企业降本增效?让我们深度了解几个成功的案例。

Google开放了Forseti Security项目,其中包括对所有GCP(谷歌云平台,Google Cloud Platform)用户可用的一系列开源安全工具。该项目是由Spotify和Google协作开发的,它将双方最初各自独立开发的工作组合在一起,统一以整体的工具集提供。Forseti的目的在于自动化开发人员的安全过程,增大开发的自由度。

Forseti的核心工具集包括:

  1. Inventory工具:间歇性地对资源做快照,用于安全审计目的。
  2. Scanner工具:监控在资源上基于角色的访问控制,并将在策略出错时激发其中的通知系统。
  3. Enforcer工具:强制资源安全策略处于一个期望的状态,阻止所有不需要的更改。
  4. IAM Explain工具:帮助推理(Reason about)和建立Cloud Identity & Access Management策略。

Spotify使用Forseti创建通知流水线,用于通知开发人员存在风险的安全配置,目的在于使开发团队对安全具有操作上的权限、提升认知并移除阻碍物。对此,Spotify给出了如下解释:

Forseti使我们可以看到GCP架构的情况,这是我们以前并不具有的能力。Forseti的使用可帮助我们确认正确的控制已到位,并在安全攻防上领先一步。Forseti有助于我们知悉自身环境的运行情况,使我们可以快速地找出任何存在风险的不正确配置,并立刻修正它们。该工具集让我们可以建立工作流,使安全团队处于一种积极主动的状态,而非被动的响应式状态。我们可以及时地通知所有涉及的人,而非等待问题发生。

Inventory工具是Forseti的核心,它用于存储GCP资源的信息,然后Scanner和Enforcer工具就可以操作这些数据。各GCP资源及相应的可用处理工具列表,以特性覆盖表形式给出。

审计功能是Inventory工具的主要用例。使用Inventory,我们易于确定资源安全可能在哪一个时间点上发生了更改,并可确定更改者。

Scanner工具定义了资源所期望的安全策略,它采用的是JSON或YAML规则定义文件。该工具进而使用一种规则引擎,对期待策略与实际策略间的差异做对比,输出所有违反安全的规则,并存储在CloudSQL中。

Enforcer工具不仅监控和报告安全情况,事实上也会操作所有被检测到的违反安全的策略或规则。其功能使用了多种Google Cloud API实现,可操作资源恢复为期望的安全状态。

Explain工具用于分析和开发Cloud IAM策略。在更为复杂的项目中,这些策略通常会变得难以推理。例如,Explain工具可以解释一个主体(Principal)访问特定资源的原因,或是对将一个主体授权给特定资源的方式提出建议。

Forseti Security项目的文档源代码均已在线提供,即刻就可在GCP上安装和使用。

查看英文原文: Spotify and Google Release Forseti GCP Security Tools

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

深度内容

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT