QCon北京「鸿蒙专场」火热来袭!即刻报名,与创新同行~ 了解详情
写点什么

Spotify 和 Google 联合发布 GCP 安全工具

  • 2017-09-24
  • 本文字数:1074 字

    阅读完需:约 4 分钟

Google开放了Forseti Security 项目,其中包括对所有GCP(谷歌云平台,Google Cloud Platform)用户可用的一系列开源安全工具。该项目是由Spotify 和Google 协作开发的,它将双方最初各自独立开发的工作组合在一起,统一以整体的工具集提供。Forseti 的目的在于自动化开发人员的安全过程,增大开发的自由度。

Forseti 的核心工具集包括:

  1. Inventory 工具:间歇性地对资源做快照,用于安全审计目的。
  2. Scanner 工具:监控在资源上基于角色的访问控制,并将在策略出错时激发其中的通知系统。
  3. Enforcer 工具:强制资源安全策略处于一个期望的状态,阻止所有不需要的更改。
  4. IAM Explain 工具:帮助推理(Reason about)和建立 Cloud Identity & Access Management 策略。

Spotify 使用 Forseti 创建通知流水线,用于通知开发人员存在风险的安全配置,目的在于使开发团队对安全具有操作上的权限、提升认知并移除阻碍物。对此,Spotify 给出了如下解释:

Forseti 使我们可以看到 GCP 架构的情况,这是我们以前并不具有的能力。Forseti 的使用可帮助我们确认正确的控制已到位,并在安全攻防上领先一步。Forseti 有助于我们知悉自身环境的运行情况,使我们可以快速地找出任何存在风险的不正确配置,并立刻修正它们。该工具集让我们可以建立工作流,使安全团队处于一种积极主动的状态,而非被动的响应式状态。我们可以及时地通知所有涉及的人,而非等待问题发生。

Inventory 工具是 Forseti 的核心,它用于存储 GCP 资源的信息,然后 Scanner 和 Enforcer 工具就可以操作这些数据。各 GCP 资源及相应的可用处理工具列表,以特性覆盖表形式给出。

审计功能是Inventory 工具的主要用例。使用Inventory,我们易于确定资源安全可能在哪一个时间点上发生了更改,并可确定更改者。

Scanner 工具定义了资源所期望的安全策略,它采用的是 JSON 或 YAML 规则定义文件。该工具进而使用一种规则引擎,对期待策略与实际策略间的差异做对比,输出所有违反安全的规则,并存储在 CloudSQL 中。

Enforcer 工具不仅监控和报告安全情况,事实上也会操作所有被检测到的违反安全的策略或规则。其功能使用了多种 Google Cloud API 实现,可操作资源恢复为期望的安全状态。

Explain 工具用于分析和开发 Cloud IAM 策略。在更为复杂的项目中,这些策略通常会变得难以推理。例如,Explain 工具可以解释一个主体(Principal)访问特定资源的原因,或是对将一个主体授权给特定资源的方式提出建议。

Forseti Security 项目的文档源代码均已在线提供,即刻就可在GCP 上安装和使用。

查看英文原文: Spotify and Google Release Forseti GCP Security Tools

2017-09-24 19:001946
用户头像

发布了 391 篇内容, 共 142.2 次阅读, 收获喜欢 257 次。

关注

评论

发布
暂无评论
发现更多内容

模块9毕业设计项目

冷夫冲

架构设计实战

【架构设计】你真的理解软件设计中的SOLID原则吗?

小小怪下士

Java 程序员 架构设计

tinyrpc源码阅读

骑牛上青山

golang 源码 RPC

设计千万级学生管理系统的考试试卷存储方案 - 模块四

Geek_e5f2e5

Tapdata 杨庆麟:实时数据如何赋能制造业,实现业务卓越与持续发展?

tapdata

天翼云第八代云主机助力企业攻克上云“大象流”加密处理业务难题

极客天地

架构训练营第10期模块四作业

Geek_4db2d5

【Java基础】Java8 使用 stream().sorted()对List集合进行排序

No8g攻城狮

java; 开发语言 语言 & 开发 Java’

Pytorch 基础-tensor 数据结构

嵌入式视觉

Tensor ndarray 张量的基本操作 view函数 reshape

一个比一个牛皮的5个杨辉三角特性!

风铃架构日知录

Java 程序员 算法 IT 杨辉三角

Tapdata Cloud 场景通关系列:数据入湖仓之 MySQL → Doris,极简架构,更实时、更简便

tapdata

Alluxio 2022技术干货年终大赏

Alluxio

大数据 分布式 案例 Alluxio 数据编排

2023-01-14:给定一个二维数组map,代表一个餐厅,其中只有0、1两种值 map[i][j] == 0 表示(i,j)位置是空座 map[i][j] == 1 表示(i,j)位置坐了人 根据防

福大大架构师每日一题

算法 rust Solidity 福大大

系统风险处置

agnostic

风险系统 业务风险 操作风险

2022年终总结:今年学完的付费课程

石云升

学习 知识付费 年终总结 1月月更

Tapdata Cloud 场景通关系列:将数据导入阿里云 Tablestore,获得毫秒级在线查询和检索能力

tapdata

详解ThreadLocal

threedayman

兼容东西,贯通南北:超聚变的“四水归堂”

脑极体

科技 算力 超聚变

【Java基础】Java8 使用 stream().filter()过滤List对象(查找符合条件的对象集合)

No8g攻城狮

java; 开发语言 语言 & 开发 Java’

如何破越发展 to B 市场亏损越多问题?

风铃架构日知录

互联网 程序人生 后端 IT tob产品

非常实用的代码阅读策略!

风铃架构日知录

Java 程序员 后端 IT 代码

【架构设计】你真的理解软件设计中的SOLID原则吗?

JAVA旭阳

Java 架构

模块九-设计电商秒杀系统

李某人

架构训练营

总结一下经典机器学习算法

风铃架构日知录

Java 程序人生 算法 后端 IT

SAP 交货单与HU指派关系数据不一致问题的解决方案

SAP虾客

SAP 公司间STO 外向交货单 HU DEBUG改表

WEB开发人员应该知道 10 个 Docker 命令

devpoint

Docker 前端开发 docker image Docker 镜像

photozoompro2023下载激活教程

茶色酒

PhotoZoom photozoompro

【Redis实战专题】「性能监控系列」全方位探索Redis的性能监控以及优化指南

码界西柚

redis监控 Redis优化 redis性能

David Murray 加入 VeraViews 担任需求总监

鳄鱼视界

GEAR框架: Tractian的敏捷工程文化

俞凡

敏捷 大厂实践

架构训练营-模块三作业

Sam

架构实战营

Spotify和Google联合发布GCP安全工具_DevOps & 平台工程_Andrew Morgan_InfoQ精选文章