写点什么

Spotify 和 Google 联合发布 GCP 安全工具

  • 2017-09-24
  • 本文字数:1074 字

    阅读完需:约 4 分钟

Google开放了Forseti Security 项目,其中包括对所有GCP(谷歌云平台,Google Cloud Platform)用户可用的一系列开源安全工具。该项目是由Spotify 和Google 协作开发的,它将双方最初各自独立开发的工作组合在一起,统一以整体的工具集提供。Forseti 的目的在于自动化开发人员的安全过程,增大开发的自由度。

Forseti 的核心工具集包括:

  1. Inventory 工具:间歇性地对资源做快照,用于安全审计目的。
  2. Scanner 工具:监控在资源上基于角色的访问控制,并将在策略出错时激发其中的通知系统。
  3. Enforcer 工具:强制资源安全策略处于一个期望的状态,阻止所有不需要的更改。
  4. IAM Explain 工具:帮助推理(Reason about)和建立 Cloud Identity & Access Management 策略。

Spotify 使用 Forseti 创建通知流水线,用于通知开发人员存在风险的安全配置,目的在于使开发团队对安全具有操作上的权限、提升认知并移除阻碍物。对此,Spotify 给出了如下解释:

Forseti 使我们可以看到 GCP 架构的情况,这是我们以前并不具有的能力。Forseti 的使用可帮助我们确认正确的控制已到位,并在安全攻防上领先一步。Forseti 有助于我们知悉自身环境的运行情况,使我们可以快速地找出任何存在风险的不正确配置,并立刻修正它们。该工具集让我们可以建立工作流,使安全团队处于一种积极主动的状态,而非被动的响应式状态。我们可以及时地通知所有涉及的人,而非等待问题发生。

Inventory 工具是 Forseti 的核心,它用于存储 GCP 资源的信息,然后 Scanner 和 Enforcer 工具就可以操作这些数据。各 GCP 资源及相应的可用处理工具列表,以特性覆盖表形式给出。

审计功能是Inventory 工具的主要用例。使用Inventory,我们易于确定资源安全可能在哪一个时间点上发生了更改,并可确定更改者。

Scanner 工具定义了资源所期望的安全策略,它采用的是 JSON 或 YAML 规则定义文件。该工具进而使用一种规则引擎,对期待策略与实际策略间的差异做对比,输出所有违反安全的规则,并存储在 CloudSQL 中。

Enforcer 工具不仅监控和报告安全情况,事实上也会操作所有被检测到的违反安全的策略或规则。其功能使用了多种 Google Cloud API 实现,可操作资源恢复为期望的安全状态。

Explain 工具用于分析和开发 Cloud IAM 策略。在更为复杂的项目中,这些策略通常会变得难以推理。例如,Explain 工具可以解释一个主体(Principal)访问特定资源的原因,或是对将一个主体授权给特定资源的方式提出建议。

Forseti Security 项目的文档源代码均已在线提供,即刻就可在GCP 上安装和使用。

查看英文原文: Spotify and Google Release Forseti GCP Security Tools

2017-09-24 19:001997
用户头像

发布了 391 篇内容, 共 143.7 次阅读, 收获喜欢 257 次。

关注

评论

发布
暂无评论
发现更多内容

如何通过链路追踪进行定时任务诊断

阿里巴巴云原生

阿里云 云原生 SchedulerX

参加大数据培训学习还来得及吗

小谷哥

面试合集:数据库+数据结构+JVM+网络+JAVA+分布式+操作系统

钟奕礼

Java 程序员 java面试 java编程

前端培训程序员不好招吗,应该怎么学习

小谷哥

阿里云FC-Serverless-Wordpress

指剑

阿里云 Serverless 11月月更

企业网络“卫生”实用指南

SEAL安全

企业安全

云小课|云小课教您如何选择Redis实例类型

华为云开发者联盟

云计算 后端 华为云

教你用JavaScript实现计数器

小院里的霍大侠

JavaScript 编程开发 初学者 入门实战

嵌入式系统概述及特点

timerring

嵌入式 11月月更

我们又重写了一个关键服务

Zilliz

人工智能 Milvus 向量数据库

3.面向复杂度的架构设计模式

程序员小张

「架构实战营」

MobPush 推送查询API

MobTech袤博科技

又一创新!阿里云 Serverless 调度论文被云计算顶会 ACM SoCC 收录

Serverless Devs

Linux安装Hbase并验证

指剑

centos HBase 11月月更

效能工具如何在企业规模化落地?|线上沙龙回顾

万事ONES

SAP 异常现象之同一个IDoc可以被POST两次触发2张不同的物料凭证

SAP虾客

SAP IDoc BD87

我代码就加了一行log日志,结果引发了P1的线上事故

小小怪下士

Java 程序员 log 代码

FreeNas安装、初始化和存储池设置

指剑

centos 11月月更 freenas

云安全系列4:解析云安全工具集

HummerCloud

云计算 云安全

DTSE Tech Talk 第13期:Serverless凭什么被誉为未来云计算范式?

华为云开发者联盟

云计算 后端 华为云

“读懂人话”,阿里AI总分首次超越人类成绩

云布道师

人工智能 阿里云

AI技术实践|用腾讯云慧眼微信浮层H5解决黄牛抢票问题

牵着蜗牛去散步

人工智能 腾讯云 腾讯 腾讯云AI

利用FreeNas创建iSCSI块级存储

指剑

centos 11月月更 freenas

企业号12月PK榜,等你参与!

InfoQ写作社区官方

热门活动

看知识图谱如何解锁隐藏的营销利器

Neo4j 图无处不在

算法 neo4j 图数据库 知识图谱 图数据

K3S +Helm+NFS最小化测试安装部署只需十分钟

京东科技开发者

Docker k8s 软件测试 k3s 应用程序

ansible2.4安装和体验

程序员欣宸

DevOps ansible 11月月更

一个小而美的项目如何进行跨端选型

Onegun

移动端 跨端开发

java培训学习中怎么来提升开发水平

小谷哥

为什么mysql不推荐使用雪花ID作为主键

京东科技开发者

MySQL 数据 雪花id 主键 自增

前端培训程序员学习就业还有前途吗?

小谷哥

Spotify和Google联合发布GCP安全工具_DevOps & 平台工程_Andrew Morgan_InfoQ精选文章