写点什么

InfoQ 访谈:如何应用多云环境工具 Cloud Discovery

  • 2019-02-28
  • 本文字数:2736 字

    阅读完需:约 9 分钟

InfoQ访谈:如何应用多云环境工具Cloud Discovery

Cloud Discovery是 Twistlock 提供的一个开源工具。它能连接到云供应商并获取一个清单,其中包含已部署的全部基础设施资源。Cloud Discovery 用聚合的方式收集和报告资源的元数据。此外,提高了跨环境可见性后,可以识别出应用程序的安全漏洞,例如哪些资源缺少防火墙规则。


Cloud Discovery是 Twistlock 提供的一个开源工具。它能连接到云供应商并获取一个清单,其中包含已部署的全部基础设施资源。Cloud Discovery 用聚合的方式收集和报告资源的元数据。


借助 Cloud Discovery,用户不用再搜寻不同云供应商的控制台,手动地遍历所有服务页面(比如像 AWS EC2 或 Azure 虚拟机),然后导出数据并在电子表格中重新校对。 此外,提高了跨环境可见性后,可以识别出应用程序的安全漏洞,例如哪些资源缺少防火墙规则。举例来讲,在 CI/CD 管道中增加云资源后,你可以使用 Cloud Discovery 执行安全检查,然后在新的更改生效前自动告警或者应用程序补丁。 无论应用程序部署在 AWS、Azure 还是 Google Cloud Platform,Cloud Discovery 仅需要只读权限就可以收集必要的信息。


除了能发现云供应商提供的服务外,Cloud Discovery 还可以识别“自安装”的云原生组件,例如 EC2 实例上的 Docker 注册表或者由用户管理的 Kubernetes API 服务器。 然后,借助收集到的数据,它能识别出群集上那些薄弱的安全设置,例如公开可访问的 SSH。


为了进一步了解案例以及如何使用 Cloud Discovery,InfoQ 最近与 Twistlock 首席架构师Liron Levin进行了一次交流。


InfoQ:为什么要选择 Cloud Discovery 来获取已部署资源的清单,而不用云供应商的原生度量工具?


Liron Levin:如今,云供应商正以惊人的速度推出新服务,开发人员也很乐于尝试它们。 这两个趋势引发了一场完美的“风暴”,让组织无法准确知道哪些服务正在部署、部署在哪个云供应商或云区域,以及有哪些具体权限。 我们希望使所有组织都能快速、轻松地了解已部署的服务以及部署在哪里,让他们知道云原生服务快速发展导致的“未知的未知”。

Cloud Discovery 能让组织提高跨云可见性,进而着手保护这些资源,无论是 PaaS 还是 IaaS 资源。 缺少安全保护措施的服务越多,组织就越容易受到攻击和威胁。 借助 Cloud Discovery,组织能即刻获取部署在不同公有云上的云工件的完整清单,并能了解哪些工件有安全保护,哪些没有。


InfoQ:在多云环境中,如何快速上手使用 Cloud Discovery?在哪里以及如何部署它?


Levin:Cloud Discovery 能在容器中作为独立服务运行。例如,你可以运行以下命令来启动一个容器:


docker run -d --name cloud-discovery --restart = always \ -e BASIC_AUTH_USERNAME = admin -e BASIC_AUTH_PASSWORD = pass -e PORT = 9083 -p 9083:9083 twistlock / cloud-discover
复制代码


然后,要扫描并列出所有部署在 AWS 上的资产,你可以使用以下 API 向 Cloud Discovery 发送查询请求:


 curl -k -v -u admin:pass --raw --data \'{"credentials": [{"id":"<AWS_ACCESS_KEY>","secret":"<AWS_ACCESS_PASSWORD>"}]}' \https://localhost:9083/discover\
复制代码


或者,如果想从 GCP 获取相同的信息,你可以使用以下调用:


SERVICE_ACCOUNT=$(cat <service_account_secret> | base64 | tr -d '\n')curl -k -v -u admin:pass --raw --data '{"credentials": [{"secret":"'${SERVICE_ACCOUNT}'", "provider":"gcp"}]}' https://localhost:9083/discover?format=json
复制代码


目前我们正在为 Azure 添加支持。


InfoQ:如何将 Cloud Discovery 与其它工具集成?


Levin:我们在构建 Cloud Discovery 的过程中,把互操作性和易集成性当作重点。我们遵循 Unix“只做一件事情,并把它做好“的理念进行设计,使它能抽取你所有的云原生服务的元数据,并以开放的标准 JSON 格式返回,无论这些服务部署在哪个云供应商、云帐户或云区域。 有许多对 JSON 支持良好的工具,这让监控、告警和变化追踪变得很简单。已经有人使用 Cloud Discovery 向审计人员提供报告,与他们的 SIEM 集成并对新部署的流氓服务发出告警,甚至用它帮助识别在云上的花费是否存在潜在的浪费。

因此,如果一个组织正在使用的监控技术栈支持 JSON,则可以使用集成 API 来获取 JSON 格式的响应,并在所选工具中展示这些数据。 实际上,你可以编写一个应用程序,使用 Cloud Discovery 定时接收数据更新,然后通过相关的 API 更新监控和告警工具。


InfoQ:您能举例说明如何集成 Cloud Discovery 吗?告警可配置吗?


Levin:例如,用户可以在自己的环境中使用 Cloud Discovery 每天执行端口扫描命令,如下所示:


curl -k -v -u admin:pass --raw --data '{"subnet":"172.17.0.1", "debug": true}' [](https://localhost:9083/nmap)
复制代码


上面的调用生成的输出如下图所示:


在这个例子中,你能很快判断出有人配置了一个注册表和一个 MongoDB 实例,但它们都不安全,因为其未经授权。

然后,这些 JSON 数据会被发送到告警系统,并进入预定义的调度流程。接着,系统会向相关人员会发送告警通知,让他们知道有不安全的或这不应该存在的资产。


InfoQ:Cloud Discovery 的路线图是什么?


Levin:Cloud Discovery 已经支持三大主要的云供应商(AWS,GCP 和 Azure),但我们希望在不久的将来增加对 IBM Cloud 和 Oracle Cloud 的支持。 此外,我们正在为常用的非安全应用添加更多检查,这些应用包括RabbitMQRedisPostgresWordpress(暴力破解支持)、ElasticsearchKibanaVault(确保配置了 https)和Nats

针对这些非安全应用,我们正在开发第三个增强功能。这个功能可以探测对常用密码的暴力破解。 它包括更多的暴力破解探测检查,既能检查预定义的用户名和密码,也能检查自定义密码列表。


InfoQ:Cloud Discovery 是 Twistlock 的首次独立贡献。但是您之前一直活跃在开源社区,对吗?


Levin:是的,我们的团队构建了 Docker 的授权框架。OpenShift、Open Policy Agent 和 Docker Swarm 的第三方可插拔敏感数据后端使用了该框架。 我们还为 Kubernetes CIS 基准做出了贡献。 我们的首席技术官 John Morello 与他人共同撰写了NIST SP 800-190,即容器安全指南。我们的研究机构Twistlock Labs发现并公开披露了 14 个安全漏洞,其CVE ID 已收录到 NVD。 因此, 除了开源贡献,我们的团队还为改善整个云原生生态系统的容器安全性做出了重大贡献。

我们开源贡献的一些具体例子包括Docker的可插拔敏感数据后端Docker授权插件特权容器(privileged containers)与用户的兼容性使用TLS用户信息扩展Docker认证,以及对Docker注册表认证默认行为的更改


你可以从官方GitHub代码库访问基于 Go 语言的源代码,并查看对应不同云供应商的具体实现


查看英文原文https://www.infoq.com/news/2019/02/qa-cloud-discovery-multi-cloud


2019-02-28 13:134917

评论

发布
暂无评论
发现更多内容

WebRTC框架下的实时视频关键路径

fumingwang

第七周学习总结

王锟

ARTS-WEEK7

一周思进

ARTS 打卡计划

47 张图带你 MySQL 进阶!!!

苹果看辽宁体育

MySQL 后端

架构训练营第七周作业

张锐

第7周-作业1

seng man

百度人脸算法“飞速迭代”,多模态活体检测V3.1获银行卡检测中心增强级认证

百度大脑

人工智能 人脸识别 百度大脑

性能测试与优化 和 操作系统与文件系统

满山李子

极客大学架构师训练营

面试官拿System.out.println()考了我半个小时?我傻了

Java小咖秀

面试

架构师第七周作业

傻傻的帅

性能测试和并发压力的关系

王锟

来了,来了,你们要的Nginx教程来了

Java旅途

nginx

如何写出完美的接口:接口规范定义、接口管理工具推荐

xcbeyond

接口规范 接口管理工具 swagger Easy Mock

MinIO 参数解析与限制

耳东@Erdong

配置 Minio

数据湖应用解析:Spark on Elasticsearch一致性问题

华为云开发者联盟

大数据 spark elasticsearch 数据湖 华为云

http请求压测工具

潜默闻雨

手写实现Promise

GKNick

JVM系列之:String,数组和集合类的内存占用大小

程序那些事

Java JVM GC JOL

新手村:MySQL 学习经验、资源的分享

多选参数

MySQL MySQL 高可用 MySQL优化

英特尔唐炯:竞争推动PC行业良性发展,促使英特尔前行

最新动态

BIGO | Likee深度推荐模型的特征工程优化

InfoQ_3597a20b53cc

人工智能

技术​选型的艺术

YourBatman

技术选型 湖北

【一起学系列】之命令模式:封装一个简单Jedis

Kerwin

设计模式 命令模式 Jedis

直播中那几秒延时到底来自哪?

阿里云Edge Plus

CDN 云直播 直播 直播带货

企业架构框架之FEA

冯文辉

企业架构

英特尔唐炯:把最好、最合适的产品带给最需要的消费者

最新动态

手把手教你写数独计算器(1)

一直AC一直爽

c++ 算法 数独

MinIO 分布式集群搭建

耳东@Erdong

Minio cluster Minio 集群

秒懂云通信:选云通信到底哪家强?

阿里云Edge Plus

云通信 通信云

【小白学YOLO】YOLOv3网络结构细致解析

华为云开发者联盟

人工智能 网络 物体检测 华为云 网络层

计算机网络基础(八)---网络层-路由概述

书旅

计算机网络 网络协议 计算机基础 AS

InfoQ访谈:如何应用多云环境工具Cloud Discovery_服务革新_Christian Melendez_InfoQ精选文章