发布在即!企业 AIGC 应用程度测评,3 步定制专属评估报告。抢首批测评权益>>> 了解详情
写点什么

InfoQ 访谈:如何应用多云环境工具 Cloud Discovery

  • 2019-02-28
  • 本文字数:2736 字

    阅读完需:约 9 分钟

InfoQ访谈:如何应用多云环境工具Cloud Discovery

Cloud Discovery是 Twistlock 提供的一个开源工具。它能连接到云供应商并获取一个清单,其中包含已部署的全部基础设施资源。Cloud Discovery 用聚合的方式收集和报告资源的元数据。此外,提高了跨环境可见性后,可以识别出应用程序的安全漏洞,例如哪些资源缺少防火墙规则。


Cloud Discovery是 Twistlock 提供的一个开源工具。它能连接到云供应商并获取一个清单,其中包含已部署的全部基础设施资源。Cloud Discovery 用聚合的方式收集和报告资源的元数据。


借助 Cloud Discovery,用户不用再搜寻不同云供应商的控制台,手动地遍历所有服务页面(比如像 AWS EC2 或 Azure 虚拟机),然后导出数据并在电子表格中重新校对。 此外,提高了跨环境可见性后,可以识别出应用程序的安全漏洞,例如哪些资源缺少防火墙规则。举例来讲,在 CI/CD 管道中增加云资源后,你可以使用 Cloud Discovery 执行安全检查,然后在新的更改生效前自动告警或者应用程序补丁。 无论应用程序部署在 AWS、Azure 还是 Google Cloud Platform,Cloud Discovery 仅需要只读权限就可以收集必要的信息。


除了能发现云供应商提供的服务外,Cloud Discovery 还可以识别“自安装”的云原生组件,例如 EC2 实例上的 Docker 注册表或者由用户管理的 Kubernetes API 服务器。 然后,借助收集到的数据,它能识别出群集上那些薄弱的安全设置,例如公开可访问的 SSH。


为了进一步了解案例以及如何使用 Cloud Discovery,InfoQ 最近与 Twistlock 首席架构师Liron Levin进行了一次交流。


InfoQ:为什么要选择 Cloud Discovery 来获取已部署资源的清单,而不用云供应商的原生度量工具?


Liron Levin:如今,云供应商正以惊人的速度推出新服务,开发人员也很乐于尝试它们。 这两个趋势引发了一场完美的“风暴”,让组织无法准确知道哪些服务正在部署、部署在哪个云供应商或云区域,以及有哪些具体权限。 我们希望使所有组织都能快速、轻松地了解已部署的服务以及部署在哪里,让他们知道云原生服务快速发展导致的“未知的未知”。

Cloud Discovery 能让组织提高跨云可见性,进而着手保护这些资源,无论是 PaaS 还是 IaaS 资源。 缺少安全保护措施的服务越多,组织就越容易受到攻击和威胁。 借助 Cloud Discovery,组织能即刻获取部署在不同公有云上的云工件的完整清单,并能了解哪些工件有安全保护,哪些没有。


InfoQ:在多云环境中,如何快速上手使用 Cloud Discovery?在哪里以及如何部署它?


Levin:Cloud Discovery 能在容器中作为独立服务运行。例如,你可以运行以下命令来启动一个容器:


docker run -d --name cloud-discovery --restart = always \ -e BASIC_AUTH_USERNAME = admin -e BASIC_AUTH_PASSWORD = pass -e PORT = 9083 -p 9083:9083 twistlock / cloud-discover
复制代码


然后,要扫描并列出所有部署在 AWS 上的资产,你可以使用以下 API 向 Cloud Discovery 发送查询请求:


 curl -k -v -u admin:pass --raw --data \'{"credentials": [{"id":"<AWS_ACCESS_KEY>","secret":"<AWS_ACCESS_PASSWORD>"}]}' \https://localhost:9083/discover\
复制代码


或者,如果想从 GCP 获取相同的信息,你可以使用以下调用:


SERVICE_ACCOUNT=$(cat <service_account_secret> | base64 | tr -d '\n')curl -k -v -u admin:pass --raw --data '{"credentials": [{"secret":"'${SERVICE_ACCOUNT}'", "provider":"gcp"}]}' https://localhost:9083/discover?format=json
复制代码


目前我们正在为 Azure 添加支持。


InfoQ:如何将 Cloud Discovery 与其它工具集成?


Levin:我们在构建 Cloud Discovery 的过程中,把互操作性和易集成性当作重点。我们遵循 Unix“只做一件事情,并把它做好“的理念进行设计,使它能抽取你所有的云原生服务的元数据,并以开放的标准 JSON 格式返回,无论这些服务部署在哪个云供应商、云帐户或云区域。 有许多对 JSON 支持良好的工具,这让监控、告警和变化追踪变得很简单。已经有人使用 Cloud Discovery 向审计人员提供报告,与他们的 SIEM 集成并对新部署的流氓服务发出告警,甚至用它帮助识别在云上的花费是否存在潜在的浪费。

因此,如果一个组织正在使用的监控技术栈支持 JSON,则可以使用集成 API 来获取 JSON 格式的响应,并在所选工具中展示这些数据。 实际上,你可以编写一个应用程序,使用 Cloud Discovery 定时接收数据更新,然后通过相关的 API 更新监控和告警工具。


InfoQ:您能举例说明如何集成 Cloud Discovery 吗?告警可配置吗?


Levin:例如,用户可以在自己的环境中使用 Cloud Discovery 每天执行端口扫描命令,如下所示:


curl -k -v -u admin:pass --raw --data '{"subnet":"172.17.0.1", "debug": true}' [](https://localhost:9083/nmap)
复制代码


上面的调用生成的输出如下图所示:


在这个例子中,你能很快判断出有人配置了一个注册表和一个 MongoDB 实例,但它们都不安全,因为其未经授权。

然后,这些 JSON 数据会被发送到告警系统,并进入预定义的调度流程。接着,系统会向相关人员会发送告警通知,让他们知道有不安全的或这不应该存在的资产。


InfoQ:Cloud Discovery 的路线图是什么?


Levin:Cloud Discovery 已经支持三大主要的云供应商(AWS,GCP 和 Azure),但我们希望在不久的将来增加对 IBM Cloud 和 Oracle Cloud 的支持。 此外,我们正在为常用的非安全应用添加更多检查,这些应用包括RabbitMQRedisPostgresWordpress(暴力破解支持)、ElasticsearchKibanaVault(确保配置了 https)和Nats

针对这些非安全应用,我们正在开发第三个增强功能。这个功能可以探测对常用密码的暴力破解。 它包括更多的暴力破解探测检查,既能检查预定义的用户名和密码,也能检查自定义密码列表。


InfoQ:Cloud Discovery 是 Twistlock 的首次独立贡献。但是您之前一直活跃在开源社区,对吗?


Levin:是的,我们的团队构建了 Docker 的授权框架。OpenShift、Open Policy Agent 和 Docker Swarm 的第三方可插拔敏感数据后端使用了该框架。 我们还为 Kubernetes CIS 基准做出了贡献。 我们的首席技术官 John Morello 与他人共同撰写了NIST SP 800-190,即容器安全指南。我们的研究机构Twistlock Labs发现并公开披露了 14 个安全漏洞,其CVE ID 已收录到 NVD。 因此, 除了开源贡献,我们的团队还为改善整个云原生生态系统的容器安全性做出了重大贡献。

我们开源贡献的一些具体例子包括Docker的可插拔敏感数据后端Docker授权插件特权容器(privileged containers)与用户的兼容性使用TLS用户信息扩展Docker认证,以及对Docker注册表认证默认行为的更改


你可以从官方GitHub代码库访问基于 Go 语言的源代码,并查看对应不同云供应商的具体实现


查看英文原文https://www.infoq.com/news/2019/02/qa-cloud-discovery-multi-cloud


2019-02-28 13:134834

评论

发布
暂无评论
发现更多内容

业务方还在钉钉群里问来问去吗?《线上故障通知流程指引与落地实施》

穿甲兵

产品经理第0期训练营作业(第一周)

Heracles

产品经理训练营

同舟共“冀”,共克“石”艰

浪潮云

疫情

产品新人基本性格要求

嫉妒的耗子

产品经理

成长篇-程序员修炼之道笔记(完整版)

小诚信驿站

程序员 刘晓成 小诚信驿站 架构师之道 28天写作

混合云一站式运维监控--滴滴夜莺

滴滴云

产品训练营--第一期作业

曦语

产品手记--1

曦语

干货提炼|视觉小目标检测模型难点分析与突破

百度大脑

7年沉淀之作--滴滴Logi日志服务套件

滴滴云

《价值》- 时间的价值(5)

石云升

读书笔记 时间 28天写作 价值

说说 Ruby 与 Serverless

donghui

ruby Serverless

产品经理训练营Week1学习心得

Mai

使用内存NewSQL数据平台来处理实时数据流的三个好处

VoltDB

Apache 数据库 sql VoltDB

我心仪的产品经理岗位

June

产品经理训练营

Obsuite:混合云可观测性中台

滴滴云

Spring Boot 事务配置管理

武哥聊编程

Java 事务 springboot SpringBoot 2 28天写作

极客时间产品经理训练营第一次作业

待注册

极客大学产品经理训练营

四面字节跳动(已拿下1-2级offer):算法+JVM+线程池+数据库+spring+项目

Java 程序员 面试 科技

Prometheus 与 nodata 告警

OpsMind

Prometheus CMDB PromQL

许蕊对产品经理岗位的理解

许小仙

产品经理 极客大学认识产品经理

第一次作业

yoki

SRE和Devops 的相同与不同

techboy

GoF23 中的对象创建模式!

鲁米

Java 设计模式 创建型

python+selenium方法大全

测试人生路

软件测试

从大循环到双循环的宏观背景

JiangX

政策 28天写作 宏观环境 双循环

数据产品经理公司要求对比分析

🙈🙈🙈

极客大学产品经理训练营

作业-第一周

eva

Job Model

第一周总结

yoki

警惕!incaseformat蠕虫病毒来袭,23日还将爆发!

浪潮云

病毒云查杀

凭借“Java涨薪秘籍”成功入职蚂蚁金服!2021锤爆40K月薪 你值得拥有!

比伯

Java 编程 程序员 架构 面试

InfoQ访谈:如何应用多云环境工具Cloud Discovery_服务革新_Christian Melendez_InfoQ精选文章