10 herramientas de código abierto para la seguridad de nube

Los proveedores de la nube como AWS, Microsoft y Google ofrecen conjuntos de herramientas de seguridad nativas. Estas herramientas son ciertamente útiles, pero no pueden ser todo para todos.

A medida que avanza el desarrollo de la nube, es común que los equipos de TI encuentren lagunas en su capacidad para desarrollar y administrar de manera segura las cargas de trabajo en estas plataformas. En última instancia, es responsabilidad del usuario llenar estos vacíos. Aquí es donde las herramientas de seguridad en la nube de código abierto suelen ser útiles.

Las herramientas populares de seguridad en la nube de código abierto a menudo se desarrollan en empresas que tienen grandes equipos de TI con una amplia experiencia en la nube, como Netflix, Capital One y Lyft. Los equipos comienzan estas iniciativas para abordar necesidades específicas que no están cubiertas por las herramientas y servicios existentes y, en última instancia hacer el software de código abierto suponiendo que también podría beneficiar a otras organizaciones.

Esta no es una lista exhaustiva, pero es un buen lugar para comenzar si desea conocer las herramientas de seguridad de nube de código abierto más populares en GitHub. Muchas de ellas funcionan en diferentes entornos de nube, mientras que otras están diseñadas específicamente para trabajar con AWS, que sigue siendo la nube pública más utilizada. Consulte estas herramientas de seguridad para obtener visibilidad, pruebas proactivas y respuesta a incidentes.

Cloud Custodian. Cloud Custodian es un motor de reglas sin estado utilizado para administrar entornos AWS, Microsoft Azure y Google Cloud Platform (GCP). Consolida muchos de los scripts de cumplimiento que las organizaciones usan en una sola herramienta, con informes y métricas unificadas. Con Cloud Custodian, puede establecer reglas que verifiquen el entorno con los estándares de seguridad y cumplimiento, así como las pautas de optimización de costos.

Las políticas de Cloud Custodian, escritas en YAML, expresan el tipo y el conjunto de recursos para verificar, así como también qué acciones tomar sobre estos recursos. Por ejemplo, puede establecer una política que permita el cifrado de bucket en todos los buckets de Amazon S3. Puede vincular Cloud Custodian con servicios en la nube nativos y tiempos de ejecución sin servidor para resolver automáticamente las políticas.

Cloud Custodian fue desarrollado originalmente y hecho de código abierto por el ingeniero de software Kapil Thangavelu en Capital One.

Cartography. La cartografía crea mapas de infraestructura. Esta herramienta gráfica automatizada ilustra visualmente cómo están conectados sus activos de infraestructura en la nube. Esto puede mejorar la visibilidad de seguridad en todo su equipo. Use esta herramienta para generar informes de activos, resaltar posibles rutas de ataque e identificar áreas para mejorar la seguridad.

Cartography fue desarrollada en Python por ingenieros de Lyft y se ejecuta en una base de datos Neo4j. Admite múltiples servicios en AWS, Google Cloud Platform y G Suite.

Diffy. Diffy es una herramienta de clasificación para análisis forense digital y respuesta a incidentes (DFIR). Cuando su entorno ha sido atacado o comprometido, es el trabajo de su equipo de DFIR barrer sus recursos por cualquier cosa que el atacante haya dejado atrás. Este puede ser un proceso manual tedioso. Diffy proporciona un motor de diferenciación, que destaca valores atípicos en instancias, máquinas virtuales y otros comportamientos de recursos. Diffy le dirá al equipo de DFIR qué recursos se comportan de manera extraña para ayudar a identificar dónde eliminar a los atacantes.

Diffy se encuentra en una etapa temprana de desarrollo y atiende principalmente instancias de Linux en AWS, pero su estructura de complemento podría admitir varias nubes. Diffy está escrito en Python y fue creado por el Equipo de Inteligencia y Respuesta de Seguridad de Netflix.

Gitleaks. Gitleaks es una herramienta de prueba de seguridad de aplicaciones estáticas que escanea sus repositorios de Git en busca de secretos, claves API y tokens. A medida que seguridad de TI se ha desplazado hacia la izquierda con DevSecOps, los desarrolladores deben probar el código antes en la secuencia de desarrollo. Gitleaks puede escanear repositorios Git privados y de toda la organización en busca de secretos comprometidos y no comprometidos e incluye informes JSON y CSV.

Gitleaks está escrito en Go y mantenido por Zachary Rice, un ingeniero de software de GitLab.

Git-secrets. Git-secrets es una herramienta de seguridad de desarrollo que le impide incluir secretos y otra información confidencial en su repositorio de Git. Analiza las confirmaciones y los mensajes de confirmación y rechaza los que coincidan con uno de sus patrones de expresiones prohibidas preconfigurados.

Git-secrets está diseñado para su uso en AWS. Fue creado por AWS Labs, que continúa manteniendo el proyecto.

OSSEC. OSSEC es una plataforma de seguridad que combina detección de intrusos basada en host, monitoreo de registros e información de seguridad y gestión de eventos. Originalmente desarrollado para la seguridad local, también puede usarlo en máquinas virtuales basadas en la nube.

Uno de los beneficios de la plataforma es su versatilidad. Funciona en entornos AWS, Azure y GCP. También es compatible con múltiples sistemas operativos, como Linux, Windows, Mac OS X y Solaris. OSSEC proporciona un servidor de administración centralizado para monitorear las políticas en todas las plataformas, así como el monitoreo de agentes y sin agentes.

Algunas características clave de OSSEC incluyen:

• Comprobación de integridad de archivos, que le alerta cuando cambia un archivo o directorio en su sistema.
• Monitoreo de registros, que recopila y analiza todos los registros de su sistema y alerta sobre cualquier actividad sospechosa.
• Detección de rootkits, que le notifica cuando su sistema experimenta una modificación similar a rootkit.
• Respuesta activa, que permite a OSSEC tomar medidas inmediatas cuando se detectan intrusiones específicas.

OSSEC es mantenido por la Fundación OSSEC.

PacBot. PacBot, también conocido como Policy as Code Bot, es una plataforma de monitoreo de cumplimiento. Implementa sus políticas de cumplimiento como código, y PacBot compara sus recursos y activos con esas políticas. Puede usar PacBot para crear automáticamente informes de cumplimiento y resolver infracciones de cumplimiento con correcciones predefinidas.

Use la función Grupo de activos para organizar sus recursos dentro del panel de control de la interfaz de usuario de PacBot, según ciertos criterios. Por ejemplo, puede agrupar todas sus instancias de Amazon EC2 por estado, como pendiente, en ejecución o apagado, y verlas juntas. También puede limitar el alcance de una acción de supervisión a un grupo de activos, para un cumplimiento más específico.

PacBot fue creado por T-Mobile, que continúa manteniéndolo. Se puede usar con AWS y Azure.

Pacu. Pacu es un kit de herramientas de prueba de penetración para entornos de AWS. Proporciona a un equipo rojo una serie de módulos de ataque que tienen como objetivo comprometer las instancias de EC2, probar configuraciones de cubetas S3, interrumpir las capacidades de monitoreo y más. El kit de herramientas actualmente tiene 36 módulos de complementos e incluye auditoría de ataque incorporada para fines de documentación y cronograma de prueba.

Pacu está escrito en Python y mantenido por Rhino Security Labs, un proveedor de pruebas de penetración.

Prowler. Prowler es una herramienta de línea de comandos de AWS que evalúa su infraestructura en comparación con los puntos de referencia de AWS Center for Internet Security, así como las comprobaciones de GDPR y HIPAA. Puede verificar toda su infraestructura o especificar un perfil o región de AWS para revisar. Prowler puede ejecutar múltiples revisiones simultáneamente y presentar informes en formatos estándar como CSV, JSON y HTML. También se integra con AWS Security Hub.

Prowler fue creado por Toni de la Fuente, un consultor de seguridad de AWS que aún mantiene el proyecto.

Security Monkey. Security Monkey es una herramienta de monitoreo que vigila los cambios en las políticas y las configuraciones vulnerables en los entornos AWS, GCP y OpenStack. En AWS, por ejemplo, Security Monkey le alerta cuando se agrega o elimina un grupo S3 o grupo de seguridad, y realiza un seguimiento de sus claves de AWS Identity and Access Management, entre muchas otras tareas de monitoreo.

Security Monkey fue desarrollado por Netflix, aunque su soporte para la herramienta ahora se limita a pequeñas correcciones de errores. Las alternativas de proveedor son AWS Config y Google Cloud Asset Inventory.