| name | cloud-security-audit |
| description | 云安全审计的专业技能和方法论 |
| version | 1.0.0 |
云安全审计
概述
云安全审计是评估云环境安全性的重要环节。本技能提供云安全审计的方法、工具和最佳实践,涵盖AWS、Azure、GCP等主流云平台。
审计范围
1. 身份和访问管理
检查项目:
2. 网络安全
检查项目:
3. 数据安全
检查项目:
4. 合规性
检查项目:
AWS安全审计
IAM审计
检查IAM策略:
aws iam list-users
aws iam list-policies
aws iam list-user-policies --user-name username
aws iam list-attached-user-policies --user-name username
aws iam list-role-policies --role-name rolename
常见问题:
- 过度权限
- 未使用的访问密钥
- 密码策略弱
- MFA未启用
S3安全审计
检查S3存储桶:
aws s3 ls
aws s3api get-bucket-policy --bucket bucketname
aws s3api get-bucket-acl --bucket bucketname
aws s3api get-bucket-encryption --bucket bucketname
常见问题:
安全组审计
检查安全组:
aws ec2 describe-security-groups
aws ec2 describe-security-groups --group-ids sg-xxx
常见问题:
- 0.0.0.0/0开放
- 不必要的端口开放
- 规则过于宽松
CloudTrail审计
检查审计日志:
aws cloudtrail describe-trails
aws cloudtrail get-trail-status --name trailname
Azure安全审计
订阅和资源组
检查订阅:
az account list
az group list
网络安全组
检查NSG:
az network nsg list
az network nsg rule list --nsg-name nsgname --resource-group rgname
存储账户
检查存储账户:
az storage account list
az storage account show --name accountname --resource-group rgname
GCP安全审计
项目和组织
检查项目:
gcloud projects list
gcloud projects get-iam-policy project-id
计算引擎
检查实例:
gcloud compute instances list
gcloud compute firewall-rules list
存储
检查存储桶:
gsutil ls
gsutil iam get gs://bucketname
自动化工具
Scout Suite
scout aws
scout azure
scout gcp
Prowler
prowler -c check11,check12,check13
prowler
CloudSploit
cloudsploit scan aws
cloudsploit scan azure
Pacu
pacu
审计清单
IAM安全
网络安全
数据安全
合规性
常见安全问题
1. 过度权限
问题:
- IAM策略过于宽松
- 用户拥有管理员权限
- 角色权限过大
修复:
2. 公开资源
问题:
- S3存储桶公开
- 安全组开放0.0.0.0/0
- 数据库公开访问
修复:
3. 未加密数据
问题:
修复:
4. 日志缺失
问题:
修复:
- 启用CloudTrail/Azure Monitor
- 设置日志保留策略
- 配置监控告警
最佳实践
1. 最小权限
2. 多层防护
3. 监控和告警
4. 合规性
注意事项