对云安全的检测中,最重要的一个组成部分就是对配置的验证,今天来介绍一个开源的规则检测引擎项目,Cloud Custodian。一、Cloud Custodian 是什么Cloud Custodian 是用于管理公有云帐户和资源的规则引擎。规则策略用简单的 YAML 格式,使用户能够指定资源类型(EC2、ASG、Redshift、CosmosDB、PubSub 主题)的策略,并由过滤器和操作的词汇表构建。官方的 Cloud Custodian 可用于管理 AWS、Azure 和 GCP 环境,我们在此基础上新增了阿里云、华为云、腾讯云、火山云、金山云、百度云、青云、七牛云、UCloud、OpenStack、VMware vSphere等。二、Cloud Custodian 项目结构 Custodian 特征对公共云服务和资源的全面支持,具有丰富的操作和过滤器库,可用于构建策略。支持对具有嵌套布尔条件的资源进行任意过滤。试运行任何政策,看看它会做什么。自动配置无服务器函数和事件源(AWS CloudWatchEvents、AWS Config Rules、Azure EventGrid、GCP AuditLog 和 Pub/Sub 等)与策略匹配的资源上的云提供商本机指标输出将结构化输出到云原生对象存储中,其资源与策略相匹配。智能缓存使用以最小化 api 调用。支持多账户/订阅/项目使用。经过实战测试 - 在一些非常大的云环境中进行生产。三、Cloud Custodian 快速安装$ python3 -m venv custodian $ source custodian/bin/activate (custodian) $ pip install c7n (custodian) $ pip install -e tools/c7n_aliyun (custodian) $ pip install -e tools/c7n_huawei (custodian) $ pip install -e tools/c7n_tencent (custodian) $ pip install -e tools/c7n_baidu四、Cloud Custodian 用法 使用 Cloud Custodian 的第一步是编写包含您要运行的策略的 YAML 文件。每个策略指定策略将运行的资源类型,一组控制资源将受此策略影响的过滤器,策略对匹配资源采取的操作,以及控制策略执行方式的模式。 最好的入门指南是云提供商特定的教程。 作为快速浏览,下面是 AWS 资源的一些示例策略将强制所有 S3 存储桶都没有启用跨账户访问。将终止任何新启动的没有加密 EBS 卷的 EC2 实例。将在四天内停止任何没有跟随标签"Environment"、"AppId"和"OwnerContact"或"DeptID"的 EC2 实例。policies: - name: s3-cross-account description: | Checks S3 for buckets with cross-account access and removes the cross-account access. resource: aws.s3 region: us-east-1 filters: - type: cross-account actions: - type: remove-statements statement_ids: matched - name: ec2-require-non-public-and-encrypted-volumes resource: aws.ec2 description: | Provision a lambda and cloud watch event target that looks at all new instances and terminates those with unencrypted volumes. mode: type: cloudtrail role: CloudCustodian-QuickStart events: - RunInstances filters: - type: ebs key: Encrypted value: false actions: - terminate - name: tag-compliance resource: aws.ec2 description: | Schedule a resource that does not meet tag compliance policies to be stopped in four days. Note a separate policy using the`marked-for-op` filter is required to actually stop the instances after four days. filters: - State.Name: running - "tag:Environment": absent - "tag:AppId": absent - or: - "tag:OwnerContact": absent - "tag:DeptID": absent actions: - type: mark-for-op op: stop days: 4 您可以使用以下命令使用示例策略验证、测试和运行 Cloud Custodian# Validate the configuration (note this happens by default on run) $ custodian validate policy.yml # Dryrun on the policies (no actions executed) to see what resources # match each policy. $ custodian run --dryrun -s out policy.yml # Run the policy $ custodian run -s out policy.yml 您也可以通过 Docker 运行 Cloud Custodian# Download the image $ docker pull cloudcustodian/c7n $ mkdir output # Run the policy # # This will run the policy using only the environment variables for authentication $ docker run -it -v $(pwd)/output:/home/custodian/output -v $(pwd)/policy.yml:/home/custodian/policy.yml --env-file <(env | grep "^AWS|^AZURE|^GOOGLE") cloudcustodian/c7n run -v -s /home/custodian/output /home/custodian/policy.yml # Run the policy (using AWS"s generated credentials from STS) # # NOTE: We mount the ``.aws/credentials`` and ``.aws/config`` directories to # the docker container to support authentication to AWS using the same credentials # credentials that are available to the local user if authenticating with STS. $ docker run -it -v $(pwd)/output:/home/custodian/output -v $(pwd)/policy.yml:/home/custodian/policy.yml -v $(cd ~ && pwd)/.aws/credentials:/home/custodian/.aws/credentials -v $(cd ~ && pwd)/.aws/config:/home/custodian/.aws/config --env-file <(env | grep "^AWS") cloudcustodian/c7n run -v -s /home/custodian/output /home/custodian/policy.yml五、项目地址Github 项目地址:https://github.com/hummerrisk/cloud-custodian/tree/hummerriskCloud Custodian 官方文档:https://cloudcustodian.io/docs/index.html HummerRisk 对 Cloud Custodian的操作进行可视化的处理,更加的便捷和简单,并且增强了多个方面的能力,如果想体验相关的能力,我们建议直接入手HummerRisk 。关于HummerRisk HummerRisk 是开源的云原生安全平台,以非侵入的方式解决云原生的安全和治理问题,核心能力包括混合云的安全治理和K8S容器云安全检测。
三年诉讼时效的意思是借了钱,三年不还,就不用还了吗?应该怎么理解?诉讼时效可以中止中断,即使过了诉讼时效也并不意味着就不用还了。债权人仍然可以将债务人告上法庭,法官并不会主动适用诉讼时效条款,一般只有债务人明确提出诉讼时效抗辩,经法院查证属实,法为什么有人说给死人化妆要不停的说话?是因为害怕吗?你要知道,生老病死每个人都明白,但是真正面对死亡的时候,又有几个人能真正平静,就算是其他人死了你看到了,也会产生一种悲凉感,严重一点的就是产生恐惧害怕,殡仪馆工作的人害怕吗,其实刚临沂市东城新区和西部新城未来哪个更有潜力?感觉临沂市区现在是四面发力!说说我最近我到过的地方,西城区域一直到方城社区,城建已经连成片正在发力搞项目,城建很快就和费县县城连成一片了,详细的就不说了,河东东城两河时代一直到沭河如果上海滩再次翻拍,你希望谁是男主?那就请朱之文来演,他很期待,平时也喜欢那样的打扮,如果是他,肯定也一炮而红,奇才难得。说到上海滩这部剧,对于那些8090年代的人来说,都不陌生的吧,这个片子可以称之为经典之作了,主全运会乒乓球女团王曼昱3比0战胜陈梦,如何看待双方的表现?全运会乒乓球女团黑龙江对阵山东的比赛中,两个队的一姐之拼王曼昱以30横扫了新科奥运女单冠军陈梦,可以说爆了一个不大不小的冷门!有球迷说,陈梦与王曼昱的实力在伯仲之间,谁输谁赢都正常女排新晋一姐,带队强势逆转赢球后,张常宁为何会抱住丁霞痛哭?怎么回事,张常宁带领江苏队逆转天津队后抱辽宁队的丁霞痛苦?是真的吗?是不是这样东奥小组赛丁霞不在状态如果当时刁琳宇能和张常宁有今天这样的默契。女排可以再走的更远。江苏青年女排31胜为什么红米手机性价比高,但是使用起来跟小米还是有很大差距?感谢邀请为什么红米手机性价比高,但是使用起来跟小米还是有很大差距?实际我们要知道的是手机除了配置之外,还要看实际的优化,另外我们还要注意一些细节,因为我们知道随着手机配置的提升边际已退和正办理社保退休人员都不知道工资额度如何计发你知道吗?这个其实是非常复杂的,绝大多数人根本不懂得怎么计算这些,因为里面涉及到的方面超出绝大多数人的理解,最终绝大多数人都只是发多少领多少,至于怎么算,自己为什么拿那么多钱,这些基本上都不信用卡逾期了,如何申请银行的个性化分期还款?14张信用卡,合计信用额度30多万,全部逾期快2年。前几天,终于统计了所有的账单,主动打电话给每家银行,开始协商分期还款的方案。说实话,负债会压得人喘不过气来,尤其是现在还在苦苦挣你试过开车超过150码吗,这是一种什么体验?首先,先要纠正一下问题的150码。用码说速度都说明这样的人很无知,但又很想洋。码是英语Mile的中文不标准翻译。是英制的距离单位,也可用来表示速度。但改革开放几十年来,中国早都实行身高168cm体重110斤,从来没有瘦到过两位数,想瘦到90斤该怎样做?168110的这个身高体重是很标准的,与其想瘦到两位数不如让自己看起来像两位数的身材。是两位数与像两位数两者之间的区别还是特别大的体型上,前者倾向于特别瘦,不会让人觉得身材一级棒后