问题标签 [cloud-security]

我的任务是找出市场上可用的云安全工具，以保护我们在云上的应用程序。我们的主要重点是 AWS 和 Azure 云服务

我必须寻找我将尝试与 docker 集成的开源工具。

我尝试了许多应用程序。下面列出了一些：-

• 警报逻辑
• 内苏斯
• AWS 检查员

但是除了 AWS Inspector 之外，它们都是有偿的，每个区域都有限制。我正在寻找任何开源工具，但没有获得任何经过身份验证的源，这些文章引导我使用这些工具或应用程序。

如果有人使用任何此类工具，请分享他们的链接、教程和参考资料。请分享您的建议，这可以帮助我完成我的任务它真的很有帮助

我目前正在使用 ZAP 进行 Web 应用程序安全扫描。

此外，使用 Scout2 和 Prowler 进行云审计以确保基础设施安全。

我正在检查 Telnet 开放端口、nmap、wireshark 的网络安全性。

请分享您认为在您的经验中有用的其他开源工具。它将帮助我识别并尝试使用您已经在使用的工具

提前致谢！！

为什么我需要使用像 Centrify on GCP 这样的安全解决方案？我不能只使用 Google 的 Cloud Identity 吗？

有没有办法阻止用户从特定网络外部登录 GCP 控制台？我似乎找不到任何表明可以或不能做到这一点的东西。如果管理员选择了错误的密码，他/她的凭据被钓鱼等等。有人可能会登录并造成严重破坏。

让我们看这个例子：

我们订阅了云基础设施 (IaaS) 平台。在此之上，我们构建了一个软件应用程序并将其托管在平台上，该平台成为所有最终用户的集中访问点。

现在我们是平台中托管的应用程序的典型管理员/所有者。在这种情况下，是否有任何方法可以拒绝/限制应用程序管理员的数据访问。

这有点远，我正在寻找有关确保只有我公司网络中的设备能够运行谷歌同步工具的建议。我的公司文件/资产必须不能同步到个人设备...

(IE) 我网络上的用户可以简单地转到他们的个人设备，登录 google 或下载 google 文件流（同步），然后运行同步工具。繁荣！他们突然在个人设备上拥有所有公司文件/文件。

减轻或防止这种情况在我的网络中发生的最佳方法是什么？

有没有办法确定我们创建的知识库不容易受到安全威胁？其他人可以闯入现有的知识库并访问我们的内部文档吗？我们很想知道这一点，因此我们需要决定是否继续执行此实施。

无法使用更精细的角色来搜索托管容器注册表帐户 - service-[PROJECT_NUMBER]@containerregistry.iam.gserviceaccount.com。不确定是否有人可以对此有所了解。

当您启用 google 容器注册表 API 时，该服务帐户似乎默认分配有一个原始角色“编辑器”，并且您无法将其更改为更精细的内容，例如 cloudbuild.gserviceaccount.com

谷歌关于 cloudbuild 的文档 https://cloud.google.com/cloud-build/docs/securing-builds/set-service-account-permissions

但关于容器注册表的信息不多 https://cloud.google.com/container-registry/docs/overview

GCR 服务帐户使用我们的合规工具拾取的编辑角色。这对于 GCR 访问权限太大了。

我有几个云函数（在 Python 中）需要一个模块化包auth，其中有一个子文件夹credentials（主要包含 Google 服务帐户文件或 Firebase 配置的 json 文件）。

从安全的角度来看，我显然没有.git通过在文件中添加文件夹来包含这些.gitignore文件（auth/credentials）。

但是，我现在在部署 Google Cloud Function ( .gcloudignore) 时遇到了问题。如果我使用凭据部署它，那么我想这些密钥会暴露在服务器上吗？我怎么能克服这个？

我听说过一些关于环境变量的说法，但我不确定这是否比仅仅部署它更安全？

谷歌的做法是什么？

我正在访问云中的数据库。在他们的“How To”页面中，提到您可以将这些 ca.pem 和 service.key 文件放在本地路径中。

在我的 Spring Boot 项目中，在应用程序属性中，我放了：

我已经使用命令来创建商店，并且可以访问我的远程云数据库。

我的问题是，其他将克隆我的项目的人如何能够在他们的本地机器上成功运行它？

将这些文件嵌入到我的 spring-boot 项目中是一个好习惯吗？