AlexandrLopes/cloud-engineering-labs
GitHub: AlexandrLopes/cloud-engineering-labs
一个展示 AWS、Terraform、Python 和 DevSecOps 实战技能的云工程作品集,涵盖自动化安全修复、IaC 安全扫描、容器加固和成本优化等多个生产级项目。
Stars: 1 | Forks: 0
# 云工程实验室
[](https://github.com/AlexandrLopes/cloud-engineering-labs/actions/workflows/security-scan.yaml)
欢迎来到我的实战云工程作品集。
本仓库记录了我利用 **AWS**、**Python**、**Terraform** 和 **DevSecOps** 实践解决真实世界基础设施、安全和成本问题的技术旅程。
**自动化、安全、基础设施即代码 和左移安全。**
## DevSecOps & CI/CD 流水线 (最新)
实施 **左移安全** 以在部署前检测漏洞。
| Project | Problem Solved | Tech Stack |
| :--- | :--- | :--- |
| [**自动化安全流水线**](.github/workflows/security-scan.yaml) | **持续安全:** 一个 GitHub Actions 工作流,使用 **Trivy** 自动扫描 IaC (Terraform) 的错误配置和 Docker 镜像的 CVE。如果发现严重漏洞,则阻止构建。 | `GitHub Actions`, `Trivy`, `CI/CD` |
## 安全工程 & SOAR
专注于 **自动化修复** 和 **主动防御** 的高级项目。
| Project | Problem Solved | Tech Stack |
| :--- | :--- | :--- |
| [**安全自动修复机器人**](./security-labs/ec2-auto-remediation) | **SOAR / 主动防御:** 一个 Serverless 机器人,通过 **EventBridge** 检测高风险 Security Group 变更(例如,端口 22 对 0.0.0.0/0 开放),并使用 **Lambda** **立即撤销** 该规则。自动执行零信任策略。 | `Terraform`, `Python`, `EventBridge`, `IAM` |
| [**S3 数据完整性流水线**](./infrastructure/s3-lambda-trigger) | **数据安全:** 事件驱动流水线,验证文件完整性(Magic Bytes/扩展名),处理财务数据,并在 **DynamoDB** 中创建审计日志。使用 **IAM 最小权限** 和服务器端加密。 | `Terraform`, `Lambda`, `DynamoDB`, `S3 Events` |
## 基础设施即代码
配置现代化、版本化和不可变的基础设施。
| Project | What it builds? | Technical Highlights |
| :--- | :--- | :--- |
| [**AWS 生产环境**](./infrastructure/terraform-aws) | 一个包含 **VPC**、**EC2** 和 **S3** 的安全基础设施堆栈。 | **加固:** `IMDSv2`, `EBS Encryption`, `Restricted Security Groups` |
## 架构与实施的最佳实践
专注于可扩展性和团队协作的基础基础设施设计。
| Component | Problem Solved | Tech Stack |
| :--- | :--- | :--- |
| [**模块化网络**](./infrastructure/terraform-aws/modules/network) | **模块化架构:** 基础设施被划分为可重用的 Terraform 模块,以保持根代码整洁、可维护和可扩展。 | `Terraform`, `AWS VPC` |
| [**远程状态后端**](./infrastructure/remote-backend) | **状态管理与锁定:** Terraform 状态 (`.tfstate`) 安全地存储在 S3 中,并由 DynamoDB 管理并发以防止脑裂问题。 | `Terraform`, `S3`, `DynamoDB` |
## Python 自动化 (Boto3)
专注于直接与 AWS SDK 交互的 **SecOps** 和 **FinOps** 脚本。
| Project | Problem Solved | Tech Stack |
| :--- | :--- | :--- |
| [**S3 成本优化器**](./python-automation/s3-cleanup-tool) | **FinOps:** 根据年龄策略识别并清理 S3 存储桶中的旧/未使用文件,以降低存储成本。 | `boto3`, `datetime` |
| [**EC2 安全审计器**](./python-automation/ec2-open-ports) | **报告:** 主动扫描网络中暴露在互联网上的风险开放端口 (22, 3389)。 | `boto3`, `json` |
| [**IAM 安全审计器**](./python-automation/iam-security-auditor) | **身份:** 审计 IAM 用户以检测安全漏洞,如缺少 MFA 或未使用的凭证。 | `boto3`, `csv` |
## 容器化
现代应用部署和隔离的基础。
| Project | Problem Solved | Tech Stack |
| :--- | :--- | :--- |
| [**加固的 Python Web 应用**](./docker-labs/python-web-app) | **应用隔离与安全:** 容器化 Flask 应用以确保环境一致性。包括操作系统补丁并以非 root 用户运行,以降低容器逃逸风险。 | `Docker`, `Python`, `Flask`, `Linux Hardening` |
| [**安全的多阶段构建**](./docker-labs/secure-multistage-build) | **镜像优化与攻击面缩减:** 实施多阶段构建以将构建环境与运行时分离。减小镜像大小并从生产环境中移除系统编译器,消除次级恶意软件执行。 | `Docker`, `Python`, `Multi-stage` |
### 关于我
云工程师 & 自动化与安全爱好者。
* **认证:** AWS Certified Cloud Practitioner (CLF-C02)
* **专注领域:** AWS, Python, Terraform, Security (SecOps), DevSecOps。
* **语言:** English (C2), Portuguese (Native), Spanish (intermediate)。
*本仓库通过本地 CI/CD 维护,由 Trivy 扫描保护,并使用 Git 进行版本控制。*
标签:AWS, CI/CD 安全, DevSecOps, DPI, DynamoDB, ECS, EventBridge, GitHub Actions, IAM 最小权限, JSONLines, Lambda, Python, S3, SOAR, Terraform, Zenmap, 上游代理, 云工程, 安全组, 左移安全, 数据完整性, 数据投毒防御, 无后门, 服务器监控, 漏洞利用检测, 生产级项目, 端口安全, 网络安全, 自动修复, 自动笔记, 请求拦截, 逆向工具, 隐私保护, 零信任