vanhoangkha/cloud-security-audit

# ☁️ 云安全审计工具合集 ## 架构  包含 50 多款开源云安全工具，适用于 AWS、GCP、Azure、Kubernetes 和容器。 ## 📁 结构 ``` ├── aws/ # AWS-specific tools ├── azure/ # Azure-specific tools ├── gcp/ # GCP-specific tools ├── kubernetes/ # Kubernetes security ├── container-security/ # Container scanning ├── iac-security/ # Infrastructure as Code ├── secrets-detection/ # Secret scanning ├── multi-cloud/ # Multi-cloud tools ├── pentesting/ # Cloud pentesting └── docs/ # Cheatsheets & resources ``` ## 🛠️ 包含的工具 ### 多云 (`multi-cloud/`) | 工具 | 描述 | |------|-------------| | **Prowler** | AWS/GCP/Azure 安全评估 | | **ScoutSuite** | 多云安全审计 | | **CloudSploit** | 云安全配置监控 | | **Cloud Custodian** | 用于云管理的规则引擎 | | **Steampipe** | 基于 SQL 的云查询 | ### AWS (`aws/`) | 工具 | 描述 | |------|-------------| | **Pacu** | AWS 漏洞利用框架 | | **Cloudsplaining** | IAM 策略分析 | | **PMapper** | IAM 权限提升路径 | | **CloudMapper** | AWS 环境可视化 | | **Stratus Red Team** | AWS 攻击模拟 | | **SkyArk** | 特权实体发现 | | **aws_consoler** | CLI 转控制台 URL 转换器 | ### Azure (`azure/`) | 工具 | 描述 | |------|-------------| | **Azure-Audit** | 合规性审计脚本 | | **AzureInspect** | PowerShell 审计工具 | | **Stormspotter** | Azure AD 可视化 | | **ROADtools** | Azure AD 探索 | | **MicroBurst** | Azure 安全评估 | | **PowerZure** | Azure 漏洞利用工具包 | ### GCP (`gcp/`) | 工具 | 描述 | |------|-------------| | **GCP-Audit** | CIS Benchmark 脚本 | | **GKE-Auditor** | GKE 安全审计 | | **Gato** | GitHub Actions 安全 | | **GCPBucketBrute** | GCS 存储桶枚举 | ### Kubernetes (`kubernetes/`) | 工具 | 描述 | |------|-------------| | **Trivy** | 漏洞扫描器 | | **Kube-bench** | CIS Kubernetes Benchmark | | **Kubescape** | Kubernetes 安全平台 | | **Falco** | 运行时安全监控 | | **Kubesec** | 安全风险分析 | | **Kube-linter** | 针对 K8s 的静态分析 | | **Popeye** | 集群资源清理器 | ### 容器安全 (`container-security/`) | 工具 | 描述 | |------|-------------| | **Grype** | 漏洞扫描器 | | **Syft** | SBOM 生成器 | | **Dockle** | 容器镜像 Linter | ### IaC 安全 (`iac-security/`) | 工具 | 描述 | |------|-------------| | **Checkov** | 针对 Terraform/CF/K8s 的静态分析 | | **KICS** | 2400+ IaC 查询 | | **Terrascan** | IaC 合规性违规检查 | | **tfsec** | Terraform 静态分析 | ### 密钥检测 (`secrets-detection/`) | 工具 | 描述 | |------|-------------| | **TruffleHog** | 查找泄露的凭据 | | **Gitleaks** | Git 密钥扫描 | ### 渗透测试 (`pentesting/`) | 工具 | 描述 | |------|-------------| | **PEASS-ng** | 权限提升脚本 | | **BloodHound** | AD 攻击路径映射 | ### 文档 (`docs/`) | 资源 | 描述 | |----------|-------------| | **awesome-cloud-sec** | 精选云安全列表 | | **cloud-security-list** | 工具与供应商列表 | | **CloudPentestCheatsheets** | 云渗透测试备忘录 | | **Awesome-Azure-Pentest** | Azure 渗透测试资源 | ## 🚀 快速开始 ### 安装 CLI 工具 ``` # 多云 pip install prowler scoutsuite checkov cloudsplaining # Kubernetes brew install trivy kubescape kube-linter # Container brew install grype syft # Secrets brew install trufflehog gitleaks # AWS pip install pacu pmapper ``` ### 运行扫描 #### 云服务提供商 ``` # AWS prowler aws scout aws python PMapper/pmapper.py graph --create # GCP prowler gcp --project-id PROJECT_ID scout gcp --user-account # Azure prowler azure --subscription-id SUB_ID scout azure --cli ``` #### Kubernetes ``` trivy k8s --report summary cluster kubescape scan framework nsa kube-bench run --targets master,node popeye ``` #### IaC ``` checkov -d ./terraform tfsec ./terraform terrascan scan -d ./terraform ``` #### 容器 ``` trivy image nginx:latest grype nginx:latest dockle nginx:latest ``` #### 密钥 ``` trufflehog git file://./repo gitleaks detect -s ./repo ``` ## 📋 前置条件 - AWS：`aws configure` - GCP：`gcloud auth login` - Azure：`az login` - Kubernetes：已配置 `kubectl` ## 🔗 快速链接 - [Prowler](https://github.com/prowler-cloud/prowler) - [ScoutSuite](https://github.com/nccgroup/ScoutSuite) - [Trivy](https://github.com/aquasecurity/trivy) - [Checkov](https://github.com/bridgecrewio/checkov) - [Kubescape](https://github.com/kubescape/kubescape) ## 📄 许可证 每个工具保留其原始许可证。请参阅各个目录。 ## 👤 维护者 [@vanhoangkha](https://github.com/vanhoangkha)

标签：AI合规, AWS安全, Azure安全, Chrome Headless, Cloud Security, DevSecOps, GCP安全, IaC安全, IAM分析, Kubernetes安全, Pacu, Prowler, ScoutSuite, StruQ, Web截图, 上游代理, 云环境可视化, 云资源盘点, 协议分析, 反取证, 基础设施即代码安全, 子域名突变, 安全合规脚本, 安全评估, 容器安全, 属性图, 应用安全, 开源安全工具, 攻击模拟, 数据展示, 日志审计, 机密检测, 权限提升, 模拟器, 红队, 请求拦截, 逆向工具, 逆向工程平台, 驱动签名利用