CloudSec-Jay/cloud-security-engineer

由一位正转型为云安全工程师的数据中心运维工程师构建。物理基础设施背景——电力、制冷、布线、机架构建、环境监控、网络拓扑——在云安全候选人中极为罕见。大多数申请人只了解 API 层。而这位工程师深知其底层原理。 每个脚本、策略和检测规则都贯穿四个框架，并严格执行 Zero Trust——它不是事后诸葛亮，而是组织原则。一个配置错误的 S3 bucket 不仅仅是一个 Checkov 发现。它是 [A02:2025](https://owasp.org/www-project-top-ten/)，通过 [T1530](https://attack.mitre.org/techniques/T1530/) 利用，受 [PR.DS-1](https://www.nist.gov/cyberframework) 管控，由 [CIS 3.3](https://www.cisecurity.org/controls/v8) 衡量，并且违反了 Zero Trust *最小权限访问* 原则。这就是本仓库的构建方式。 ## 🗂️ 组织结构 ``` cloud-security-engineer/ ├── iac-security/ Prevention layer — IaC, container security, supply chain ├── siem-detection/ Detection layer — Wazuh XDR/SIEM rules, agent configs, response ├── identity-access-management/ Cross-cloud IAM — AWS, Azure Entra ID, on-prem ├── app-security/ Purple team — offensive TTPs feed defensive detections ├── security-analytics/ Threat hunting, digital forensics, security data science ├── frameworks/ OWASP ↔ MITRE ↔ NIST ↔ CIS correlation engine └── docs/ Architecture decisions, compliance matrices, context ``` ### 🏗️ `iac-security/` — 预防层 跨七个工具的加固模块和模板。任何代码未通过 Security Gauntlet 均无法发布。 | 工具 | 内容 | 重要性 | |------|-------------|----------------| |  | AWS 开发/生产环境 + 网络和 IAM 模块 | 将最小权限默认值植入每个资源 | |  | 网络 + 安全堆栈模板 | 部署前强制执行 AWS 原生防护栏 | |  | Azure 基线模板 | Entra ID, Key Vault, NSG 安全默认值 | |  | CIS 加固的 Docker/Ubuntu 镜像流水线 | 不可变基线——在构建时进行补丁和加固 | |  | DVWA 实验室, 可观测性堆栈, cloudsec-dashboard 应用 | 用于测试和检测的可复现实验室环境 | |  | RHEL CIS Level 1 角色（6 个部分）, 系统加固 Playbooks | 部署后的合规性强制执行 | |  | `k8s-block-privileged.rego` — 阻止特权容器 | 策略即代码关卡；违规时流水线失败 | **黄金镜像流水线** — CIS 基准合规性流经三个阶段： ``` Wazuh SCA check fails → RHEL CIS Level 1 Ansible role remediates → Packer bakes hardened image → deploy ``` **`container-security/`** — Cilium eBPF 身份感知微隔离 (`global-default-deny.yaml`)，Hubble 网络可观测性。Zero Trust 网络控制 (NIST SC-7) —— 而非 K8s 运维。 **`supply-chain/`** — 用于基础镜像完整性校验的校验和验证器 (OWASP A08, MITRE T1195.002, NIST PR.DS-6)。在镜像导入 Packer 流水线之前进行验证。 ### 🔒 Security Gauntlet — CI/CD 流水线 每次推送到 `iac-security/**` 都会触发六阶段自动安全扫描： | 阶段 | 工具 | 检查内容 | |-------|------|----------------| | 1 | Gitleaks | 硬编码机密 (NIST IA-2) | | 2 | Checkov + tfsec + TFLint | IaC SAST — 1000+ 安全策略 (NIST SI-2) | | 3 | Trivy | 文件系统和容器依赖中的 CVE (RA-5) | | 4 | Ansible-lint + Hadolint | Playbook 和 Dockerfile 质量 | | 5 | OPA | 自定义准入控制策略强制执行 (NIST AC-3) | | 6 | SARIF upload | 发现的问题将显示在 GitHub Security 标签页 | Pre-commit 钩子在本地镜像流水线：每次提交前运行 Gitleaks, Checkov, terraform_fmt, terraform_tflint, terraform_trivy, Hadolint, ansible-lint, OPA 检查和 Wazuh XML 语法验证。 ### 🔑 `identity-access-management/` — 跨云 IAM 跨三个环境的每次访问决策均遵循最小权限原则。 - **`aws-iam/`** — SCP 模板, Access Analyzer 自动化, 凭证报告分析, MFA 合规性 *(构建中)* - **`azure-entra-id/`** — 条件访问模板, PIM JIT 审计, 陈旧应用注册清理, Graph API 登录风险监控 *(构建中)* - **`on-prem/`** — 用于 Active Directory 的 PowerShell 自动化：`remove-pattern.ps1` 演示了幂等、支持干运行的基于模式的修复 ### 🕵️ `app-security/` — 紫队 & 攻击性测试 攻击性 TTP 助推防御性检测规则。每次任务都遵循三问关卡：*它检测什么，攻击者如何绕过它，警报触发 60 秒后会发生什么。* - **`purple-team/`** — 基于任务的框架：`MISSION_TEMPLATE.md` 强制执行攻击→防御文档闭环。`LAB_GUIDE.md` 涵盖攻击场景 (SQLi, XSS, JWT manipulation, IDOR), Wazuh 验证步骤和主动响应测试 - **`dvwa/`** — 用于亲手测试 OWASP Top 10 的 DVWA 实验室环境 *(构建中)* - **`burp-suite/`** — Burp Suite 侦察、注入、认证和 API 测试方法论 *(构建中)* ### 📡 `siem-detection/` — Wazuh XDR/SIEM 检测层。每条规则都在回答：*如果攻击者做了 X，Wazuh 能捕捉到吗？* - **`wazuh/rules/linux/`** — 标记有 MITRE ATT&CK ID、OWASP 类别、NIST 子类别、CIS 安全保障 ID 和 Zero Trust 支柱标签的自定义 XML 规则。每条规则在 `` 中包含修复说明，并在 `GAPS:` 块中记录未涵盖的相邻技术 - **`wazuh/agent-configs/`** — 针对 RHEL (CIS SCA + FIM), Ubuntu (Docker 监控 + DVWA 日志收集) 和 Windows (CIS SCA) 的特定平台 Wazuh Agent 配置 - **`wazuh/active-response/`** — 基于 Python 的响应引擎：通过 iptables 进行 IP 封禁，威胁移除，幂等执行 - **`wazuh/sca/`** — CIS 基准 SCA 策略：RHEL 9 (15 项检查) + Ubuntu 22.04 LTS (5 项检查); Windows Server 2022 *(计划中)* - **`wazuh/integrations/`** — AWS CloudTrail, GuardDuty, VPC Flow Logs, Entra ID 审计日志连接器 *(构建中)* - **`wazuh/dashboards/`** — 安全概览, 身份监控, OWASP 覆盖率仪表板 *(构建中)* - **`wazuh/tuning/`** — 警报疲劳缓解, 误报抑制 *(构建中)* ### 📊 `security-analytics/` — 威胁狩猎 & 取证 应用于安全数据集的统计分析和数据科学。每个 Notebook 都回答一个映射到 MITRE 技术的特定威胁问题。 | 子目录 | Notebooks | 技术覆盖 | |---|---|---| | `threat-hunting/` | **Hunt 01** 凭证访问 (暴力破解, 密码喷洒, 不可能旅行) · **Hunt 02** 横向移动 (LotL, PSExec, LSASS 转储) · **Hunt 03** C2 信标 + DGA + DNS 隧道 · **ML 01** IsolationForest 异常检测 · **ML 02** 随机森林网络入侵分类 · **ML 03** NLP 钓鱼 URL 检测 · SIEM 关联 · 网络流量分析 · 50 题集训营 | T1110, T1003, T1021, T1059, T1071, T1568.002, T1048, T1190, T1566 | | `forensics/` | 密码学频率分析 (IC/卡方), 隐写术检测 (LSB) | T1573, T1557, T1027 | | `foundations/` | 安全分析的数学基础：标准差 + 抖动 (C2), 香农熵 (DGA/混淆), 频率分析 (密码喷洒), z-score (异常检测), 贝叶斯定理 (警报置信度) | T1071, T1568.002, T1110, T1190 | ### 📐 `frameworks/` — 关联引擎 将每个工件同时关联到四个框架的交叉映射层。 - **`nist-csf-2.0/`** — 全部 6 项功能：治理, 识别, 保护, 检测, 响应, 恢复 *(构建中)* - **`mitre-attack/``** — 云技术检测图, ATT&CK Navigator 覆盖层 *(构建中)* - **`cis-controls-v8/`** — IG1–IG3 安全保障跟踪，附带 AWS 和 Azure 基准脚本 *(构建中)* - **`correlation/`** — 机器可读的交叉映射：OWASP↔MITRE, OWASP↔NIST, OWASP↔CIS, NIST↔CIS *(构建中)* ## 📊 框架覆盖 | OWASP Top 10:2025 | MITRE ATT&CK | NIST CSF 2.0 | CIS v8.1 | Zero Trust 支柱 | 现有控制 | |---|---|---|---|---|---| | **A01** 权限控制失效 | T1078.004, T1548.005 | PR.AC-1, PR.AC-4 | 5.4, 6.1 | 最小权限访问 | IAM Analyzer, Entra PIM, Wazuh 规则 | | **A02** 加密机制失效 | T1574, T1562.001 | PR.IP-1, DE.CM-1 | 4.1, 12.1 | 假设被攻破 | Checkov, tfsec, Wazuh SCA, CloudFormation | | **A03** 注入 | T1190, T1059 | PR.PT-3, PR.PT-4 | 7.5, 16.1 | 假设被攻破 | DVWA, Burp Suite, Wazuh 规则 | | **A04** 不安全设计 | T1204, T1566 | GV.RM-1, GV.RM-2 | 14.6, 16.14 | 显式验证 | 威胁模型, STRIDE 分析 | | **A05** 安全配置错误 | T1557, T1040 | PR.DS-1, PR.DS-2 | 3.10, 3.11 | 设被攻破 | KMS 审计, Key Vault, 取证 Notebooks | | **A06** 脆弱和过时的组件 | T1195, T1059 | ID.SC-2, ID.SC-4 | 2.2, 7.3 | 假设被攻破 | Trivy, Packer 镜像流水线 | | **A07** 身份识别和认证失败 | T1110, T1556 | PR.AC-1, PR.AC-7 | 5.2, 6.3 | 显式验证 | Entra 条件访问, DVWA, Wazuh | | **A08** 软件和数据完整性失败 | T1195.002, T1565 | PR.DS-6, PR.DS-8 | 2.3, 7.9 | 假设被攻破 | 校验和验证器, CloudTrail 完整性, Wazuh FIM | | **A09** 安全日志和监控失败 | T1070, T1562 | DE.AE-1, DE.CM-1 | 8.2, 8.5 | 假设被攻破 | Wazuh, CloudTrail, GuardDuty, 威胁狩猎 Notebooks | | **A10** 服务器端请求伪造 | T1090, T1102 | PR.PT-3, DE.CM-1 | 4.4, 12.2 | 显式验证 | WAF, VPC Flow Logs, 网络流量分析 Notebook | ## 📄 快速参考 | 文件 | 内容 | |------|----------| | [`CLAUDE.md`](CLAUDE.md) | 仓库操作指南 —— 任务、指令、背景 | | [`DAILY-LOG.md`](DAILY-LOG.md) | 逐会话构建历史 | | [`iac-security/README.md`](iac-security/README.md) | IaC 库概览及 Security Gauntlet 详情 | | [`iac-security/docs/security/REMEDIATION_LOG.md`](iac-security/docs/security/REMEDIATION_LOG.md) | 已识别并修复漏洞的验证记录 | | [`iac-security/docs/security/THREAT_MODEL.md`](iac-security/docs/security/THREAT_MODEL.md) | STRIDE 分析及攻击面文档 | | [`iac-security/docs/compliance/NIST_800-53_MATRIX.md`](iac-security/docs/compliance/NIST_800-53_MATRIX.md) | 所有 IaC 工件的 NIST 800-53 控制映射 | | [`iac-security/docs/architecture/ADR-001-Cilium-eBPF.md`](iac-security/docs/architecture/ADR-001-Cilium-eBPF.md) | 架构决策记录：为何选择 Cilium eBPF 而非 NetworkPolicy | | [`siem-detection/INTERVIEW-PREP.md`](siem-detection/INTERVIEW-PREP.md) | Wazuh 检测深度 —— L0 至 L3 面试问答 | | [`security-analytics/README.md`](security-analytics/README.md) | 威胁狩猎与取证 Notebook 索引 |

标签：AI合规, AMSI绕过, AppSec, CIS Controls, Cloudflare, DevSecOps, Entra ID, IaC 安全, IAM, MITRE ATT&CK, NIST CSF, OWASP Top 10, S3 存储桶, Wazuh, Web截图, 上游代理, 威胁检测, 安全合规, 安全响应, 安全策略, 安全运营, 容器安全, 扫描框架, 提示词设计, 数据中心运维, 漏洞利用检测, 物理基础设施, 系统提示词, 网络代理, 请求拦截, 身份与访问管理, 逆向工具, 零信任架构