secvalley/cloud-security-checklist
GitHub: secvalley/cloud-security-checklist
基于CIS Benchmarks的多云安全检查清单,覆盖Azure、AWS、GCP、Microsoft 365、Kubernetes和IaC共215项安全控制,提供可操作的审计框架。
Stars: 0 | Forks: 0
# 云安全检查清单
[](LICENSE)
[](https://github.com/secvalley/cloud-security-checklist/stargazers)
[](https://github.com/secvalley/cloud-security-checklist/graphs/contributors)
[](CONTRIBUTING.md)
一份全面、可操作的云环境安全检查清单。基于 CIS Benchmarks 和真实世界的加固经验。
使用这些检查清单来审计您的云基础设施,为合规性评估做准备,或为新部署建立安全基线。
## 检查清单
| 平台 | 描述 | 控制项 |
|----------|-------------|----------|
| [**Azure**](azure/) | Identity, Networking, Storage, Compute, Database, Logging, Key Vault | 46 |
| [**AWS**](aws/) | IAM, S3, EC2, RDS, CloudTrail, VPC, KMS | 45 |
| [**GCP**](gcp/) | IAM, Compute, Storage, Networking, Logging, BigQuery | 34 |
| [**Microsoft 365**](microsoft-365/) | Entra ID, Exchange Online, SharePoint, Teams, Compliance | 32 |
| [**Kubernetes**](kubernetes/) | Pod Security, RBAC, Network, Image Security, Secrets | 28 |
| [**Infrastructure as Code**](iac/) | Terraform, Bicep/ARM, CloudFormation, CI/CD Gates | 30 |
**总计:跨越 6 个平台的 215 个安全控制项**
## 为什么需要这份检查清单?
大多数云安全漏洞源于配置错误,而非复杂的漏洞利用。权限过大的 IAM 角色、公开的存储桶、禁用的日志记录、缺失的加密——这些才是真正的攻击面。
该项目存在的原因:
- **CIS Benchmarks 长达 300 多页** — 团队需要一种实用、易于扫视的格式
- **检查清单胜过文档** — 可以勾选的复选框能推动行动;PDF 只会积灰
- **多云是现实** — 大多数组织运行不止一个云;安全控制不应孤立存在
- **开源意味着社区审查** — 更多的人关注安全指南意味着更好的指南
每个控制项都包含严重性评级、可操作的描述,以及 CIS Benchmarks 和供应商文档的参考链接。
## 如何使用
1. 从上表中**选择您的平台**
2. 按类别**逐项检查控制项**(从 Critical/High 严重性开始)
3. 在加固环境时**勾选**已完成的项目
4. **每季度 revisit( revisit 回顾)** — 云服务在变化,新的控制项会被添加
您可以 Fork 本仓库来跟踪您组织的进度,或在审计期间将这些检查清单作为参考。
## 严重性级别
| 级别 | 含义 |
|-------|---------|
| `Critical` | 立即面临泄露或数据暴露的风险。优先修复。 |
| `High` | 显著的安全缺口。需在数天内解决。 |
| `Medium` | 纵深防御控制项。计划在近期实施。 |
| `Low` | 最佳实践。在资源允许的情况下实施。 |
## 检查清单之外
本检查清单是一个**静态起点** —— 是手动审计和安全审查的坚实基础。但云环境瞬息万变,静态检查清单无法跟上基础设施漂移、新部署或不断演变的合规性要求。
**[SecValley 的 CSPM 平台](https://secvalley.com)** 将这些控制项提升到了一个新的高度:
- **800+ 自动化安全控制项**,覆盖 Azure、AWS、GCP 和 Microsoft 365
- **持续扫描** — 不是一次性的检查,而是实时的配置错误检测
- **漂移检测** — 在安全配置发生更改的那一刻收到警报
- **合规性映射** — 自动映射到 SOC 2、ISO 27001、HIPAA、PCI-DSS、NIST 和 CIS 框架
- **引导式修复** — 分步修复说明,包含 CLI 命令和 IaC 代码片段
- **多租户仪表板** — 从单一窗格管理跨多个订阅和账户的安全态势
如果您的团队还在手动处理检查清单,您就已经落后了。**[了解持续云安全是什么样子的 →](https://secvalley.com)**
## 许可证
本项目基于 [MIT License](LICENSE) 授权。
由 [SecValley](https://secvalley.com) 维护 - 云安全咨询与 CSPM 解决方案
如果这份检查清单对您有帮助,请考虑给它一个 Star,以帮助其他人发现它。
标签:Anthropic, AWS安全, Azure安全, Chrome Headless, CIS基准, CSP, DevSecOps, DNS解析, EC2, ECS, GCP安全, IaC, IAM, Kubernetes安全, Microsoft 365, ProjectDiscovery, Terraform, Web截图, 上游代理, 基线加固, 安全标准, 安全检查清单, 安全策略, 容器安全, 开源项目, 提示词设计, 数据保护, 服务器监控, 网络安全, 误配置检测, 身份与访问管理, 防御加固, 隐私保护