Fmbravoglobal/multi-cloud-zero-trust-policy-engine

# 多云零信任策略引擎 ## 概述 **多云零信任策略引擎**是一个安全架构项目，旨在展示如何跨多个云服务提供商（包括 **AWS、Google Cloud Platform (GCP) 和 Microsoft Azure**）实施基于风险的访问控制。 该系统使用 **零信任安全原则** 评估访问请求，即不自动信任任何请求。相反，系统会评估设备信任度、MFA 状态、地理位置、请求的操作以及资源敏感性等上下文因素，以决定是 **允许、质询还是拒绝** 访问。 该策略引擎使用 **Python 和 FastAPI** 实现，而 AWS、GCP 和 Azure 中的支持性基础设施资源则使用 **Terraform Infrastructure as Code (IaC)** 进行配置。该仓库还包含 **GitHub Actions CI/CD 流水线**，用于验证项目结构并执行 DevSecOps 实践。 本项目展示了组织如何在多云环境中实施 **策略驱动的安全治理**，从而提高访问控制的可见性并实现自动化安全决策。 # 架构 该架构将三个主要云平台与集中式策略评估 API 集成在一起。 访问请求 → 策略引擎 API → 风险评估 → 决策（允许 / 质询 / 拒绝） 集成的云服务： - **AWS** - SNS 告警 - DynamoDB 决策存储 - **Google Cloud Platform** - 用于策略制品的 Cloud Storage - 用于评估日志记录的 BigQuery - **Microsoft Azure** - 资源组基础设施 - 用于策略制品的存储账户 - 用于监控的 Log Analytics 工作区 # 零信任安全逻辑 访问请求基于多个上下文信号进行评估： - 多因素认证状态 - 设备信任级别 - 访问的地理位置 - 请求资源的敏感性 - 特权角色访问 - 云提供商身份服务 - 工作负载类型（人类或服务账户） 策略引擎会分配一个 **风险分数**，并产生以下决策之一： | 风险分数 | 决策 | |-------------|-----------| | 0–39 | 允许 | | 40–69 | 质询 | | 70+ | 拒绝 | # 仓库结构 multi-cloud-zero-trust-policy-engine │ ├── app │ ├── main.py │ └── requirements.txt │ ├── terraform │ ├── main.tf │ ├── variables.tf │ └── outputs.tf │ ├── .github │ └── workflows │ └── security-pipeline.yml │ └── README.md ### 文件夹描述 | 文件夹 | 用途 | |------|---------| | **app** | Python FastAPI 零信任策略引擎 | | **terraform** | AWS、GCP 和 Azure 的基础设施配置 | | **.github/workflows** | DevSecOps CI/CD 流水线 | | **README.md** | 项目文档 | # 使用的技术 - Python - FastAPI - Terraform - AWS SNS - AWS DynamoDB - Google Cloud Storage - Google BigQuery - Microsoft Azure Resource Manager - Azure Log Analytics - GitHub Actions - DevSecOps CI/CD # 运行策略引擎 安装依赖： ``` pip install -r app/requirements.txt CI/CD Pipeline The project includes a GitHub Actions pipeline that runs automatically when code is pushed. Pipeline capabilities include: Repository validation Infrastructure file checks DevSecOps workflow validation Automated security pipeline execution Use Case This project demonstrates how enterprises can build a centralized policy evaluation system for multi-cloud environments, ensuring access requests across AWS, Azure, and GCP are evaluated under consistent Zero Trust principles. Potential applications include: Multi-cloud access governance Cloud identity security Risk-adaptive access control DevSecOps security automation Security monitoring platforms Author Oluwafemi Okunlola Cloud Security Engineer | DevSecOps Engineer ```

标签：ABAC, AV绕过, AWS, Azure, BigQuery, DevSecOps, DPI, DynamoDB, EC2, ECS, FastAPI, GCP, GitHub Actions, IaC, IAM, JSONLines, MFA, Python, SNS, Streamlit, Terraform, 上游代理, 云防护, 合规治理, 多云架构, 安全策略, 提示词设计, 无后门, 漏洞利用检测, 策略引擎, 网络安全挑战, 自动笔记, 访问控制, 身份与访问管理, 逆向工具, 零信任