OyajeOmakwu/cloud-security-platform

# 云安全平台     默认安全（Secure-by-default）的云安全平台，演示了 Terraform 护栏、云检测与响应、Kubernetes 策略执行以及 CI/CD 供应链安全。 ## 核心亮点 - 基于 Terraform 的安全基础设施模式 - AWS 检测与响应工作流 - 使用 Kyverno/OPA 进行 Kubernetes 策略执行 - 包含扫描、SBOM 和签名机制的 CI/CD 安全 - 对开发者友好的默认安全控制 [architecture/diagrams/Cloud-Security-Platform Diagram.drawio.png](https://github.com/OyajeOmakwu/cloud-security-platform/blob/main/architecture/diagrams/Cloud-Security-Platform%20Diagram.drawio.png) ## 工作原理 1. 通过内嵌安全护栏的 Terraform 模块进行基础设施配置 2. CI/CD 流水线验证代码、IaC、依赖项和容器镜像 3. Kubernetes 准入策略执行运行时安全控制 4. AWS 检测与响应工作流监控活动并触发自动响应动作 5. 日志、指标和告警可提升事件的可见性与应急准备度 ## 目标 - 构建默认安全的基础设施 - 实现检测与响应的自动化 - 执行预防性安全控制 - 通过内置护栏提升开发者的工作效率 ## 核心组件 - AWS 基础安全控制 - Terraform 模块 - GuardDuty、Security Hub 和 CloudTrail - EventBridge + Lambda 自动修复 - Kyverno / OPA 策略执行 - GitHub Actions 供应链安全流水线 ## 设计决策 - 采用 Terraform 来标准化安全基础设施模式，并减少配置漂移（configuration drift） - 采用 AWS 原生检测服务来演示实用的云监控与响应工作流 - 引入 Kubernetes 策略执行，以将运行时控制“左移”纳入平台默认配置 - 包含 CI/CD 供应链控制，以降低存在漏洞或未签名的制品（artifacts）进入部署阶段的风险 ## 仓库结构 - `architecture/` 图表、威胁模型和架构说明 - `infrastructure/terraform/` 可复用的基础设施定义 - `detection-response/` 监控、告警和自动响应工作流 - `platform-security/` 默认安全的平台控制 - `policies/` 策略即代码（Policy-as-Code）定义 - `ci-cd-security/` 供应链与流水线安全模式 - `docs/` 辅助文档和截图 ## 示例输出 ### CI/CD 安全检查  ### 检测发现  ### 策略执行  ## 成果 本项目演示了： - 通过默认安全配置降低云配置错误的风险 - 通过自动化检测与响应提升事件应急准备度 - 通过 Terraform 实现可重复的基础设施部署 - 安全赋能，帮助开发者安全、快速地交付 ## 本项目的重要性 本项目演示了如何通过自动化、预防性控制、检测与响应以及开发者赋能，将云安全作为平台本身的一部分进行工程化构建，而非依赖基于工单的传统安全工作。

标签：AWS, AWS安全, CDR, CI/CD安全, CISA项目, CloudTrail, DevSecOps, DPI, ECS, EventBridge, FTP漏洞扫描, GitHub Actions, GuardDuty, IaC安全, K8s安全, Lambda, Lerna, Llama, OPA, SBOM, Security Hub, StruQ, Terraform, XML 请求, 上游代理, 云安全平台, 云检测与响应, 亚马逊云, 子域名突变, 安全可视化, 安全合规, 安全基线, 安全开发, 安全护栏, 安全编排, 教学环境, 模块化设计, 漏洞利用检测, 硬件无关, 策略执行, 网络代理, 自动化修复, 自动笔记, 跌倒检测, 软件物料清单, 镜像签名, 静态代码扫描, 靶场, 默认安全