josephtui767-cloud/MII

快速开始 · 完整安装指南 · 文档 · 功能 · API 参考

在现代云环境中，机器身份（IAM 角色、服务账号、CI/CD token、OIDC 联合身份）与人类身份的比例高达 [45:1 到 82:1](https://investors.cyberark.com/news/news-details/2025/Machine-Identities-Outnumber-Humans-by-More-Than-80-to-1-New-Report-Exposes-the-Exponential-Threats-of-Fragmented-Identity-Security/)。它们是导致云泄露的头号攻击媒介——然而大多数组织对它们毫无可见性。 **MII 改变了这一点。** ## 它的功能 | | 功能 | 描述 | |---|-----------|-------------| | 🔍 | **发现** | 自动发现跨 AWS 和 GitLab/GitHub 的每个 IAM 角色、OIDC 联合身份和 CI/CD 身份 | | 🕸️ | **信任映射** | 构建所有信任关系的有向图，揭示隐藏的横向移动路径 | | 📊 | **风险评分** | 使用六个加权因素（管理员、生产环境、信任、跨账号、陈旧、未使用）对每个身份进行 0–100 分的评分 | | 💥 | **爆炸半径路径模拟** | “如果被攻破会怎样？”——通过信任图追踪完整的攻击链 | | 📈 | **信任债务** | 量化累积的不必要信任，分为 A–F 等级，并提供具体的减少措施 | | ✅ | **合规性** | 8 项自动化策略检查，包含通过/失败证据和合规分数 | | 🤖 | **AI 修复** | 由 OpenAI 驱动的修复计划，包含精确的 AWS CLI 命令和 Terraform 代码 | | 📥 | **报告导出** | 将任何选项卡下载为 PDF、Markdown 或 Excel 格式——随时可用于审计和利益相关者报告 | ## 平台截图

展开查看所有功能

| | | |:---:|:---:| |  |  | | **身份发现** | **信任图** | | 包含风险评分的完整清单 | 交互式信任关系可视化 | |  |  | | **安全发现** | **合规仪表板** | | 包含修复方案的优先发现项 | 包含通过/失败证据的 8 项策略检查 | |  |  | | **信任债务评分** | **爆炸半径路径模拟** | | 不必要信任评级（A–F） | 完整的攻击链可视化 |

## 为什么这很重要 ``` Thousands of machine identities → No centralized visibility Overprivileged CI/CD pipelines → One merge request = full AWS admin Invisible trust relationships → Unknown lateral movement paths Unused identities accumulate → Dormant backdoors in every account ``` **MII 能够捕获的真实场景：** - 从 GitLab → AWS 的 OIDC 联合身份没有分支限制（任何 MR 作者都会成为 AWS 管理员） - 具有活动信任策略但超过 90 天未使用的 IAM 角色（休眠的后门） - 没有 ExternalId 的跨账号信任（混淆代理问题） - 在生产账号上具有管理员权限的 CI/CD pipeline ## 快速开始 ``` git clone https://github.com/YOUR_ORG/mii.git cd mii cp .env.example .env # 使用你的 AWS account ID 和 region 编辑 .env docker-compose up --build docker-compose exec backend alembic upgrade head ``` ``` Frontend → http://localhost:3000 API Docs → http://localhost:8000/docs ``` ## AI 驱动的功能 | 功能 | 作用 | |---------|-------------| | **解释风险** | “为什么这个身份有风险？”——通俗易懂的解释 | | **修复方案** | 包含 AWS CLI 命令 + Terraform 代码的分步修复指南 | ``` # 设置（2 分钟） export OPENAI_API_KEY=sk-your-key # ~$0.001 per call ``` ## 架构

| 层级 | 技术 | |-------|-----------| | Frontend | React 18, TypeScript, React Flow, TanStack Query, Tailwind CSS | | Backend | FastAPI, Python 3.11, SQLAlchemy 2.0, Pydantic | | 数据库 | PostgreSQL 15 | | 图引擎 | NetworkX（内存中有向图） | | AI | OpenAI GPT-4o-mini | | 基础设施 | AWS (EC2, S3, CloudFront), Terraform | | CI/CD | GitHub Actions（也支持 GitLab CI/CD） | ## 安全原则 | 原则 | 详情 | |-----------|--------| | 只读 | 仅对 AWS 和 GitLab/GitHub 具有读取权限——无任何修改操作 | | 无源代码 | 绝不读取、存储或处理应用程序源代码 | | 无机密信息 | 仅存储身份元数据——绝不存储凭证值 | | 无客户数据 | 仅包含身份关系和访问元数据 | | AI 防护栏 | AI 仅接收元数据——绝不接收凭证或 PII | ## 文档 | | | |---|---| | [完整安装指南](./SETUP.md) | [架构](./docs/architecture.md) | | [入门指南](./docs/getting-started.md) | [功能指南](./docs/features.md) | | [API 参考](./docs/api-reference.md) | [风险评分](./docs/risk-scoring.md) | | [信任债务](./docs/trust-debt.md) | [爆炸半径路径](./docs/blast-path.md) | | [部署](./docs/deployment.md) | [配置](./docs/configuration.md) | | [贡献指南](./docs/contributing.md) | [GitLab 设置](./SETUP.md#gitlab-cicd-alternative) | ## MII 的优势对比 | | 现有工具 | MII | |---|---------------|-----| | 重点 | 人类身份 | **仅限机器身份** | | 可见性 | 列出权限 | **端到端映射信任链** | | 风险 | 静态评分 | **爆炸半径路径模拟** | | 债务 | 无追踪 | **信任债务评分 (A–F)** | | 修复 | 手动 | **AI 生成的 CLI + Terraform** | | 范围 | 单一平台 | **统一的 AWS + GitLab/GitHub** |

适用人群

**安全工程师** —— 发现身份，获取带有可直接复制命令的优先发现项，模拟攻击路径，追踪信任债务的减少。 **安全经理** —— 高管仪表板，用于董事会报告的量化风险指标，合规分数，改进趋势。 **平台/DevOps** —— 识别权限过高的 CI/CD 角色，获取 Terraform 修复代码片段，查找需要分支限制的 OIDC 联合身份。 **合规与审计** —— 8 项自动化策略检查，可导出的评分，身份所有权追踪，陈旧身份识别。

_{MIT License}

标签：AWS, DPI, IAM, Modbus, Python, React, Syscalls, 无后门, 机器身份安全, 测试用例, 特权检测, 请求拦截