juanm-morales/JuanMorales-cloud-security-portfolio

GitHub: juanm-morales/JuanMorales-cloud-security-portfolio

一份基于 Firebase/GCP 生产级法律平台端到端安全加固的云安全工程作品集,涵盖渗透测试、威胁建模、备份恢复与事件响应等完整 DevSecOps 实践。

Stars: 0 | Forks: 0

# 云安全作品集 **Juan Manuel Morales Granados** · [GitHub @juanm-morales](https://github.com/juanm-morales) · jmmorales278@gmail.com 作为唯一的技术负责人,端到端执行的针对 **Firebase / Google Cloud** 上 **生产级法律服务 Web 平台** 的安全加固工程:包括身份验证、授权、渗透测试与修复、备份/DR、检测与监控、威胁建模以及数据保护合规 —— 全面贯彻 **DevSecOps 实践**(安全即代码、CI 安全门控)。 ![安全架构图](https://raw.githubusercontent.com/juanm-morales/JuanMorales-cloud-security-portfolio/main/english/security-architecture-diagram.svg) *纵深防御架构 —— 左移 CI/CD 流水线、运行时防护、检测、响应与恢复,映射至 NIST CSF。* ## 成果总结 | 领域 | 交付内容 | |---|---| | **身份验证 (Authentication)** | 管理面板上的 MFA/TOTP(解决了会话时序注册阻塞问题) | | **授权 (Authorization)** | 通过 Firestore & Storage 安全规则强制执行的基于角色的访问控制(RBAC,管理员 / 律师 / 编辑) | | **渗透测试 (Pentest)** | 3 阶段授权测试;发现并修复了由 Hosting 提供服务导致的 **严重** `.git` + GitHub token 泄露 | | **滥用防护** | App Check (reCAPTCHA v3) + 联系表单的服务器端速率限制 | | **安全加固** | Content-Security-Policy 白名单、安全标头、密钥迁移至 Google Secret Manager | | **恢复** | 3-2-1 备份:PITR (7天) + 每日备份 (14天) + 对象版本控制 + 异地每周导出 | | **检测** | 文件完整性监控(FIM,SHA-256,每 6 小时一次)+ Cloud Monitoring 日志告警 + Dependabot / `npm audit` CI 门控 | | **合规** | 同意捕获 + 证明;隐私政策国际传输条款(哥伦比亚第 1581 号法律,类似于 GDPR/CCPA) | **结果:** 实现了完整的 **AAA** 覆盖(Authentication、Authorization、Accounting)以及涵盖防护 / 检测 / 恢复的纵深防御 —— **未增加任何第三方攻击面** 且 **未增加任何经常性成本**。 ## 文档 (English) | # | 文档 | 涵盖内容 | |---|---|---| | 1 | [案例研究 — DevSecOps](english/case-study-devsecops-troubleshooting-EN.pdf) | 整个项目的执行概述(**请先阅读本文**) | | 2 | [渗透测试报告](english/pentest-report-moralesarias-EN.pdf) | 侦察、授权测试、提权尝试、发现与修复 | | 3 | [PASTA 威胁建模(阶段 3–7)](english/pasta-threat-model-stages-3-7-EN.pdf) | 分解、威胁、CWE/OWASP 映射、攻击树、残余风险矩阵 | | 4 | [备份与 DR 手册](english/backup-runbook-moralesarias-EN.pdf) | 3-2-1 策略、RPO/RTO、恢复流程 | | 5 | [事件响应剧本](english/incident-response-playbooks-EN.pdf) | 5 个基于 NIST 的剧本(违规、篡改、数据丢失、账户入侵、DoS) | | 6 | [安全意识培训](english/security-awareness-training-EN.pdf) | 7 个映射至 CIS Control 14 / NIST CSF PR.AT 的模块 | | 7 | [实验报告 — 防火墙与端口扫描](english/lab-report-firewall-port-scanning-EN.pdf) | 动手实践 nmap/VPC 实验:开放/关闭/过滤状态 + SSH 加固发现 | | 8 | [速查表 — 防火墙 / nmap / GCP](english/cheatsheet-firewall-nmap-gcp-EN.pdf) | 上述实验的命令参考 | *每个文档的 PDF 旁边还提供了 Markdown (`.md`) 版本。完整文档集请参见 [`english/`](english/)。* **西班牙语原版** (versiones en español) 位于仓库根目录:包括渗透测试、备份手册、事件响应、安全意识培训、PASTA 威胁建模、防火墙速查表以及实验报告。 ## 技术栈 **Cloud:** Firebase (Hosting, Authentication / Identity Platform, Firestore, Storage, Cloud Functions gen2 · Node 24), Google Cloud Platform, App Check (reCAPTCHA v3), Secret Manager, Cloud Monitoring, Cloud Scheduler。 **安全:** IAM / RBAC (custom claims)、安全规则即代码、MFA/TOTP、Content-Security-Policy、渗透测试 (nmap)、文件完整性监控 (Python + GitHub Actions)、Dependabot、PASTA 威胁建模、NIST 事件响应。 ## 展示的技能 云安全 (GCP/Firebase) · IAM 与 RBAC · 安全规则即代码 · 渗透测试与修复 · 密钥管理 · 备份 / 灾难恢复 (3-2-1, RPO/RTO) · 检测工程 (FIM, 基于日志的告警) · 供应链安全 · 威胁建模 (PASTA) · 事件响应 (NIST) · 安全意识 · 数据保护合规(第 1581 号法律 / 类 GDPR 标准)。 *生产平台:一家哥伦比亚律师事务所的公开网站 + 管理面板。相关工作由唯一的技术负责人作为自主云安全作品集项目完成。敏感信息(密钥、token、客户数据)被有意排除在此仓库之外。*
标签:DevSecOps, Firebase, GCP, MITM代理, x64dbg, 上游代理, 威胁建模, 数据备份与容灾, 逆向工具