jidethomas/Cloud-Compliance-Automation

# ☁️ 云合规自动化 [](https://aws.amazon.com) [](https://azure.microsoft.com) [](https://cloud.google.com) [](https://python.org) [](LICENSE) ## 📋 概述 本仓库提供 **AWS、Azure 和 GCP 环境的自动化合规检查脚本和框架**。基于企业级 GRC 领导经验构建，旨在自动化手动合规任务，并持续验证云安全态势是否符合监管框架。 **核心价值主张：** - 自动化常规合规检查（每日/每周） - 为 SOC 2、ISO 27001、PCI DSS 审计生成证据 - 将手动审计准备工作量减少 60-80% - 在多云环境中提供持续的合规监控 ## 🎯 支持的合规框架 | 框架 | AWS | Azure | GCP | |---|:---:|:---:|:---:| | **NIST CSF 2.0** | ✅ | ✅ | ✅ | | **ISO 27001** | ✅ | ✅ | ✅ | | **SOC 2 Type II** | ✅ | ✅ | ✅ | | **PCI DSS v4.0** | ✅ | ✅ | 🔄 | | **CIS 基准** | ✅ | ✅ | ✅ | | **SOX ITGC** | ✅ | ✅ | ❌ | ✅ 已支持 | 🔄 进行中 | ❌ 暂不支持 ## 📂 仓库结构 ``` Cloud-Compliance-Automation/ ├── README.md ├── aws/ │ ├── iam-compliance-check.py # IAM policy and access review │ ├── s3-encryption-audit.py # S3 bucket encryption verification │ ├── cloudtrail-audit.py # CloudTrail logging compliance │ ├── security-group-audit.py # Security group rule review │ ├── config-rules-check.py # AWS Config compliance rules │ └── pci-dss-checks/ │ ├── requirement-1-network.py │ ├── requirement-2-config.py │ └── requirement-8-access.py ├── azure/ │ ├── rbac-compliance-check.py # Azure RBAC review │ ├── storage-encryption-audit.py # Azure Storage encryption │ ├── activity-log-audit.py # Azure Activity Log compliance │ ├── nsg-audit.py # Network Security Group review │ └── m365-compliance/ │ ├── dlp-policy-check.py │ └── mfa-enforcement-check.py ├── gcp/ │ ├── iam-policy-audit.py # GCP IAM policy review │ ├── bucket-compliance-check.py # GCP Storage compliance │ └── audit-logging-check.py # GCP Audit Logs verification ├── common/ │ ├── report_generator.py # HTML/PDF report generation │ ├── evidence_collector.py # Automated evidence packaging │ └── notification_handler.py # Slack/email alerts ├── reports/ │ └── templates/ │ ├── compliance-report-template.html │ └── executive-summary-template.docx └── docs/ ├── Setup-Guide.md ├── AWS-Configuration.md ├── Azure-Configuration.md └── Remediation-Guide.md ``` ## 🔧 关键自动化脚本 ### IAM 与访问控制检查 ``` # 运行 Naabu # Kubernetes 设置 python aws/iam-compliance-check.py --profile prod --output reports/iam-audit.xlsx ``` **执行的检查：** - 未启用 MFA 的用户 - 超过 90 天未使用的 IAM 控制台访问用户 - 根账户使用检测 - 权限过宽的策略（AdministratorAccess 分配） - 访问密钥轮换合规性 ### 加密与数据保护 ``` # API 参考 python aws/s3-encryption-audit.py --account-id 123456789 --output reports/ ``` **执行的检查：** - S3 桶的静态加密（SSE-S3、SSE-KMS） - 公共访问阻止设置 - 桶日志记录是否启用 - 跨区域复制加密 - 关键桶是否启用版本控制 ### 审计日志合规性 ``` # 配置 AWS 凭证 python aws/cloudtrail-audit.py --region us-east-1 --output reports/ ``` **执行的检查：** - CloudTrail 多区域启用 - 日志文件验证启用 - CloudTrail 日志的 S3 桶访问日志 - CloudWatch Logs 集成 - 最低 12 个月的日志保留期 ## 📊 合规报告 `report_generator.py` 脚本生成： - **HTML 仪表板** — 交互式合规状态 - **PDF 执行摘要** — 面向董事会的合规报告 - **Excel 工作簿** — 详细的控制证据 - **JSON 输出** — 与 GRC 工具（Drata、ServiceNow IRM）集成 ## 🚀 快速开始 ### 先决条件 ``` pip install boto3 azure-identity azure-mgmt-compute pandas openpyxl jinja2 weasyprint ``` ### AWS 设置 ``` # 运行完整合规检查 aws configure --profile prod # 登录 Azure python aws/iam-compliance-check.py --profile prod python aws/s3-encryption-audit.py --profile prod python aws/cloudtrail-audit.py --profile prod --region us-east-1 ``` ### Azure 设置 ``` # 运行合规检查 az login # S3 加密审计 python azure/rbac-compliance-check.py --subscription-id YOUR_SUB_ID python azure/activity-log-audit.py --subscription-id YOUR_SUB_ID ``` ## 🔗 与 GRC 工具的集成 本自动化框架与以下工具集成： | GRC 工具 | 集成类型 | 用途 | |---|---|---| | **Drata** | API 推送 | 自动证据收集 | | **ServiceNow IRM** | REST API | 风险发现导入 | | **UpGuard** | Webhook | 第三方风险评分 | | **Slack** | Webhook | 实时合规告警 | | **Jira** | API | 修复工单创建 | ## 👤 关于作者 **Jide Thomas，MSc 网络安全 | CISA · CISM · CRISC** 拥有 10 多年企业风险管理和 IT 审计经验的云端 GRC 领导者，专注于使用 Drata 和 ServiceNow IRM 在 AWS、Azure 和 M365 环境中自动化合规程序。 [](https://www.linkedin.com/in/jide-thomas-msc-cybersecurity-cisa-cism-crisc-a80b1b1b7/) [](https://github.com/jidethomas) *最后更新：2026 年 4 月 | 面向企业云 GRC 与 DevSecOps*

标签：ATTACK-Python-Client, AWS, Azure, CIS Benchmark, CloudTrail, DPI, GCP, GRC, IAM, ISO 27001, NIST CSF, PCI DSS, Python, S3, SaaS, SOC 2, SOX, 云合规, 企业合规, 合规自动化, 多云合规, 安全基线, 安全组, 审计证据, 工具, 持续监控, 教学环境, 无后门, 脚本, 自动化合规, 逆向工具