公司这边刚好因为业务情况,同时用到了腾讯云和一些aws,最近还在考察火山云,也许会考虑想火山迁移一部分的业务。
今天就给大家介绍一下我利用一个开源项目HummerRisk,对这些云上资源进行统一安全合规检测的方法。
安装HummerRisk
首先我们需要进行基础的安装配置,在GitHub的项目中就安装说明,GitHub - HummerRisk/HummerRisk: HummerRisk 是云原生安全检测平台。。
首先我准备了一台4C8G的腾讯云服务器,接下来按照项目的介绍,可以通过一键安装的方式来安装
curl -sSL https://github.com/HummerRisk/HummerRisk/releases/latest/download/quick_start.sh | sh
但是因为我没有给服务器翻墙,所以安装不太流畅,所以我有用了离线安装包的方式。
装的时候也是只需要执行一下安装命令,按几次回车,就可以安装完毕。
使用离线安装包还是很顺利的,大概几分钟就安装好了,接下来就可以登录系统来使用。
开始使用
配置云账号
接下来按照文档,需要先把云账号绑定上,这里我看了一下,支持的云类型还是蛮多的,应该是国内的都支持得差不多了。
分别填好验证信息之后,我把3个云的测试账号都绑了上去。
一键检测
直接选中绑定好的账号,点一键检测,就可以对云账号发起检测,这里我看支持了多种检测的规则组,包括了等保预检,CIS合规检测,COS合规基线等等,可以根据需要来选择。
接下就是等待检测结果了,这个过程需要一些时间,可以看到下面有好多任务都开始运行和检测了。
查看结果和报告
检测完成后可以看到一个账号总体安全平台,还会针对每个检测条目给出具体的合规和风险情况。
这里我用的测试账号,里面资源比较少,结果看起来都还挺不错。
同时比较贴心的是直接给出了合规报告,以合规场景的方式生成报告,比如等保,直接按照等保的要求条目,生成出一个完整的合规报告,还是很方便的。
这次的简单使用就是这些,大概看了一下检测规则中有好多内置规则,还支持自定义规则,等我深入研究一下之后再和大家分享一下。