对混合云环境快速进行安全合规检查
本文转自CSDN,原文地址:多公有云环境快速进行安全合规检查
今天就给大家介绍一下我利用一个开源项目HummerRisk,对混合云上资源进行统一安全合规检测的方法。
安装HummerRisk
任务报告: 根据任务编排功能进行检测,并生成相应的报告(包括云端检测、漏洞检测、虚拟机检测、镜像检测、软件包检测)。
首先我们需要进行基础的安装配置,在GitHub的项目中就安装说明,GitHub - HummerRisk/HummerRisk: HummerRisk
首先我准备了一台4C8G的腾讯云服务器,接下来按照项目的介绍,可以通过一键安装的方式来安装
但是因为我没有给服务器翻墙,所以安装不太流畅,所以我有用了离线安装包的方式。
装的时候也是只需要执行一下安装命令,按几次回车,就可以安装完毕。


使用离线安装包还是很顺利的,大概几分钟就安装好了,接下来就可以登录系统来使用。
开始使用
配置云账号
接下来按照文档,需要先把云账号绑定上,这里我看了一下,支持的云类型还是蛮多的,应该是国内的都支持得差不多了。

分别填好验证信息之后,我把3个云的测试账号都绑了上去。

一键检测
直接选中绑定好的账号,点一键检测,就可以对云账号发起检测,这里我看支持了多种检测的规则组,包括了等保预检,CIS合规检测,COS合规基线等等,可以根据需要来选择。

接下就是等待检测结果了,这个过程需要一些时间,可以看到下面有好多任务都开始运行和检测了。

查看结果和报告
检测完成后可以看到一个账号总体安全平台,还会针对每个检测条目给出具体的合规和风险情况。

这里我用的测试账号,里面资源比较少,结果看起来都还挺不错。
同时比较贴心的是直接给出了合规报告,以合规场景的方式生成报告,比如等保,直接按照等保的要求条目,生成出一个完整的合规报告,还是很方便的。

这次的简单使用就是这些,大概看了一下检测规则中有好多内置规则,还支持自定义规则,等我深入研究一下之后再和大家分享一下。