CureIAM是一款专为Google Cloud Platform(GCP)基础设施设计的账号权限安全评估与管理解决方案,该工具不仅操作简便,更是一个兼具强大功能与卓越性能的可靠引擎。借助CureIAM,研究人员能够在GCP云环境中高效地实施最小权限原则,实现自动化管理。
CureIAM能够协助DevOps与安全团队迅速识别并清理GCP基础设施中存在过度授权的账户,其整个操作流程均支持自动化执行。
1、配置驱动:CureIAM的整个工作流程完全基于配置文件进行管理;
2、可扩展:CureIAM被设计为高度可扩展,其插件系统、多进程和多线程架构为其提供了强大的扩展能力;
3、插件驱动:CureIAM的代码库完全以插件为导向,用户可以直接安装现有插件,或开发新插件以扩展功能;
4、操作跟踪:CureIAM会详细记录每一个执行的操作,为后续的安全审计提供数据支持;
5、评分和执行:CureIAM会对每项操作建议进行多维度评分,确保执行决策的准确性。
由于CureIAM是基于Python语言开发的,因此用户首先需要在本地环境中安装并配置好Python环境。在启动该工具前,请确保以下路径之一存在配置文件:/etc/CureIAM.yaml、~/.CureIAM.yaml、~/CureIAM.yaml或CureIAM.yaml,同时检查项目目录中是否包含服务账号的JSON文件(cureiamSA.json)。
接下来,用户可以通过以下命令将CureIAM项目源码克隆至本地:
然后进入项目目录,利用pip工具和requirements.txt文件安装所需的依赖包:
执行以下命令即可启动CureIAM:
将CureIAM进程设置为计划任务:
查看CureIAM的帮助信息:
此外,CureIAM还支持在Docker环境中运行,或部署在Kubernetes集群中用于持续集成/持续部署流程。
CureIAM.yaml配置文件是CureIAM引擎的核心,引擎的所有操作均基于该文件中的配置信息执行。
首先,我们需要配置日志记录和计划任务的相关参数:
接下来,配置不同模块,即插件部分,用户可以在此声明所需使用的插件:
每个插件的声明格式如下:
插件定义完成后,需要配置用于安全审计的管道:
最后,执行之前定义的安全审计任务,启动CureIAM:
本项目的开发与发布遵循开源许可证协议。
CureIAM:【】
https://github.com/cloudmarker/cloudmarker