近日宣布将开源 Cloud Katana,这是一款基于无服务器云平台的云原生应用,设计用于对云环境和混合云环境进行安全评估。目前仅在一个云服务商上实现初步兼容,开发者正在推动跨云兼容性。
Cloud Katana 构建于云平台之上,目标是通过“模拟”方式测试云端安全与混合云安全。攻击模拟通过 PowerShell 启动,YAML 用于记录。
每一个攻击模拟都以 YAML 为基础格式记录,汇总元数据,如标题、描述、ATT&CK 映射、预期输入和输出,甚至包括前提条件,以确保执行步骤前具备正确权限。这方便以编程方式处理记录的操作并自动配置其他资源。
与模拟相关的步骤通过“函数”调用实现,这些函数是通过 HTTP 请求执行的代码块。无服务器平台的目录用于连接云服务,能为执行模拟的人员提供条件访问、多因素认证和单点登录。
Cloud Katana 基于平台即服务(PaaS)的理念,提供一个简化且可扩展的事件驱动解决方案,避免直接处理底层基础设施的部署与维护。
Cloud Katana 的适用范围不仅限于云服务的安全性测试,也在评估在本地环境的潜在使用。官方说明:对本地机器的支持涉及使用混合连接服务,通过中继代理安全地将内部服务暴露给公有云。
设计与开发遵循以下原则:无服务器执行模式、按需 Web API、YAML 驱动的攻击定义、安全认证与授权、身份联邦与集成、对云资源的细粒度访问控制、与编程语言无关的客户端以及对云与本地的覆盖性。
当前项目已托管在代码仓库,感兴趣的开发者可以了解更多细节。
