tirith:开源政策框架,简化基础设施配置管理

于 2025-04-13 16:20:33 发布
阅读量523 收藏 9
点赞数 27
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00989/article/details/147193282
版权

tirith:开源政策框架,简化基础设施配置管理

tirith StackGuardian Policy Framework tirith 项目地址: https://gitcode.com/gh_mirrors/ti/tirith

项目介绍

Tirith 是由 StackGuardian 开发的一个政策框架,旨在为基础设施配置如 Terraform、CloudFormation、Kubernetes 等实施政策。它通过用户友好的方法简化了政策创建和执行,确保基础设施政策符合规范。

Tirith 适用于以下人群:

  • DevSecOps 工程师
  • 基础设施架构师
  • 云管理员
  • 任何参与管理和执行基础设施护栏的人

项目技术分析

Tirith 采用声明式的基础设施即代码(IaC)配置,例如 Terraform,通过使用 JSON 定义的政策来扫描这些配置。这种设计允许用户以声明式的方式定义政策,无需深入了解政策引擎的实现复杂性。

项目的技术亮点包括:

  • 抽象化政策引擎的底层复杂性。
  • 简化声明式政策的创建,使其易于阅读和理解。
  • 提供标准化框架,用于扫描具有细粒度的各种配置。
  • 提供模块化设计,便于扩展。

项目技术应用场景

Tirith 的应用场景广泛,适用于需要对基础设施配置进行政策管理的各种情况,包括但不限于:

  • 确保 Terraform 配置遵守组织的安全和合规政策。
  • 管理和优化云资源的成本。
  • 在持续集成/持续部署(CI/CD)流程中实施政策检查。

项目特点

1. 简化政策管理

在 IaC 中管理政策可能既复杂又成本高昂,通常需要多个代码库。Tirith 通过集中管理政策,简化了这一过程,允许用户在一个地方定义和执行政策。

2. 超越资源配置

Tirith 的政策不仅涵盖资源配置,还扩展到成本管理和 CI/CD 定义,提供了一个全面的合规解决方案。

3. 成本效益

在 IaC 逻辑中维护政策通常成本很高。Tirith 通过集中政策管理,消除了在不同 IaC 代码库中复制政策的需要,从而降低了成本。

4. 简化政策创建

编写政策即代码是一项挑战。Tirith 通过提供一种直观、声明式的方法来简化这一过程,使得确保合规性和安全性变得更加容易。

安装与使用

安装

用户可以通过以下命令安装 Tirith:

pip install git+https://github.com/StackGuardian/tirith.git

开发者可以通过以下步骤在本地开发环境中安装:

  1. 克隆 Tirith 仓库到本地系统。
  2. 切换到克隆的仓库目录。
  3. 设置 Python 虚拟环境。
  4. 激活虚拟环境。
  5. 在虚拟环境中安装 Tirith。

使用

使用 Tirith 非常简单,以下是一个基本的使用示例:

usage: tirith [-h] [-policy-path PATH] [-input-path PATH] [--json] [--verbose] [--version]

用户可以指定政策文件路径、输入文件路径,以及其他选项,如输出为 JSON 格式或显示详细日志。

示例政策

Tirith 支持多种类型的政策,以下是一些使用不同提供者的示例政策:

Terraform 计划提供者

确保 AWS VPC 实例租户为默认值,且 EC2 实例不会被销毁:

{
  "meta": {
    "required_provider": "stackguardian/terraform_plan",
    "version": "v1"
  },
  "evaluators": [
    {
      "id": "check_ec2_tenancy",
      "provider_args": {
        "operation_type": "attribute",
        "terraform_resource_type": "aws_vpc",
        "terraform_resource_attribute": "instance_tenancy"
      },
      "condition": {
        "type": "Equals",
        "value": "default"
      }
    },
    {
      "id": "destroy_ec2",
      "provider_args": {
        "operation_type": "action",
        "terraform_resource_type": "aws_instance"
      },
      "condition": {
        "type": "ContainedIn",
        "value": ["destroy"]
      }
    }
  ],
  "eval_expression": "check_ec2_tenancy && !destroy_ec2"
}

确保所有 aws_s3_bucket 都被 aws_s3_bucket_intelligent_tiering_configuration 引用:

{
  "meta": {
    "required_provider": "stackguardian/terraform_plan",
    "version": "v1"
  },
  "evaluators": [
    {
      "id": "s3HasLifeCycleIntelligentTiering",
      "description": "确保所有 aws_s3_bucket 都被 aws_s3_bucket_intelligent_tiering_configuration 引用",
      "provider_args": {
        "operation_type": "direct_references",
        "terraform_resource_type": "aws_s3_bucket",
        "referenced_by": "aws_s3_bucket_intelligent_tiering_configuration"
      },
      "condition": {
        "type": "Equals",
        "value": true,
        "error_tolerance": 0
      }
    }
  ],
  "eval_expression": "s3HasLifeCycleIntelligentTiering"
}

确保所有 AWS ELBs 都附加到安全组:

{
  "meta": {
    "version": "v1",
    "required_provider": "stackguardian/terraform_plan"
  },
  "evaluators": [
    {
      "id": "aws_elbs_have_direct_references_to_security_group",
      "provider_args": {
        "operation_type": "direct_references",
        "terraform_resource_type": "aws_elb",
        "references_to": "aws_security_group"
      },
      "condition": {
        "type": "Equals",
        "value": true,
        "error_tolerance": 0
      }
    }
  ],
  "eval_expression": "aws_elbs_have_direct_references_to_security_group"
}

Tirith 是一个功能强大的开源政策框架,它通过简化基础设施配置的管理,为 DevSecOps 工程师和基础设施管理员提供了一个宝贵的工具。通过集中管理和直观的政策定义,Tirith 有助于确保基础设施的安全性、合规性和成本效益。如果你正在寻找一种更有效的方式来管理你的基础设施政策,Tirith 可能正是你所需要的。

tirith StackGuardian Policy Framework tirith 项目地址: https://gitcode.com/gh_mirrors/ti/tirith

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

Linux系统:selinux规则配置详解
十七拾的博客
03-07 7081
SELinux(Security-Enhanced Linux)是一个Linux内核模块,它实现了强制访问控制(MAC)机制,可以对系统中的各种资源(文件、进程、网络端口等)进行细粒度的访问控制,从而提高了系统的安全性主要作用是强化系统的安全性,通过访问控制来防止恶意程序对系统进行攻击。它可以限制程序的权限,防止它们对系统资源进行未经授权的访问和操作,从而有效地保护系统免受攻击。
SELinux详解之第一章——基本介绍
星留影的刹那间
05-20 4249
SELinux是什么? SELinux全称Security Enhanced Linux(安全性增强Linux),意在现有的Linux系统中额外增加一层安全控制层面,主要就是在解决某某应用是否可访问某某文件的问题。SELinux通常是和Linux自带的DAC(目录权限控制)(也就是平常ls后看到的rwx之类的)一起工作。SELinux实现了MAC(强制访问控制),即为系统中每个文件和进程打上标签SELinux上下文标签,在进程对文件进行访问时,对标签进行检测,查看是否有可以访问。 使用SELinux的好处
Linux内核学习笔记——SELinux介绍(SELinux Policy是什么?)
ZP1015
07-01 2477
本文主要描述了SELinux的原理,以及在android中的使用。第一部分首先介绍了SELinux的基础框架;第二部分介绍了SELinux的基础理论;第三部分简单介绍了SELinux Policy。 本文主要基于android系统的SELinux讲解,水平有限,如果有错误,敬请指正。 一、SELinux Overview 1. SELinux 来源 SELinux 即Security-Enhanced Linux,由美国国家安全局(NSA)发起,Secure Computing Corporation
Linux进阶篇--SElinux
天空飘过的鱼的博客
09-09 596
Linux进阶篇–SElinux 本章概要 * SELinux概念 * 启用SELinux * 管理文件安全标签 * 管理端口标签 * 管理SELinux布尔值开关 * 管理日志 * 查看SELinux帮助 SElinux介绍 * SELinux: Secure Enhanced Linux, 是美国国家安全局(NSA=The National Security Agenc...
SeLinux简单总结
最新发布
Luckyion的专栏
02-27 107
在系统启动过程中,当执行到restorecon这句的时候,我需要访问的/sys/class/xxx节点,有一定几率还是不存在,没有创建完成,因此在后面解决办法是不使用/sys/class/xxx节点,使用/proc/driver/xxx节点去设置type。MAC 的理论也很简单,任何进程想在 SELinux 系统上干任何事情,都必须在《安全策略文件》中赋予权限,凡是没有出现在安全策略文件中的权限,就不行。DAC的权限控制策略是非常简洁,行为是简单的RWX三种,主体也很简单的就能被分为UGO三类。
浅析linux之SElinux的targeted规则(Policy
完颜振江
02-11 3724
SElinux的预设policy有两种,其一是strict(完全限制的SElinux保护),另外一种就是今天要分析的targeted(仅对网络服务限制严格的SElinux),性能优良的linux系统往往被用作服务器的搭建平台,所以系统的安全十分的重要,然而在linux平台的防护措施也十分的多,像iptables,pam,acl.....等等,这里要说的selinux同样值得信赖! 这里学习的是在规则targeted下的一些常用操作 1、查看本机的selinux的状态 [root@localhost
Android安全策略之SELinux
qq_27672101的博客
08-01 1万+
SELinux原本是美国国安局联合一些公司设计的一个针对Linux的安全加强系统。 SELinux出现之前,Linux系统上的安全模型叫做DAC(自主访问控制),其原理是进程所拥有的权限与执行它的用户的权限相同(例如:以root用户启动Browser,那么Browser就有root用户的权限,在Linux系统上能干任何事情)。SELinux的出现结束了这种宽松的访问。 SELinux在DAC的基础之上,设计了新的安全模型叫做MAC(强制访问控制),其原理是任何进程想在SELinux系统中干任何事情,都必
selinux-sepolicy配置
卓越之路
01-21 6462
一、概念 1. 运行模式 Selinux有两种运行模式:Permissive和Enforcing。未明确配置权限,当访问时默认权限是拒绝。为方便开发调试权限配置,单个domain可设置为permissive模式,permissivedomain。 语法格式 Selinux依赖于标签来匹配操作和策略,标签决定什么是允许的,套接字、文件和进程都在selinux中有标签。 Selinux决策基于分配给这些对象的标签和定义它们如何交互的策略,label的格式:user:role:type:m...
the-siege-of-minas-tirith:魔兽争霸III
03-28
两支部队在城市米纳斯提力斯(Minas Tirith)上作战35分钟。 刚铎必须保护白树不惜一切代价,直到时间过去。 在时间过去之前,Mordor必须销毁白树。 每个玩家都可以从《指环王》电影的多个角色中选择英雄。 每个...
《魔兽争霸III》米纳斯提力斯围城战:防守策略与英雄选择
标题中的“the-siege-of-minas-tirith:魔兽争霸III”表示文件是关于“魔兽争霸III”这个著名即时战略游戏的一个特定地图——“米纳斯提力斯的围困”。这个标题本身表明,这个地图是基于一部广受好评的电影《指环王:...
njucs数电大作业计算系统verilog代码
01-05
在这个项目中,学生们被要求利用这些基础知识设计一个计算系统,这通常包括数据通路和控制单元两大部分。 数据通路是CPU的物理执行部分,它处理指令并执行算术和逻辑运算。在单周期CPU中,所有操作在一个时钟周期内...
Android - 深入浅出理解SeLinux
temp7695的博客
03-22 3351
1. 概述1. 概述SeLinux(Security-Enhanced Linux)是一个标签系统(labeling system)。每个进程都有一个label(称为process label),每个文件系统所涵盖的文件/目录、网络端口、设备等对象也有一个lable(称为Object label)。SeLinux通过编写规则来控制一个process label对一个Object label的访问,这个规则称之为策略(Policy)。
SELinux sePolicy
大雄不爱吃肉
08-14 4465
基础知识 SEAndroid在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到SEAndroid的只是SELinux的一个子集。SEAndroid的安全检查覆盖了所有重要的方面包括了域转换、类型转换、进程相关操作、内核相关操作、文件目录相关操作、文件系统相关操作、对设备相关操作、对app相关操作、对网络相关操作、对IPC相关操作。 Policy policy
SELinux详解
热门推荐
不知道
03-25 1万+
SELinux详解 什么是SELinux 当初设计的目标:避免资源的误用 传统的文件权限与账号主要的关系:自主访问控制(DAC) 以策略规则制定特定进程读取特定文件:强制访问控制(MAC) SELinux的运行模式 安全上下文 进程与文件SELinux类型字段的相关性 SELinux 3种模式的启动、关闭与查看 三种模式的运行状态 SELinux的启动与关闭 SELinux策略内的规则管理 SELinux各个规则的布尔值查询getsebool SELinux类型查询seinfo、sesearch seinf
[SELinux Policy]如何设置SELinux策略规则?
sandform的博客
06-03 5767
[SELinux Policy]如何设置SELinux策略规则? [Description] android KK 4.4 版本后,Google 默认启用了SELinux, 并会把SELinux 审查异常打印在kernel log 或者 android log(L 版本)中,对应的关键字是: "avc: denied" 或者"avc: denied" 如一行LOG: [ 17.2
SELinux Policy 开源项目安装与使用指南
gitblog_00359的博客
09-08 939
SELinux Policy 开源项目安装与使用指南 selinux-policyselinux-policy for Fedora is a large patch off the mainline项目地址:https://gitcode.com/gh_mirrors/se/selinux-policy 本指南旨在帮助您了解并操作从 fedora-selinux/selinux-policy ...
SELINUX(Security-Enhanced Linux 安全增强型Linux)(Enforcing、Permissive、Disabled)(targeted、minimum、mls)
Dontla的博客
02-22 1267
Security-Enhanced Linux (SELinux) is a Linux kernel security module that provides a mechanism for supporting access control security policies, including United States Department of Defense-style mandatory(强制的、义务的) access controls (MAC).
SELINUX
2401_83342251的博客
11-16 831
SELinux是通过MAC (强制访问控制)的方式来控制管理进程,它控制的主体是进程,而目标则是该进程能否读取的文件资源。主体(subject):就是进程目标(object):被主体访问的资源,可以是文件、目录、端口等。策略(policy):由于进程与文件数量庞大,因此SELinux会依据某些服务来制定基本的访问安全策略。这些策略内还会有详细的规则(rule)来指定不同的服务开放某些资源的访问与否。目前主要的策略有:targeted。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

姬忆慈Loveable

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值