16 Repos
Hardening configurations for cloud and containerized environments.
Distinguishing note: Focuses on infrastructure, distinct from application-level security.
Explore 16 awesome GitHub repositories matching devops & infrastructure · Cloud Infrastructure Security. Refine with filters or upvote what's useful.
The OWASP Cheat Sheet Series is a comprehensive, community-driven repository of concise security best practices and defensive coding patterns. It serves as a centralized knowledge base for developers and security professionals, providing actionable guidance to secure applications across the entire software development lifecycle. The project covers a vast array of security domains, ranging from fundamental web application hardening and authentication protocols to specialized controls for modern infrastructure and artificial intelligence systems. What distinguishes this project is its decentral
Secures modern infrastructure environments through hardened configuration and architectural best practices.
Deepagents is an LLM agent orchestration platform and stateful application server designed for deploying and managing AI agents built with computational graphs. It provides a containerized runtime environment that handles agent execution, state persistence, and the versioning of AI assistants. The platform distinguishes itself through deep integration with the Model Context Protocol, allowing agents to function as servers that expose tools and capabilities to external clients. It features a sophisticated observability suite for capturing execution traces, performing LLM-based evaluations agai
Hardens cloud environments by restricting network access to private links and encrypting data at rest.
This project provides a framework for managing multi-agent systems, designed to automate complex software development, infrastructure, and business workflows. It functions as a multi-agent workflow orchestrator that routes tasks to domain-specific workers while maintaining state persistence and infrastructure automation. By leveraging large language models, the system decomposes high-level objectives into actionable plans, ensuring that complex operations are executed with consistency and reliability. The framework distinguishes itself through its hierarchical agent registry and policy-driven
Hardens infrastructure against threats through automated security audits and compliance enforcement.
Wazuh is an integrated security platform that combines endpoint detection and response, security information and event management, and cloud workload protection. It functions as a centralized system for collecting telemetry, aggregating logs, and correlating events across distributed infrastructure to maintain security and integrity. The platform distinguishes itself through its active response orchestration, which allows for the automated execution of scripts on remote endpoints to neutralize threats in real time. It provides deep visibility into system activity through file integrity monito
Maintains visibility into cloud workloads and container environments to detect threats and ensure secure configurations.
Prowler is a multi-cloud security scanner and security posture management tool. It automates security and compliance assessments across multiple cloud environments to identify misconfigurations and vulnerabilities. The project provides a multi-cloud security analysis engine that operates as an automated auditor, evaluating infrastructure against industry-standard regulatory frameworks and security benchmarks. It features a cloud security visualization dashboard that uses a graph database to map cloud inventory and visualize potential attack paths. Capabilities include automated cloud infrast
Automates security and compliance assessments across cloud providers to identify infrastructure misconfigurations.
This project is an AI agent integration layer and skill library that connects large language models to external APIs and developer technologies. It functions as a cloud infrastructure automation framework, providing a standardized interface for managing compute, storage, and database resources through automated agent interactions. The system utilizes a skill registry to extend agent capabilities, allowing intelligent agents to interact with cloud platforms and productivity tools. It provides a resource management interface to execute configuration updates and implement standardized security p
Implements consistent hardening and firewall configurations across cloud deployments to ensure secure interactions.
Ubicloud is an open-source cloud infrastructure platform that provides a unified control plane for provisioning and managing virtual machines, container clusters, and managed databases. It functions as an infrastructure-as-code provider, utilizing declarative configuration files to automate the deployment and scaling of compute, networking, and storage resources across cloud environments. The platform distinguishes itself by integrating a dedicated managed PostgreSQL database service that automates backups, read replicas, and high-availability configurations. It also features a container orch
Protects infrastructure components from unauthorized access by managing firewall rules and subnets.
tfsec is a static analysis tool and security scanner for infrastructure as code, specifically designed to detect misconfigurations and compliance violations in Terraform and cloud infrastructure definitions before deployment. It functions as a cloud security policy engine that identifies vulnerabilities across multiple cloud platforms. The tool provides capabilities for cloud compliance auditing and scanning of Cloud Development Kit code. It supports custom security policy enforcement and allows for the definition of organization-specific security requirements. The scanner includes features
Scans Terraform and cloud configuration files to identify security vulnerabilities and compliance issues before deployment.
Learn-Web-Hacking ist ein strukturierter Studienleitfaden für Web-Sicherheit und eine Wissensdatenbank für Penetration Testing. Es bietet eine Sammlung von Forschungsnotizen, die sich auf die Identifizierung und Ausnutzung von Schwachstellen in Webanwendungen und Netzwerkprotokollen konzentrieren. Das Projekt enthält spezialisierte Frameworks zur Bewertung von Sicherheitsrisiken in Large Language Models, um Prompt-Injection zu verhindern, sowie Leitfäden zur Härtung von Cloud-Native-Infrastrukturen, einschließlich Container-Standards und Orchestrierungstools. Es deckt zudem die Analyse von Identitätsstandards und Authentifizierungsprotokollen ab. Das Material umfasst ein breites Spektrum an Sicherheitsaspekten, darunter Netzwerkprotokollanalyse, Informationsbeschaffung für das Mapping der Angriffsfläche und internes Netzwerk-Penetration-Testing inklusive Lateral Movement und Persistenz. Zudem werden Verteidigungsstrategien wie Zero-Trust-Architekturen und Intrusion Detection detailliert beschrieben.
Provides guides for hardening cloud-native infrastructure, specifically focusing on container standards and orchestration tools.
Terrascan ist ein statisches Analysetool, das entwickelt wurde, um Infrastructure-as-Code-Konfigurationsdateien auf Sicherheitslücken und Compliance-Verstöße zu prüfen. Durch das Parsen dieser Dateien in eine Zwischenrepräsentation identifiziert es Risiken, bevor Cloud-Ressourcen bereitgestellt werden, und dient als Compliance-Auditor für Cloud-native Umgebungen. Das Tool fungiert als Policy-as-Code-Engine, die es Benutzern ermöglicht, benutzerdefinierte Sicherheitsregeln und Industriestandards mithilfe einer spezialisierten Abfragesprache zu definieren und durchzusetzen. Es zeichnet sich durch seine Fähigkeit aus, sich direkt in Entwicklungs- und Deployment-Workflows zu integrieren und automatisierte Sicherheitsleitplanken bereitzustellen, die nicht konforme Deployments über Exit-Code-basiertes Reporting blockieren können. Über die statische Analyse hinaus unterstützt die Plattform das Scannen von Container-Registries auf Schwachstellen, um bildbasierte Risiken mit Infrastrukturkonfigurationen zu korrelieren. Sie bietet zudem Monitoring für Konfigurationsabweichungen (Configuration Drift), um bereitgestellte Ressourcen gegen etablierte Sicherheits-Baselines zu verfolgen, sowie konfigurationsgesteuerte Unterdrückungsmechanismen zur Verwaltung von Richtlinien-Overrides und False Positives. Die Software bietet sowohl ein Command-Line-Interface für die lokale Entwicklungsvalidierung als auch eine netzwerkzugängliche Scanning-API für die Remote-Integration mit Drittsystemen und automatisierten Pipelines.
Performs static analysis on infrastructure-as-code configuration files to identify security vulnerabilities and compliance violations without executing the code.
Azure Linux ist ein universelles Linux-Betriebssystem, das für virtuelle Maschinen und Container in der Azure-Cloud-Umgebung optimiert ist. Es dient als gehärtetes Cloud-Betriebssystem, das die Angriffsfläche für Bereitstellungen in virtualisierten Cloud-Umgebungen und auf Bare-Metal-Plattformen minimiert. Das Projekt nutzt ein deklaratives Linux-Build-System, das Konfigurations-Overlays verwendet, um Distributionspakete anzupassen. Dieser Ansatz ermöglicht die Modifikation von Systemkomponenten und die Erstellung von Paketspezifikationen, ohne den Upstream-Quellcode forken zu müssen. Die Distribution deckt die Härtung der Cloud-Infrastruktur und das Management von Paketspezifikationen ab. Sie lässt sich über eine Upstream-kompatible Pipeline in Standard-Linux-Build-Tools integrieren, um angepasste Distributionspakete und gehärtete Cloud-Images zu erstellen.
Implements hardening configurations for cloud and containerized environments to reduce the attack surface of virtual machines.
Dieses Projekt ist eine umfassende Sammlung von Leitfäden und Frameworks zur Absicherung von SaaS-Infrastrukturen und Unternehmensabläufen. Es bietet eine Zusammenstellung technischer Checklisten, Architekturmuster und Best Practices zur Härtung von Cloud-Anwendungen gegen Cyberangriffe. Das Projekt zeichnet sich durch spezialisierte Handbücher für Risikomanagement und Compliance-Bereitschaft aus. Es bietet strukturierte Ansätze für Threat Modeling, Incident-Response-Planung und die Vorbereitung von Audit-Nachweisen, die zur Erfüllung von Branchen-Sicherheitszertifizierungen und Anforderungen von Unternehmenskunden erforderlich sind. Das Framework deckt breite Fähigkeitsbereiche ab, einschließlich der Härtung von Cloud-Infrastrukturen, Identitäts- und Zugriffsmanagement sowie Sicherheitsrisikomanagement. Es adressiert technische Kontrollen wie Umgebungsisolierung und Netzwerkverschlüsselung sowie operative Prozesse wie das Offboarding von Mitarbeitern und die Überprüfung von Anbietern.
Implements comprehensive hardening configurations for cloud infrastructure, including environment isolation and vulnerability monitoring.
Dieses Projekt bietet containerisierte Distribution-Templates und Images für das Deployment eines Medienservers. Es ermöglicht den Betrieb eines Medienservers innerhalb von Docker- oder Kubernetes-Umgebungen und nutzt Paketmanagement-Charts, um die Installation und Verwaltung von Home-Cinema-Bibliotheken zu optimieren. Das Projekt konzentriert sich auf leistungsstarke Videoverarbeitung durch hardwarebeschleunigtes Transcoding, das durch das Durchreichen von GPU-Geräten an den Container erreicht wird. Es stellt die Datenpersistenz durch das Mapping von Host-Verzeichnissen für Konfigurationsdatenbanken und groß angelegte Medienbibliotheken sicher. Das System deckt ein breites Spektrum operativer Funktionen ab, einschließlich Netzwerkkonfiguration für Bridge- oder Host-Modi, Ingress-Routing für externes Hostname-Mapping und die Abstimmung von Benutzerberechtigungen zur Verwaltung des Dateizugriffs. Es enthält zudem Mechanismen zur Server-Identitätsauthentifizierung mittels Claim-Tokens und automatisierte Binär-Updates, die durch Image-Tags ausgelöst werden. Das Deployment wird durch Kubernetes-Helm-Charts und Docker-Images unterstützt.
Includes utilities to validate deployment charts and manifests against linting rules and schemas.
Cloudsploit is a cloud security posture management tool and multi-cloud security auditor. It audits cloud infrastructure for misconfigurations and compliance risks across multiple providers, specifically AWS and Azure, by evaluating resource configurations against a set of security plugins. The project functions as a cloud compliance scanner that maps infrastructure scan results to regulatory frameworks and security policy standards. It also serves as an automated cloud remediation tool, executing corrective actions to fix detected misconfigurations via SDK calls. The system covers resource
Audits cloud infrastructure across multiple accounts for security misconfigurations using specialized plugins.
Conftest is a suite of tools designed for validating structured configurations, testing policy logic, and generating policy documentation. It serves as a configuration file validator that checks YAML, JSON, and Helm charts for security violations and compliance issues using declarative rules. The project functions as an Open Policy Agent testing tool, allowing structured configuration files to be validated against custom policies written in Rego. It includes a policy-as-code testing framework to ensure policy logic is correct and a utility to extract metadata from Rego code to create static m
Performs static analysis of infrastructure-as-code configuration files to identify security risks before deployment.
Dieses Repository dient als umfassende Referenzbibliothek für Cloud-Architektur-Design und bietet standardisierte Anleitungen sowie technische Blaupausen für den Aufbau skalierbarer, sicherer und hochperformanter Umgebungen. Es fungiert als zentrale Wissensdatenbank für Engineering-Patterns, Migrationsstrategien und Infrastruktur-Frameworks, die auf Cloud-native Lösungen zugeschnitten sind. Die Plattform zeichnet sich durch ein komponentengetriebenes Dokumentationssystem aus, das metadatengesteuerte Klassifizierung zur Organisation komplexer architektonischer Anleitungen nutzt. Durch den Einsatz eines Static-Site-Generators kompiliert das Projekt Markdown-basierte Inhalte in eine strukturierte, global verteilte Web-Erfahrung, die Peer-Review und Versionskontrolle durch verteiltes Source-Management erleichtert. Die Inhalte decken ein breites Spektrum technischer Domänen ab, einschließlich Design von Datenanalyse-Plattformen, Orchestrierung von Workflows für generative KI und Management hybrider Cloud-Infrastrukturen. Zudem bietet es Frameworks für die Implementierung sicherer Landing Zones, die Etablierung von Cloud-Security-Governance und die Ausführung unternehmensweiter Adoptionsstrategien.
Implements defense-in-depth strategies and identity controls to secure cloud-based infrastructure.