16 dépôts
Hardening configurations for cloud and containerized environments.
Distinguishing note: Focuses on infrastructure, distinct from application-level security.
Explore 16 awesome GitHub repositories matching devops & infrastructure · Cloud Infrastructure Security. Refine with filters or upvote what's useful.
The OWASP Cheat Sheet Series is a comprehensive, community-driven repository of concise security best practices and defensive coding patterns. It serves as a centralized knowledge base for developers and security professionals, providing actionable guidance to secure applications across the entire software development lifecycle. The project covers a vast array of security domains, ranging from fundamental web application hardening and authentication protocols to specialized controls for modern infrastructure and artificial intelligence systems. What distinguishes this project is its decentral
Secures modern infrastructure environments through hardened configuration and architectural best practices.
Deepagents is an LLM agent orchestration platform and stateful application server designed for deploying and managing AI agents built with computational graphs. It provides a containerized runtime environment that handles agent execution, state persistence, and the versioning of AI assistants. The platform distinguishes itself through deep integration with the Model Context Protocol, allowing agents to function as servers that expose tools and capabilities to external clients. It features a sophisticated observability suite for capturing execution traces, performing LLM-based evaluations agai
Hardens cloud environments by restricting network access to private links and encrypting data at rest.
This project provides a framework for managing multi-agent systems, designed to automate complex software development, infrastructure, and business workflows. It functions as a multi-agent workflow orchestrator that routes tasks to domain-specific workers while maintaining state persistence and infrastructure automation. By leveraging large language models, the system decomposes high-level objectives into actionable plans, ensuring that complex operations are executed with consistency and reliability. The framework distinguishes itself through its hierarchical agent registry and policy-driven
Hardens infrastructure against threats through automated security audits and compliance enforcement.
Wazuh is an integrated security platform that combines endpoint detection and response, security information and event management, and cloud workload protection. It functions as a centralized system for collecting telemetry, aggregating logs, and correlating events across distributed infrastructure to maintain security and integrity. The platform distinguishes itself through its active response orchestration, which allows for the automated execution of scripts on remote endpoints to neutralize threats in real time. It provides deep visibility into system activity through file integrity monito
Maintains visibility into cloud workloads and container environments to detect threats and ensure secure configurations.
Prowler is a multi-cloud security scanner and security posture management tool. It automates security and compliance assessments across multiple cloud environments to identify misconfigurations and vulnerabilities. The project provides a multi-cloud security analysis engine that operates as an automated auditor, evaluating infrastructure against industry-standard regulatory frameworks and security benchmarks. It features a cloud security visualization dashboard that uses a graph database to map cloud inventory and visualize potential attack paths. Capabilities include automated cloud infrast
Automates security and compliance assessments across cloud providers to identify infrastructure misconfigurations.
This project is an AI agent integration layer and skill library that connects large language models to external APIs and developer technologies. It functions as a cloud infrastructure automation framework, providing a standardized interface for managing compute, storage, and database resources through automated agent interactions. The system utilizes a skill registry to extend agent capabilities, allowing intelligent agents to interact with cloud platforms and productivity tools. It provides a resource management interface to execute configuration updates and implement standardized security p
Implements consistent hardening and firewall configurations across cloud deployments to ensure secure interactions.
Ubicloud is an open-source cloud infrastructure platform that provides a unified control plane for provisioning and managing virtual machines, container clusters, and managed databases. It functions as an infrastructure-as-code provider, utilizing declarative configuration files to automate the deployment and scaling of compute, networking, and storage resources across cloud environments. The platform distinguishes itself by integrating a dedicated managed PostgreSQL database service that automates backups, read replicas, and high-availability configurations. It also features a container orch
Protects infrastructure components from unauthorized access by managing firewall rules and subnets.
tfsec is a static analysis tool and security scanner for infrastructure as code, specifically designed to detect misconfigurations and compliance violations in Terraform and cloud infrastructure definitions before deployment. It functions as a cloud security policy engine that identifies vulnerabilities across multiple cloud platforms. The tool provides capabilities for cloud compliance auditing and scanning of Cloud Development Kit code. It supports custom security policy enforcement and allows for the definition of organization-specific security requirements. The scanner includes features
Scans Terraform and cloud configuration files to identify security vulnerabilities and compliance issues before deployment.
Learn-Web-Hacking est un guide d'étude structuré sur la sécurité web et une base de connaissances en tests d'intrusion. Il propose une collection de notes de recherche axées sur l'identification et l'exploitation de vulnérabilités dans les applications web et les protocoles réseau. Le projet inclut des frameworks spécialisés pour évaluer les risques de sécurité dans les grands modèles de langage (LLM) afin de prévenir les injections de prompts, ainsi que des guides pour durcir l'infrastructure cloud-native, incluant les standards de conteneurs et les outils d'orchestration. Il couvre également l'analyse des standards d'identité et des protocoles d'authentification. Le matériel couvre un large éventail de capacités de sécurité, incluant l'analyse de protocoles réseau, la collecte d'informations pour la cartographie de la surface d'attaque, et les tests d'intrusion sur réseaux internes impliquant des mouvements latéraux et la persistance. Il détaille en outre des stratégies défensives telles que les architectures zero-trust et la détection d'intrusion.
Provides guides for hardening cloud-native infrastructure, specifically focusing on container standards and orchestration tools.
Terrascan est un outil d'analyse statique conçu pour évaluer les fichiers de configuration d'infrastructure en tant que code pour les vulnérabilités de sécurité et les violations de conformité. En analysant ces fichiers dans une représentation intermédiaire, il identifie les risques avant que les ressources cloud ne soient provisionnées, servant d'auditeur de conformité pour les environnements cloud-native. L'outil fonctionne comme un moteur de politique en tant que code, permettant aux utilisateurs de définir et d'appliquer des règles de sécurité personnalisées et des références industrielles en utilisant un langage de requête spécialisé. Il se distingue par sa capacité à s'intégrer directement dans les flux de travail de développement et de déploiement, fournissant des garde-fous de sécurité automatisés qui peuvent bloquer les déploiements non conformes via des rapports basés sur le code de sortie. Au-delà de l'analyse statique, la plateforme prend en charge le scan de vulnérabilité de registre de conteneurs pour corréler les risques basés sur l'image avec les configurations d'infrastructure. Elle fournit également une surveillance de la dérive de configuration pour suivre les ressources provisionnées par rapport aux bases de référence de sécurité établies, parallèlement à des mécanismes de suppression pilotés par la configuration pour gérer les remplacements de politique et les faux positifs. Le logiciel offre à la fois une interface de ligne de commande pour la validation du développement local et une API de scan accessible par réseau pour l'intégration à distance avec des systèmes tiers et des pipelines automatisés.
Performs static analysis on infrastructure-as-code configuration files to identify security vulnerabilities and compliance violations without executing the code.
Azure Linux est un système d'exploitation Linux généraliste optimisé pour les machines virtuelles et les conteneurs au sein de l'environnement cloud Azure. Il sert de système d'exploitation cloud durci, conçu pour réduire la surface d'attaque des déploiements sur des environnements cloud virtualisés et des plateformes bare-metal. Le projet utilise un système de build Linux déclaratif qui emploie des superpositions de configuration pour modifier les paquets de la distribution. Cette approche permet la personnalisation des composants système et la génération de spécifications de paquets sans avoir à forker la source amont. La distribution couvre le durcissement de l'infrastructure cloud et la gestion des spécifications de paquets. Elle s'intègre aux outils de build Linux standard via un pipeline compatible avec l'amont pour produire des paquets de distribution personnalisés et des images cloud durcies.
Implements hardening configurations for cloud and containerized environments to reduce the attack surface of virtual machines.
Ce projet est un ensemble complet de guides et de frameworks conçus pour sécuriser l'infrastructure SaaS et les opérations d'entreprise. Il fournit une collection de checklists techniques, de modèles architecturaux et de bonnes pratiques pour renforcer les applications cloud contre les cyberattaques. Le projet se distingue en fournissant des manuels spécialisés pour la gestion des risques et la préparation à la conformité. Il propose des approches structurées pour la modélisation des menaces, la planification de la réponse aux incidents et la préparation des preuves d'audit requises pour répondre aux certifications de sécurité de l'industrie et aux exigences des clients entreprises. Le framework couvre de larges domaines de capacités, notamment le durcissement de l'infrastructure cloud, la gestion des identités et des accès, et la gestion des risques de sécurité. Il aborde les contrôles techniques tels que l'isolation des environnements et le chiffrement réseau, ainsi que les processus opérationnels comme le départ des employés et le contrôle des fournisseurs.
Implements comprehensive hardening configurations for cloud infrastructure, including environment isolation and vulnerability monitoring.
This project provides containerized distribution templates and images for deploying a media server. It enables the operation of a media server within Docker or Kubernetes environments, utilizing package management charts to streamline installation and management of home cinema libraries. The project focuses on high-performance video processing through hardware accelerated transcoding, which is achieved by passing through graphics processing unit devices to the container. It ensures data persistence by mapping host directories for configuration databases and large-scale media libraries. The s
Includes utilities to validate deployment charts and manifests against linting rules and schemas.
Cloudsploit is a cloud security posture management tool and multi-cloud security auditor. It audits cloud infrastructure for misconfigurations and compliance risks across multiple providers, specifically AWS and Azure, by evaluating resource configurations against a set of security plugins. The project functions as a cloud compliance scanner that maps infrastructure scan results to regulatory frameworks and security policy standards. It also serves as an automated cloud remediation tool, executing corrective actions to fix detected misconfigurations via SDK calls. The system covers resource
Audits cloud infrastructure across multiple accounts for security misconfigurations using specialized plugins.
Conftest is a suite of tools designed for validating structured configurations, testing policy logic, and generating policy documentation. It serves as a configuration file validator that checks YAML, JSON, and Helm charts for security violations and compliance issues using declarative rules. The project functions as an Open Policy Agent testing tool, allowing structured configuration files to be validated against custom policies written in Rego. It includes a policy-as-code testing framework to ensure policy logic is correct and a utility to extract metadata from Rego code to create static m
Performs static analysis of infrastructure-as-code configuration files to identify security risks before deployment.
Ce dépôt sert de bibliothèque de référence complète pour la conception d'architecture cloud, fournissant des conseils standardisés et des blueprints techniques pour construire des environnements évolutifs, sécurisés et performants. Il fonctionne comme une base de connaissances centralisée pour les modèles d'ingénierie, les stratégies de migration et les frameworks d'infrastructure adaptés aux solutions cloud-native. La plateforme se distingue par un système de documentation piloté par les composants qui utilise une classification basée sur les métadonnées pour organiser des conseils architecturaux complexes. En employant un générateur de site statique, le projet compile le contenu basé sur Markdown en une expérience web structurée et distribuée mondialement qui facilite la revue par les pairs et le contrôle de version via une gestion de source distribuée. Le contenu couvre un large spectre de domaines techniques, incluant la conception de plateformes d'analyse de données, l'orchestration de workflows d'intelligence artificielle générative et la gestion d'infrastructure cloud hybride. Il fournit en outre des frameworks pour implémenter des zones d'atterrissage (landing zones) sécurisées, établir une gouvernance de sécurité cloud et exécuter des stratégies d'adoption à l'échelle de l'entreprise.
Implements defense-in-depth strategies and identity controls to secure cloud-based infrastructure.