building-cloud-security-posture-management

本 skill 指导安全架构师设计和实施云安全态势管理(CSPM)计划,持续监控 AWS、Azure 和 GCP 的基础设施配置。涵盖选择 Wiz、Prisma Cloud 或原生服务等 CSPM 工具、定义策略基线、 自动化漂移检测,以及将态势发现集成到 SOC 工作流。

9 stars

Best use case

building-cloud-security-posture-management is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

本 skill 指导安全架构师设计和实施云安全态势管理(CSPM)计划,持续监控 AWS、Azure 和 GCP 的基础设施配置。涵盖选择 Wiz、Prisma Cloud 或原生服务等 CSPM 工具、定义策略基线、 自动化漂移检测,以及将态势发现集成到 SOC 工作流。

Teams using building-cloud-security-posture-management should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/building-cloud-security-posture-management/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/building-cloud-security-posture-management/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/building-cloud-security-posture-management/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How building-cloud-security-posture-management Compares

Feature / Agentbuilding-cloud-security-posture-managementStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

本 skill 指导安全架构师设计和实施云安全态势管理(CSPM)计划,持续监控 AWS、Azure 和 GCP 的基础设施配置。涵盖选择 Wiz、Prisma Cloud 或原生服务等 CSPM 工具、定义策略基线、 自动化漂移检测,以及将态势发现集成到 SOC 工作流。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 构建云安全态势管理

## 适用场景

- 组织缺乏跨多个账户和提供商的云错误配置可见性时
- 合规要求需要持续监控 CIS、NIST 或 SOC 2 框架态势时
- 安全团队需要根据实际风险确定错误配置修复优先级时
- 将工作负载迁移到云,并在生产部署前建立安全基线时
- 将云态势发现集成到现有 SOC 或 SIEM 平台时

**不适用于**:运行时威胁检测(参见 detecting-cloud-threats-with-guardduty)、应用层漏洞扫描(参见 securing-serverless-functions),或网络流量分析(参见 implementing-cloud-network-segmentation)。

## 前置条件

- 目标提供商(AWS、Azure、GCP)的云账户,CSPM 工具需要只读 API 访问
- 定义的合规框架要求(CIS Benchmarks、NIST 800-53、PCI-DSS、SOC 2)
- 用于发现摄入和工作流管理的 SIEM 或工单系统
- 商业 CSPM 工具的预算分配或原生工具集成的工程能力

## 工作流程

### 步骤 1:评估当前云资产和风险承受能力

清点所有云账户、订阅和项目。按数据敏感性、法规要求和业务重要性进行分类,以确定 CSPM 覆盖范围。

```
云资产清单:
+----------------+----------+------------+--------------------+------------------+
| 提供商         | 账户数   | 工作负载   | 数据分类           | 合规需求         |
+----------------+----------+------------+--------------------+------------------+
| AWS            | 45       | 生产环境   | 机密               | PCI-DSS, SOC 2   |
| AWS            | 12       | 开发/测试  | 内部               | SOC 2            |
| Azure          | 8        | 生产环境   | 受限(PII)        | GDPR, SOC 2      |
| GCP            | 3        | 分析       | 机密               | SOC 2            |
+----------------+----------+------------+--------------------+------------------+
```

### 步骤 2:选择并部署 CSPM 工具

根据多云支持、策略覆盖、无代理扫描、攻击路径分析和集成能力评估 CSPM 解决方案。

**原生工具:**
- AWS Security Hub CSPM 及 Config 规则
- Microsoft Defender for Cloud CSPM
- Google Security Command Center Premium

**商业平台:**
- Wiz:无代理、基于图的可见性、攻击路径分析,市场份额最高(20.2%)
- Prisma Cloud(现为 Cortex Cloud):CSPM + CWP + CIEM,3000+ 内置策略
- Orca Security:SideScanning 技术,无代理全栈可见性
- Lacework:基于异常的行为分析检测

```bash
# 示例:使用 CloudFormation 为 AWS 部署 Wiz 连接器
aws cloudformation create-stack \
  --stack-name wiz-connector \
  --template-url https://wiz-advanced-security.s3.amazonaws.com/wiz-aws-connector.yaml \
  --parameters ParameterKey=ExternalId,ParameterValue=<wiz-external-id> \
  --capabilities CAPABILITY_NAMED_IAM

# 示例:配置 Prisma Cloud AWS 加载
# Prisma Cloud 使用跨账户 IAM 角色进行只读访问
aws iam create-role \
  --role-name PrismaCloudReadOnly \
  --assume-role-policy-document '{
    "Version": "2012-10-17",
    "Statement": [{
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::188619942792:root"},
      "Action": "sts:AssumeRole",
      "Condition": {"StringEquals": {"sts:ExternalId": "<prisma-external-id>"}}
    }]
  }'
```

### 步骤 3:定义策略基线和自定义规则

将合规框架控制项映射到 CSPM 策略。为超出标准基准的组织特定要求创建自定义规则。

```yaml
# 自定义 CSPM 策略定义示例
policies:
  - name: s3-bucket-encryption-required
    description: 所有 S3 存储桶必须启用 AES-256 或 KMS 加密
    provider: aws
    resource_type: aws_s3_bucket
    severity: HIGH
    rule: |
      resource.encryption.rules[0].apply_server_side_encryption_by_default.sse_algorithm
      in ["aws:kms", "AES256"]
    remediation: 使用 AES-256 或 AWS KMS 启用 S3 存储桶默认加密
    compliance_mapping:
      - CIS_AWS_v5.0: "2.1.1"
      - PCI_DSS: "3.4"
      - SOC2: "CC6.1"

  - name: public-ip-not-attached-to-compute
    description: 生产计算实例不得具有公共 IP 地址
    provider: aws
    resource_type: aws_ec2_instance
    severity: CRITICAL
    rule: |
      resource.public_ip_address == null AND
      resource.tags["Environment"] == "production"
    remediation: 移除公共 IP,通过负载均衡器或 NAT 网关路由流量

  - name: storage-account-private-endpoint
    description: Azure 存储账户必须仅使用私有端点
    provider: azure
    resource_type: azurerm_storage_account
    severity: HIGH
    rule: |
      resource.network_rules.default_action == "Deny" AND
      resource.private_endpoint_connections.length > 0
```

### 步骤 4:自动化漂移检测和告警

配置持续扫描间隔、漂移检测阈值和告警路由,确保在资源创建或修改后数分钟内检测到新的错误配置。

```bash
# 用于 S3 公开访问漂移检测的 AWS Config 规则
aws configservice put-config-rule \
  --config-rule '{
    "ConfigRuleName": "s3-bucket-public-read-prohibited",
    "Source": {
      "Owner": "AWS",
      "SourceIdentifier": "S3_BUCKET_PUBLIC_READ_PROHIBITED"
    },
    "Scope": {"ComplianceResourceTypes": ["AWS::S3::Bucket"]}
  }'

# 使用 SSM Automation 自动修复
aws configservice put-remediation-configurations \
  --remediation-configurations '[{
    "ConfigRuleName": "s3-bucket-public-read-prohibited",
    "TargetType": "SSM_DOCUMENT",
    "TargetId": "AWS-DisableS3BucketPublicReadWrite",
    "Automatic": true,
    "MaximumAutomaticAttempts": 3,
    "RetryAttemptSeconds": 60
  }]'
```

### 步骤 5:通过上下文感知风险评分确定发现优先级

超越仅基于严重性的优先级确定。使用攻击路径分析、资产上下文和可利用性数据,将修复工作聚焦于代表实际风险的发现。

```
风险优先级矩阵:
+----------------------------+----------+-----------+--------+-------------+
| 发现                       | 严重程度 | 暴露于    | 攻击   | 优先级      |
|                            |          | 互联网?   | 路径?  | 评分        |
+----------------------------+----------+-----------+--------+-------------+
| S3 存储桶公开读取          | 高       | 是        | 是     | 严重        |
| RDS 静态未加密             | 高       | 否        | 否     | 中          |
| SG 允许 0.0.0.0/0:22      | 高       | 是        | 是     | 严重        |
| CloudTrail 未启用          | 中       | 否        | 否     | 高          |
| EBS 卷未加密               | 中       | 否        | 否     | 低          |
+----------------------------+----------+-----------+--------+-------------+
```

### 步骤 6:与 SOC 工作流和报告集成

将 CSPM 发现推送到 SIEM 平台,创建 Jira 工单进行修复跟踪,构建态势趋势管理层仪表板。

```bash
# 以 OCSF 格式将发现导出到 Amazon Security Lake
aws securitylake create-subscriber \
  --subscriber-name cspm-siem-integration \
  --sources '[{"awsLogSource": {"sourceName": "SH_FINDINGS"}}]' \
  --subscriber-identity '{"principal": "arn:aws:iam::123456789012:role/SIEMIngestionRole", "externalId": "siem-ext-id"}'
```

## 核心概念

| 术语 | 定义 |
|------|------------|
| CSPM | 云安全态势管理(Cloud Security Posture Management):持续监控服务,识别云基础设施错误配置和合规违规 |
| 配置漂移(Configuration Drift) | 在批准的变更管理流程外对资源进行修改时,偏离已定义安全基线的情况 |
| 攻击路径(Attack Path) | 攻击者可利用的多步骤错误配置和漏洞链,从入口点移动到关键资产 |
| 无代理扫描(Agentless Scanning) | CSPM 方法,使用云提供商 API 和快照分析评估安全态势,无需在工作负载上安装代理 |
| 策略即代码(Policy as Code) | 以机器可读格式(Rego、YAML、JSON)定义安全策略,可进行版本控制和自动化强制执行 |
| 合规框架(Compliance Framework) | 结构化的安全控制和要求集合,如 CIS Benchmarks、NIST 800-53、PCI-DSS 或 SOC 2,用于衡量态势 |
| 安全图(Security Graph) | 图数据库,表示云资源、身份、网络路径和漏洞之间的关系,用于情境化风险分析 |

## 工具与系统

- **Wiz**:无代理 CNAPP,提供基于图的 CSPM、攻击路径分析,以及跨所有主要云提供商的漏洞管理
- **Prisma Cloud / Cortex Cloud**:Palo Alto Networks CNAPP,包含 3000+ 内置策略,涵盖 CSPM、CWP、CIEM 和 IaC 安全
- **AWS Security Hub CSPM**:原生 AWS 态势管理,针对 CIS v5.0 和 AWS Foundational Security Best Practices 进行自动化检查
- **Prowler**:开源 AWS/Azure/GCP 安全评估工具,包含 300+ 检查和 CIS 基准支持
- **Steampipe**:开源基于 SQL 的云配置查询工具,支持 140+ 插件用于多云态势查询

## 常见场景

### 场景:收购后云态势评估

**场景背景**:一家公司收购了一家拥有 30 个 AWS 账户和 5 个 GCP 项目的初创公司。没有 CSPM 工具,安全团队需要在两周内评估继承的环境。

**方法**:
1. 使用只读跨账户角色部署无代理 CSPM 工具(Wiz 或 Orca),立即获得可见性,无需安装代理
2. 对 AWS 和 GCP 运行初始 CIS Benchmarks 扫描,建立基线态势评分
3. 识别严重发现:公开暴露的数据库、含敏感数据的未加密存储、过度特权的服务账户
4. 优先处理连接互联网暴露资源与包含客户 PII 数据存储的攻击路径
5. 提交管理层摘要,包含风险排序发现和 90 天修复路线图
6. 将收购的账户集成到现有 CSPM 平台中进行持续监控

**常见陷阱**:为初始评估部署代理会增加数周延迟。在多云评估中仅使用原生工具会创建独立的仪表板,难以进行跨云比较。

## 输出格式

```
云安全态势评估报告
==========================================
组织: Acme Corp
云提供商: AWS(57 个账户)、Azure(8 个订阅)、GCP(3 个项目)
CSPM 平台: Wiz
评估日期: 2025-02-23

总体态势评分: 68/100

按严重程度的发现:
  严重: 47   (互联网暴露 + 数据访问风险)
  高: 234    (错误配置,暴露有限)
  中: 891    (不合规但即时风险低)
  低: 1,567  (信息性或最佳实践)

主要攻击路径:
  1. 互联网 -> 公开 S3 存储桶(PII 数据)-> 无加密
     受影响: 3 个账户 | 风险: 严重 | 修复预计: 1 天
  2. 互联网 -> EC2(SSH 开放)-> IAM 角色 -> 跨账户管理员
     受影响: 1 个账户 | 风险: 严重 | 修复预计: 2 天
  3. 互联网 -> Azure App Service -> SQL Server(公共端点)
     受影响: 2 个订阅 | 风险: 严重 | 修复预计: 3 天

合规状态:
  CIS AWS v5.0:    62% 合规(340/548 控制项通过)
  CIS Azure v4.0:  71% 合规(189/266 控制项通过)
  CIS GCP v4.0:    58% 合规(87/150 控制项通过)
  SOC 2 Type II:   74% 控制项已映射且通过
```

Related Skills

triaging-security-incident

9
from killvxk/cybersecurity-skills-zh

使用 NIST SP 800-61r3 和 SANS PICERL 框架对安全事件进行初始分类,确定严重性、范围和所需响应行动。 按类型对事件分类,根据业务影响分配优先级,并路由到相应的响应团队。适用于事件分类、 安全告警分类、严重性评估、事件优先级排序或初始事件分析等请求场景。

triaging-security-incident-with-ir-playbook

9
from killvxk/cybersecurity-skills-zh

使用结构化 IR Playbook 对安全事件进行分类和优先排序,确定严重性、分配响应团队并启动适当的响应程序。

triaging-security-alerts-in-splunk

9
from killvxk/cybersecurity-skills-zh

在 Splunk Enterprise Security 中对安全告警进行分类,通过 SPL 查询和事件审查(Incident Review) 仪表板对重要事件进行严重性分类、调查、关联相关遥测并做出升级或关闭决策。 适用于 SOC 分析师需要处理关联搜索产生的告警队列、确定调查优先级, 或需要为交接给二/三级分析师记录分类决策时。

testing-websocket-api-security

9
from killvxk/cybersecurity-skills-zh

测试 WebSocket API 实现中的安全漏洞,包括 WebSocket 升级时缺少身份认证、跨站 WebSocket 劫持(Cross-Site WebSocket Hijacking,CSWSH)、通过 WebSocket 消息进行的注入攻击、输入校验不足、通过消息泛洪实施拒绝服务,以及通过 WebSocket 帧造成的信息泄露。测试人员使用 Burp Suite 拦截 WebSocket 握手和消息,构造恶意 payload,并测试 WebSocket 通道上的授权绕过。适用于 WebSocket 安全测试、WS 渗透测试、CSWSH 攻击或实时 API 安全评估相关请求。

testing-jwt-token-security

9
from killvxk/cybersecurity-skills-zh

在安全测试活动中,评估 JSON Web Token(JWT)实现中的密码学弱点、算法混淆攻击和授权绕过漏洞。

testing-api-security-with-owasp-top-10

9
from killvxk/cybersecurity-skills-zh

使用自动化和手工测试技术,针对 OWASP API 安全 Top 10 风险对 REST 和 GraphQL API 端点进行系统性评估。

securing-kubernetes-on-cloud

9
from killvxk/cybersecurity-skills-zh

本技能涵盖通过实施 Pod 安全标准(Pod Security Standards)、网络策略、工作负载身份、RBAC 权限控制、镜像准入控制和运行时安全监控,对 EKS、AKS 和 GKE 上的托管 Kubernetes 集群进行加固。涉及云平台特定安全功能,包括 EKS 的 IRSA、GKE 的工作负载身份(Workload Identity)以及 AKS 的托管身份(Managed Identity)。

performing-wireless-security-assessment-with-kismet

9
from killvxk/cybersecurity-skills-zh

使用 Kismet 通过被动射频监控进行无线网络安全评估,检测流氓接入点(Rogue AP)、隐藏 SSID、弱加密和未授权客户端。

performing-ssl-tls-security-assessment

9
from killvxk/cybersecurity-skills-zh

使用 sslyze Python 库评估 SSL/TLS 服务器配置,评估加密套件、证书链、协议版本、HSTS 头部,以及 Heartbleed 和 ROBOT 等已知漏洞。

performing-ssl-certificate-lifecycle-management

9
from killvxk/cybersecurity-skills-zh

SSL/TLS 证书生命周期管理涵盖请求、颁发、部署、监控、续期和吊销 X.509 证书的完整流程。不当的证书管理是导致中断和安全事件的主要原因。本技能涵盖使用 Python 和 ACME 协议工具自动化整个证书生命周期。

performing-soap-web-service-security-testing

9
from killvxk/cybersecurity-skills-zh

通过分析 WSDL 定义,测试 XML 注入(XML Injection)、XXE、WS-Security 绕过和 SOAPAction 欺骗,对 SOAP Web 服务执行安全测试。

performing-serverless-function-security-review

9
from killvxk/cybersecurity-skills-zh

对 AWS Lambda、Azure Functions 和 GCP Cloud Functions 中的无服务器函数(Serverless Function)执行安全审查,识别过度宽松的执行角色(Execution Role)、不安全的环境变量、注入漏洞和缺失的运行时保护措施。