利用Cartography实现多租户云环境安全审计的10个技巧

【免费下载链接】cartography Cartography is a Python tool that consolidates infrastructure assets and the relationships between them in an intuitive graph view powered by a Neo4j database. 项目地址: https://gitcode.com/gh_mirrors/car/cartography

Cartography是一款基于Python的开源工具，它能将复杂的云基础设施资产及其关系整合到Neo4j数据库中，以直观的图谱形式呈现，帮助安全团队高效进行多租户云环境的安全审计。无论是管理AWS、Azure还是混合云环境，Cartography都能提供清晰的资产关系视图，是云安全审计的强大助手。

1. 快速部署与多租户数据隔离配置 🚀

Cartography支持多种部署方式，推荐使用Docker Compose实现快速启动。通过修改docker-compose.yml配置文件，可轻松实现多租户数据隔离。

git clone https://gitcode.com/gh_mirrors/car/cartography
cd cartography
docker-compose up -d

部署完成后，通过Neo4j浏览器访问http://localhost:7474，即可开始探索你的云资产图谱。

图1：Cartography数据流程图 - 展示了从云服务API收集数据到Neo4j图谱存储的完整流程

2. 构建完整的云资产关系图谱 🌐

Cartography的核心优势在于其强大的图谱构建能力。通过运行同步命令，可自动发现并绘制云环境中的所有资产及其关系：

cartography --sync-all

同步完成后，你将获得包含EC2实例、S3存储桶、RDS数据库等所有云资源的完整图谱，如以下AWS账户与RDS实例关系图所示：

图2：AWS账户与RDS实例关系图 - 清晰展示多租户环境中不同账户下的RDS资源分布

完整的图谱 schema 定义可参考cartography-schema-complete-open-source.png，其中包含了所有支持的云资源类型及其关系定义。

3. 多租户环境下的权限边界审计 🔒

在多租户环境中，权限边界的清晰划分至关重要。Cartography提供了强大的权限关系分析能力，通过查询语句可快速识别跨租户的权限不当配置：

MATCH (t:AzureTenant)-[:HAS_SUBSCRIPTION]->(s:AzureSubscription)-[:RESOURCE]->(kv:AzureKeyVault)
WHERE kv.properties.tenant_id <> t.id
RETURN t.id, s.id, kv.name

这段查询将帮助你发现那些被错误分配到其他租户的Key Vault资源，有效防范权限蔓延风险。相关实现可参考cartography/intel/azure/key_vaults.py中的租户ID处理逻辑。

4. 自动化发现互联网暴露资产 🔍

Cartography能自动标记所有直接暴露在互联网上的云资产。通过简单的Cypher查询，即可生成暴露资产报告：

MATCH (n:EC2Instance) WHERE n.exposed_internet = True
RETURN n.instance_type, n.private_ip_address, n.public_dns_name, n.exposed_internet_type

查询结果将以表格形式展示所有暴露的EC2实例，如下所示：

图3：互联网暴露资产查询结果 - 快速识别存在直接互联网访问风险的云资源

5. 实施基于规则的安全合规检查 📋

Cartography的规则引擎允许你定义自定义安全规则，自动检查多租户环境中的合规性问题。通过运行规则命令：

cartography-rules run all

系统将自动执行预设的安全检查，如检测公网可访问的S3存储桶、不安全的安全组配置等，并生成详细报告：

图4：安全规则检查输出 - 展示了对多租户环境中各类安全风险的自动检测结果

你可以在cartography/rules/data/目录下找到所有预设规则，并根据组织需求进行自定义扩展。

6. 跟踪跨租户资源依赖关系 🔄

在复杂的多租户云环境中，资源之间的依赖关系往往错综复杂。Cartography的图谱视图能直观展示这些依赖，帮助你理解变更可能带来的影响。例如，通过以下查询可查看特定租户的所有资源依赖：

MATCH (t:AzureTenant {id: 'your-tenant-id'})-[:HAS_SUBSCRIPTION]->(s)->[*]-(r)
RETURN t, s, r

这对于评估租户间资源共享风险、规划资源迁移或租户隔离策略非常有价值。

7. 定期安全基线检查与漂移检测 📊

利用Cartography的driftdetect功能，可定期执行安全基线检查，及时发现配置漂移：

cartography-detect-deviations --baseline baseline.json --current current.json

该功能会对比不同时间点的云环境状态，识别出新增的风险点或偏离安全基线的配置变更。相关实现可参考cartography/driftdetect/目录下的源码。

8. 构建租户专属安全仪表盘 📈

结合Neo4j的可视化能力和Cartography的数据，可以构建针对不同租户的安全仪表盘。例如，为每个租户创建专属的安全概览页面，展示关键安全指标：

• 互联网暴露资产数量
• 高危权限配置数量
• 安全组开放情况
• 近期配置变更记录

这使得安全团队能快速掌握各租户的安全状况，实现差异化的安全管理。

9. 整合多云环境安全数据 🌍

Cartography支持AWS、Azure、GCP等主流云平台，可将多云环境的安全数据整合到统一视图中。通过配置不同云平台的API凭证，实现一站式多租户安全审计：

cartography --aws-profile tenant1 --azure-tenant-id tenant1-id --gcp-project-id tenant1-project

多平台支持的具体实现可参考cartography/intel/目录下的各云平台集成模块。

10. 自定义安全查询与报告自动化 🤖

Cartography允许你保存常用的安全查询，并通过脚本实现报告自动化。例如，创建一个每周执行的定时任务，自动生成多租户安全状况报告：

#!/bin/bash
# 保存为 weekly_security_report.sh
cartography --sync
neo4j-shell -c "MATCH (t:Tenant) RETURN t.name, t.security_score" > report.csv

通过这种方式，可确保安全团队及时掌握各租户的安全状态变化，主动发现潜在风险。

总结

Cartography为多租户云环境的安全审计提供了强大支持，通过直观的图谱展示、自动化的安全检查和灵活的查询能力，帮助安全团队有效管理云安全风险。无论是初入云安全领域的新手，还是需要处理复杂多租户环境的专业人士，Cartography都能显著提升安全审计效率，是云安全管理的必备工具。

要深入了解更多功能，可以查阅项目的官方文档，或直接探索cartography/目录下的源代码，定制符合自身需求的安全审计流程。

【免费下载链接】cartography Cartography is a Python tool that consolidates infrastructure assets and the relationships between them in an intuitive graph view powered by a Neo4j database. 项目地址: https://gitcode.com/gh_mirrors/car/cartography