prowlercloud/prowler

Prowler 镜像文档

概述和主要用途

Prowler是一款开源云安全平台，旨在自动化多云环境中的安全与合规检查。它支持AWS、Azure、Google Cloud、Kubernetes等多种云平台，提供数百个内置安全控制项，确保符合行业标准（如CIS、NIST）、监管合规（如PCI-DSS、GDPR）及云厂商特定框架（如AWS Well-Architected Framework）。Prowler通过实时监控、可定制检查和无缝集成，为各类规模的组织简化云安全管理，实现安全防护的可扩展性和成本效益。

核心功能和特性

多平台支持

• 云平台覆盖：AWS、Azure、GCP、Kubernetes、GitHub、M365等
• 安全检查能力：

  云平台	检查项数量	支持服务数	合规框架数	检查类别数
  AWS	576	82	36	10
  GCP	79	13	10	3
  Azure	162	19	11	4
  Kubernetes	83	7	5	7

合规框架支持

涵盖多种国际与行业标准：

• 行业标准：CIS、NIST 800、NIST CSF、CISA
• 监管合规：RBI、FedRAMP、PCI-DSS
• 数据隐私：GDPR、HIPAA、FFIEC
• 组织治理：SOC2、GXP
• 云厂商特定：AWS Foundational Technical Review (FTR)、AWS Well-Architected Framework（安全支柱）
• 国家安全标准：ENS（西班牙国家安全方案）
• 自定义框架：支持根据组织需求定制安全框架

核心组件

• Prowler App：Web应用，提供用户友好界面，简化跨云账户安全评估与结果可视化
• Prowler CLI：命令行工具，通过prowler <provider>快速执行云平台安全检查
• Prowler Dashboard：通过prowler dashboard命令启动，提供直观的安全检查结果仪表盘

使用场景和适用范围

Prowler适用于各类组织和安全场景：

• 安全审计：自动化云环境安全配置审计
• 合规检查：验证云资源符合内部策略及外部监管要求
• 持续监控：实时检测云环境中的安全漏洞和配置错误
• 事件响应：快速评估安全事件影响范围
• 系统加固：识别并修复云资源安全薄弱环节
• 取证准备：建立云环境安全基线，支持事后分析

详细使用方法和配置说明

Prowler App（Web应用）安装

Docker Compose安装

前提条件：已安装Docker Compose（安装指南：[***]

部署命令：

console
curl -LO https://raw.githubusercontent.com/prowler-cloud/prowler/refs/heads/master/docker-compose.yml
curl -LO https://raw.githubusercontent.com/prowler-cloud/prowler/refs/heads/master/.env
docker compose up -d

访问方式：部署完成后，通过http://localhost:3000访问Prowler App，使用***和密码注册即可开始使用。

架构兼容性配置：

• 容器镜像基于linux/amd64架构，若工作站架构不兼容，可通过以下方式解决：
  • 设置环境变量：DOCKER_DEFAULT_PLATFORM=linux/amd64
  • Docker命令中添加标志：--platform linux/amd64

AWS角色假设配置：

• 若需使用AWS角色假设功能（如"Connect assuming IAM Role"选项），需将本地AWS配置目录挂载为只读卷：

  yaml
  volumes:
    - "${HOME}/.aws:/home/prowler/.aws:ro"
  

Prowler CLI（命令行工具）容器使用

容器版本选择

Prowler CLI容器提供多种版本标签，满足不同稳定性需求：

• 开发版本：latest（同步master分支）、v4-latest（同步v4分支）、v3-latest（同步v3分支），均不稳定
• 稳定版本：<x.y.z>（特定版本，如4.0.0）、stable（最新稳定版）、v4-stable/v3-stable（对应主版本最新稳定版）

镜像仓库

• DockerHub：https://hub.docker.com/r/prowlercloud/prowler/tags
• AWS Public ECR：gallery.ecr.aws/prowler-cloud/prowler

基本使用示例

console
# 执行AWS安全检查
docker run --rm -v ~/.aws:/home/prowler/.aws:ro prowlercloud/prowler:stable aws

# 列出GCP支持的合规框架
docker run --rm prowlercloud/prowler:stable gcp --list-compliance

# 启动Kubernetes检查结果仪表盘
docker run --rm -v ~/.kube/config:/home/prowler/.kube/config:ro prowlercloud/prowler:stable dashboard

常用命令示例

console
# 按状态过滤结果（PASS/FAIL/MANUAL）
prowler aws --status FAIL

# 仅运行特定合规框架检查（如CIS AWS v1.4.0）
prowler aws --compliance cis_aws_v1.4.0

# 将结果导出为CSV格式
prowler azure --output csv

# 发送FAIL结果到AWS Security Hub
prowler aws --security-hub --status FAIL

架构概述

Prowler App架构

由三个核心组件构成：

• Prowler UI：基于Next.js的Web界面，提供扫描执行与结果可视化
• Prowler API：基于Django REST Framework的后端服务，负责扫描任务管理与结果存储
• Prowler SDK：Python SDK，扩展Prowler CLI功能

Prowler CLI执行环境

支持在多种环境中运行：工作站、Kubernetes Job、云虚拟机（GCE/Azure VM/EC2）、AWS Fargate、CloudShell等。

弃用说明

通用变更

• "Allowlist"重命名为"Mutelist"
• --quiet选项弃用，使用--status过滤结果状态（PASS/FAIL/MANUAL）
• INFO状态结果重分类为MANUAL
• CSV输出格式跨平台标准化
• 原生JSON输出格式弃用，替换为符合OCSF v1.1.0标准的JSON格式（[***]

AWS特定变更

• --sts-endpoint-region标志弃用，因采用AWS STS区域令牌
• 发送结果到AWS Security Hub时，仅发送FAIL结果需使用--send-sh-only-fails或--security-hub --status FAIL

文档与支持

• 完整文档：安装、使用教程及开发者指南见[***]
• 实时检查项信息：访问Prowler Hub获取最新检查项、服务及框架信息
• 社区支持：通过Slack加入Prowler社区

许可证

Prowler采用Apache License 2.0许可证，详见仓库中各文件的许可证声明。许可证副本可在[***]