Prowler Docker镜像文档

镜像概述和主要用途

Prowler 是一款开源安全工具，用于执行AWS、GCP和Azure云平台的安全最佳实践评估、审计、事件响应、持续监控、加固以及取证准备。它包含数百项安全控制检查，覆盖CIS、NIST 800、NIST CSF、CISA、RBI、FedRAMP、PCI-DSS、GDPR、HIPAA、FFIEC、SOC2、GXP、AWS架构完善框架安全支柱等合规标准，以及自定义安全框架。

核心功能和特性

多平台支持

• AWS：304项检查，覆盖61个服务，28个合规框架，6个安全类别
• GCP：75项检查，覆盖11个服务，1个合规框架，2个安全类别
• Azure：127项检查，覆盖16个服务，2个合规框架，2个安全类别
• Kubernetes：83项检查，覆盖7个服务，1个合规框架，7个安全类别

主要功能

• 全面的云资源安全配置检查
• 多格式报告生成（CSV、JSON、HTML、JSON-ASFF）
• 灵活的检查范围控制（按服务、检查项筛选或排除）
• 支持多种认证方式
• 可自定义的检查配置
• 与AWS Security Hub集成

使用场景和适用范围

Prowler适用于以下场景：

• 云环境安全评估和审计
• 合规性检查与报告
• 安全事件响应
• 持续安全监控
• 云资源安全加固
• 安全取证准备

可运行环境包括：工作站、EC2实例、Fargate或其他容器、Codebuild、CloudShell和Cloud9。

详细的使用方法和配置说明

Docker镜像获取

Prowler提供以下Docker镜像标签：

• latest：与主分支同步（不稳定版本）
• <x.y.z>：特定发布版本（稳定版）
• stable：指向最新发布版本

可从以下仓库获取镜像：

• DockerHub: toniblyx/prowler
• AWS Public ECR: public.ecr.aws/prowler-cloud/prowler

基本使用方法

Docker Run命令示例

AWS基本扫描

docker run -it --rm \
  -e AWS_ACCESS_KEY_ID="ASXXXXXXX" \
  -e AWS_SECRET_ACCESS_KEY="XXXXXXXXX" \
  -e AWS_SESSION_TOKEN="XXXXXXXXX" \
  toniblyx/prowler aws

使用AWS配置文件

docker run -it --rm \
  -v ~/.aws:/root/.aws \
  toniblyx/prowler aws --profile custom-profile

指定区域扫描

docker run -it --rm \
  -v ~/.aws:/root/.aws \
  toniblyx/prowler aws --profile custom-profile -f us-east-1 eu-south-2

Azure使用服务主体认证

docker run -it --rm \
  -e AZURE_CLIENT_ID="XXXXXXXXX" \
  -e AZURE_TENANT_ID="XXXXXXXXX" \
  -e AZURE_CLIENT_SECRET="XXXXXXX" \
  toniblyx/prowler azure --sp-env-auth

GCP指定项目ID扫描

docker run -it --rm \
  -v /path/to/gcp-credentials.json:/credentials.json \
  toniblyx/prowler gcp --credentials-file /credentials.json --project-ids my-project-id

Kubernetes扫描

docker run -it --rm \
  -v ~/.kube/config:/kubeconfig \
  toniblyx/prowler kubernetes --kubeconfig-file /kubeconfig

输出报告持久化

docker run -it --rm \
  -v ~/.aws:/root/.aws \
  -v $(pwd)/prowler-output:/prowler/output \
  toniblyx/prowler aws --output-directory /prowler/output

Docker Compose示例

version: '3'
services:
  prowler:
    image: toniblyx/prowler:stable
    volumes:
      - ~/.aws:/root/.aws
      - ./prowler-output:/prowler/output
    environment:
      - AWS_DEFAULT_REGION=us-east-1
    command: ["aws", "--profile", "security-audit", "-M", "html", "json", "--output-directory", "/prowler/output"]

主要配置参数

通用参数

• -h, --help: 显示帮助信息
• -v, --version: 显示版本信息
• -M, --output-modes: 指定输出格式，多个格式用空格分隔（csv, json, html, json-asff）
• -c, --checks: 指定要执行的检查项，多个检查项用空格分隔
• -e, --excluded-checks: 指定要排除的检查项
• -s, --services: 指定要检查的服务
• --excluded-services: 指定要排除的服务
• --list-checks: 列出所有可用检查项
• --list-services: 列出所有可用服务
• --output-directory: 指定报告输出目录

AWS特定参数

• -p, --profile: 指定AWS配置文件
• -f, --filter-region: 指定要检查的区域，多个区域用空格分隔

Azure特定参数

• --sp-env-auth: 使用环境变量中的服务主体认证
• --az-cli-auth: 使用az cli存储的凭据
• --browser-auth: 使用交互式浏览器认证
• --managed-identity-auth: 使用托管身份认证
• --tenant-id: 指定租户ID（用于浏览器认证）

GCP特定参数

• --credentials-file: 指定应用凭据JSON文件路径
• --project-ids: 指定要扫描的项目ID，多个项目用逗号分隔

Kubernetes特定参数

• --kubeconfig-file: 指定kubeconfig文件路径
• --context: 指定要使用的Kubernetes上下文
• --namespaces: 指定要扫描的命名空间

环境变量

AWS认证变量

• AWS_ACCESS_KEY_ID: AWS访问密钥ID
• AWS_SECRET_ACCESS_KEY: AWS密钥
• AWS_SESSION_TOKEN: AWS会话令牌（可选）
• AWS_DEFAULT_REGION: 默认AWS区域

Azure认证变量

• AZURE_CLIENT_ID: Azure客户端ID
• AZURE_TENANT_ID: Azure租户ID
• AZURE_CLIENT_SECRET: Azure客户端密钥

检查配置

多个Prowler检查项有用户可配置的变量，可通过修改配置文件进行调整：

/prowler/config/config.yaml

在Docker中使用自定义配置文件：

docker run -it --rm \
  -v ~/.aws:/root/.aws \
  -v $(pwd)/custom-config.yaml:/prowler/config/config.yaml \
  toniblyx/prowler aws

权限要求

AWS权限

需要以下AWS托管策略：

• arn:aws:iam::aws:policy/SecurityAudit
• arn:aws:iam::aws:policy/job-function/ViewOnlyAccess

以及自定义策略：

• prowler-additions-policy.json

如果要发送结果到AWS Security Hub，还需附加：

• prowler-security-hub.json

Azure权限

• Azure Active Directory权限：Directory.Read.All、Policy.Read.All
• 订阅范围权限：Security Reader、Reader角色

GCP权限

需要为服务账号添加Viewer角色

许可证

Prowler采用Apache License 2.0许可证，详情参见：<[***]>

社区支持

• Slack社区：加入Prowler社区
• 完整文档：[***]