SkyArk:一款针对Azure和AWS的安全审计工具
字数 1164 2025-08-15 21:32:10

SkyArk 云安全审计工具使用指南

1. SkyArk 概述

SkyArk 是一款由 CyberArk 开发的专业云安全审计工具,专门用于扫描和评估 Azure 和 AWS 云环境中的特权实体安全状况。该工具主要包含两大核心模块:

  • AzureStealth:针对 Azure 环境的特权实体扫描模块
  • AWStealth:针对 AWS 环境的特权实体扫描模块

主要功能特点:

  • 发现云环境中拥有高权限的特权实体(用户、组、角色)
  • 评估这些特权实体的安全状况
  • 帮助组织保护云环境中的关键权限
  • 特别关注可能被攻击者利用的隐蔽云管理凭证

2. 工具安装与配置

2.1 获取工具

通过 Git 克隆项目仓库:

git clone https://github.com/cyberark/SkyArk.git

2.2 运行环境要求

  • PowerShell 5.0 或更高版本
  • 对于 Azure 扫描:需要 Azure AD 和订阅的只读权限
  • 对于 AWS 扫描:需要 IAM 服务的只读权限

3. AzureStealth 模块使用

3.1 基本使用方法

  1. 打开 PowerShell,切换到 SkyArk 目录
  2. 以管理员权限运行:
powershell -ExecutionPolicy Bypass -NoProfile
  1. 导入模块并启动扫描:
Import-Module .\SkyArk.ps1 -force
Start-AzureStealth

3.2 快速扫描方法(通过 Azure CloudShell)

直接在 Azure Portal 的 CloudShell 中执行:

IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cyberark/SkyArk/master/AzureStealth/AzureStealth.ps1')
Scan-AzureAdmins

3.3 扫描内容

AzureStealth 会扫描:

  • Azure AD 目录(Tenant)中的特权用户
  • 订阅级别的管理员账户
  • 其他高权限实体

4. AWStealth 模块使用

4.1 基本使用方法

  1. 打开 PowerShell,切换到 SkyArk 目录
  2. 以管理员权限运行:
powershell -ExecutionPolicy Bypass -NoProfile
  1. 导入模块并启动扫描:
Import-Module .\SkyArk.ps1 -force
Start-AWStealth

4.2 扫描内容

AWStealth 会扫描:

  • AWS 账户中的特权用户
  • IAM 角色和组
  • 具有高权限的实体

5. AWStrace 模块(附加功能)

AWStrace 是 SkyArk 的一个子模块,专门用于分析 AWS CloudTrail 日志:

  • 识别具有安全风险的敏感 IAM 操作
  • 生成 CSV 格式的分析报告
  • 帮助安全团队调查敏感活动
  • 发现实体暴露的安全风险

6. 最佳实践建议

  1. 定期扫描:建议组织定期运行 SkyArk 扫描,确保特权实体清单是最新的
  2. 权限最小化:根据扫描结果,移除不必要的特权
  3. 监控变更:比较不同时期的扫描结果,发现异常变更
  4. 结合其他工具:将 SkyArk 作为云安全工具链的一部分,与其他安全工具配合使用

7. 参考资料

  1. AzureStealth 官方文档
  2. AWStealth 官方文档
  3. 项目 GitHub 仓库

8. 安全注意事项

  • 确保扫描账户仅具有必要的只读权限
  • 妥善保管扫描结果,防止敏感信息泄露
  • 在渗透测试或红队演练中使用时,确保获得适当授权
  • 扫描结果应作为持续安全改进过程的输入,而非一次性活动
SkyArk 云安全审计工具使用指南 1. SkyArk 概述 SkyArk 是一款由 CyberArk 开发的专业云安全审计工具,专门用于扫描和评估 Azure 和 AWS 云环境中的特权实体安全状况。该工具主要包含两大核心模块: AzureStealth :针对 Azure 环境的特权实体扫描模块 AWStealth :针对 AWS 环境的特权实体扫描模块 主要功能特点: 发现云环境中拥有高权限的特权实体(用户、组、角色) 评估这些特权实体的安全状况 帮助组织保护云环境中的关键权限 特别关注可能被攻击者利用的隐蔽云管理凭证 2. 工具安装与配置 2.1 获取工具 通过 Git 克隆项目仓库: 2.2 运行环境要求 PowerShell 5.0 或更高版本 对于 Azure 扫描:需要 Azure AD 和订阅的只读权限 对于 AWS 扫描:需要 IAM 服务的只读权限 3. AzureStealth 模块使用 3.1 基本使用方法 打开 PowerShell,切换到 SkyArk 目录 以管理员权限运行: 导入模块并启动扫描: 3.2 快速扫描方法(通过 Azure CloudShell) 直接在 Azure Portal 的 CloudShell 中执行: 3.3 扫描内容 AzureStealth 会扫描: Azure AD 目录(Tenant)中的特权用户 订阅级别的管理员账户 其他高权限实体 4. AWStealth 模块使用 4.1 基本使用方法 打开 PowerShell,切换到 SkyArk 目录 以管理员权限运行: 导入模块并启动扫描: 4.2 扫描内容 AWStealth 会扫描: AWS 账户中的特权用户 IAM 角色和组 具有高权限的实体 5. AWStrace 模块(附加功能) AWStrace 是 SkyArk 的一个子模块,专门用于分析 AWS CloudTrail 日志: 识别具有安全风险的敏感 IAM 操作 生成 CSV 格式的分析报告 帮助安全团队调查敏感活动 发现实体暴露的安全风险 6. 最佳实践建议 定期扫描 :建议组织定期运行 SkyArk 扫描,确保特权实体清单是最新的 权限最小化 :根据扫描结果,移除不必要的特权 监控变更 :比较不同时期的扫描结果,发现异常变更 结合其他工具 :将 SkyArk 作为云安全工具链的一部分,与其他安全工具配合使用 7. 参考资料 AzureStealth 官方文档 AWStealth 官方文档 项目 GitHub 仓库 8. 安全注意事项 确保扫描账户仅具有必要的只读权限 妥善保管扫描结果,防止敏感信息泄露 在渗透测试或红队演练中使用时,确保获得适当授权 扫描结果应作为持续安全改进过程的输入,而非一次性活动