[论文阅读] 直击云安全痛点：GraphSecure如何用自动化+可视化重塑AWS合规评估？

直击云安全痛点：GraphSecure如何用自动化+可视化重塑AWS合规评估？

论文信息

• 论文原标题：Visualisation for the CIS benchmark scanning results
• 主要作者：Zhenshuo Zhao, Maria Spichkova, Duttkumari Champavat, Juilee N. Kulkarni, Sahil Singla, Muhammad A. Zulkefli, Pradhuman Khandelwal
• 研究机构：School of Computing Technologies, RMIT University, Australia（澳大利亚皇家墨尔本理工大学计算技术学院）
• 引文格式（GB/T 7714）：ZHAO Z S, SPICHKOVA M, CHAMPAVAT D, et al. Visualisation for the CIS benchmark scanning results[C]//Proceedings of ICICT’26. Cham: Springer LNNS, 2026.
• 收录情况：Preprint. Accepted to the ICICT’26（已被ICICT’26会议接收，最终版本将由Springer LNNS出版）

1. 一段话总结

本文介绍了由澳大利亚RMIT大学团队开发的Web应用GraphSecure，该工具基于CIS基准，支持对多个AWS账户进行自动化安全扫描、合规性验证，通过统计图表直观可视化扫描结果，同时针对未通过的基准提供分步整改建议；其采用无服务器架构，结合多种AWS服务构建，弥补了现有工具在CIS合规结果可视化方面的不足，降低了安全评估的技术门槛和维护成本，已被ICICT’26会议接收。

2. 思维导图

3. 详细总结

一、研究背景与意义

1. 安全现状：随着云技术（AWS、GCP等）普及，软件系统面临更多网络攻击，漏洞检测至关重要。
2. CIS基准介绍：由非营利组织“互联网安全中心（CIS）”制定，联合全球安全专家开发，涵盖阿里云、AWS等多个云平台，包含描述、原理、影响、审计步骤和整改措施等全面建议，是全球认可的漏洞分析标准。
3. 现有实施挑战：
   • 控制项数量庞大，手动合规流程耗时、资源密集、经济效率低；
   • 需跨多个安全领域持续监控，且需跟进新增基准版本以应对新兴威胁；
   • 新增基准要求额外实施工作和人员技术升级。
4. 研究缺口：现有工具侧重审计和合规执行，但缺乏面向云用户的直观、风险导向的CIS合规结果可视化功能。
   

二、相关工作与文献综述

1. 同类工具对比
   | 工具名称 | 适用平台/场景 | 核心功能 | 局限性 |
   |----------|---------------|----------|--------|
   | GoSecure | GCP | 多实例CIS基准扫描、安全概况展示、配置建议 | 不支持AWS，可视化侧重不足 |
   | VM2 | 虚拟机 | 虚拟机镜像创建、安全基准测试、镜像共享 | 非针对云账户CIS合规 |
   | AWS Trusted Advisor/Config/GuardDuty | AWS | 安全检测、配置管理、威胁防护 | 仅支持单个AWS账户 |
   | George et al. 方案 | AWS | 多账户服务使用可视化、成本与性能优化 | 不聚焦CIS基准扫描结果 |
2. 系统文献综述（SLR）
   • 检索范围：Scopus和Google Scholar数据库，遵循Kitchenham等人的SLR指南（被引11,783次）；
   • 检索关键词：（‘CIS’ and ‘security’）and（‘CIS benchmark’）；
   • 筛选标准：纳入英文、与CIS基准应用/分析相关的文献；排除非英文、无关、重复、不可访问及非研究类文献（序言、访谈等）；
   • 结果：共17篇相关文献（2017-2025年），多数发表于近3年，分为三类：
     • CIS-based安全评估：评估云环境、混合IT架构等的安全状况；
     • CIS合规自动化框架与工具：以Ansible为主要自动化工具，覆盖云服务、Windows服务器等多平台；
     • 新基准/基准优化：完善现有基准或针对容器镜像扫描等新兴技术提出新基准。

三、GraphSecure解决方案

1. 核心功能
   • 支持多个AWS账户扫描；
   • 基于多个CIS基准验证账户安全性；
   • 以统计图表（如环形图）可视化扫描结果，按类别（IAM、监控、网络、存储、日志）展示未通过基准数量；
   • 针对未通过的基准提供分步整改建议。
2. 技术架构与开发环境
   • 架构：无服务器架构，整合多个AWS服务（CodeCommit、CodeBuild、S3、DynamoDB、CloudFormation、API Gateway、Lambda）；
   • 开发依赖：NodeJS v15.9.0、Git CLI；
   • 技术规范：React v16.12.0+、TypeScript v4.2.3+、Webpack v5.37.1+、Jest v26.6.3+、Chai v4.3.4+。
3. 核心流程
   1. 开发者修改代码并提交至AWS CodeCommit，触发CI/CD流水线；
   2. CodeBuild打包代码文件，准备 artifacts存入AWS S3；
   3. S3存储前端（ReactJS/TypeScript）、CIS基准执行代码及结果写入DynamoDB的JavaScript代码；
   4. CloudFormation为应用分配相关AWS服务和资源；
   5. 用户通过API Gateway提供的URL登录，可在仪表盘查看结果或启动扫描，获取可视化数据与整改建议。

四、结论与致谢

1. 工具优势：相比同类工具，GraphSecure更注重实用性和信息可读性，支持多AWS账户，通过可视化降低安全风险解读难度；
2. 研究成果：已被ICICT’26会议接收，最终版本将由Springer LNNS出版；
3. 致谢：感谢Shine Solutions Group Pty Ltd通过研究资助（PRJ00000343）支持本项目。

4. 关键问题

问题1：GraphSecure相比AWS原生安全工具（如Trusted Advisor、Config）的核心优势是什么？

答案：核心优势体现在两方面：一是多账户支持，AWS原生工具仅能对接单个AWS账户，而GraphSecure可同时对多个AWS账户进行CIS基准扫描与合规性验证；二是强化可视化功能，GraphSecure通过环形图等统计图表，按IAM、监控、网络等类别直观展示未通过基准的分布情况，并提供分步整改建议，解决了原生工具在CIS合规结果直观呈现上的不足，降低了用户解读安全风险的技术门槛。

问题2：GraphSecure的技术架构基于什么模式？核心依赖哪些AWS服务，关键流程是怎样的？

答案：GraphSecure采用无服务器架构，核心依赖的AWS服务包括CodeCommit（代码仓库）、CodeBuild（代码打包）、S3（ artifacts存储）、DynamoDB（结果存储）、CloudFormation（资源分配）、API Gateway（访问入口）、Lambda（扫描执行）。关键流程：①开发者提交代码至CodeCommit触发CI/CD；②CodeBuild打包代码并存入S3；③CloudFormation分配AWS资源；④用户通过API Gateway登录，可在仪表盘查看可视化结果或启动扫描，Lambda执行扫描并将结果写入DynamoDB，最终反馈给用户。

问题3：系统文献综述（SLR）筛选出的17篇相关研究主要分为哪几类？这一综述结果如何推动GraphSecure的开发？

答案：17篇研究主要分为三类：①CIS-based安全评估（评估云环境、混合IT架构等的安全状况）；②CIS合规自动化框架与工具（以Ansible为核心，实现多平台合规自动化）；③新基准/基准优化（完善现有基准或提出新兴技术基准）。综述结果显示，现有研究侧重CIS合规的审计与自动化执行，但缺乏面向云用户的直观、风险导向的可视化功能，这一核心缺口直接推动了GraphSecure的开发——其通过自动化扫描+可视化呈现+整改建议的组合，补充了现有工具的短板，帮助用户更高效地解读和应对CIS合规风险。

创新点

1. 多AWS账户集中管理：突破AWS原生工具仅支持单账户的限制，可同时对接多个AWS账户进行扫描，满足企业多账户统一安全评估的需求；
2. 强化风险导向可视化：以环形图等直观图表按类别（IAM、监控、网络、存储、日志）展示未通过基准的分布，让安全风险“看得见、看得懂”，而非隐藏在繁杂数据中；
3. 自动化+整改建议闭环：不仅能自动执行CIS基准扫描、生成结果，还针对未通过的基准提供分步整改指导，形成“扫描-识别-整改”的完整流程，降低技术门槛；
4. 无服务器架构适配云环境：基于AWS多服务构建，无需企业部署和维护服务器，兼顾灵活性与扩展性，适配云环境的动态特性。

研究方法和思路

1. 前期：系统文献综述（SLR）

为明确研究缺口，团队按照Kitchenham等人提出的SLR标准指南（被引11783次），开展了严谨的文献调研：

• Step 1：自动化检索：在Scopus和Google Scholar数据库中，以（‘CIS’ and ‘security’）and（‘CIS benchmark’）为关键词检索相关文献；
• Step 2：严格筛选：
  • 纳入标准：英文文献、聚焦CIS基准应用或分析；
  • 排除标准：非英文、无关主题、重复文献、非研究类内容（序言、访谈等）、无法在线获取的文献；
• Step 3：数据提取与整合：由两位作者分别提取数据并交叉验证，最终筛选出17篇2017-2025年的相关研究，按“CIS安全评估、合规自动化框架、基准优化”三类归纳，明确现有工具在可视化和多账户支持上的缺口。

2. 核心：GraphSecure工具开发

（1）技术架构设计

采用无服务器架构，整合AWS多个核心服务，实现“开发-部署-使用”全流程自动化：

• 代码管理：AWS CodeCommit（存储代码，触发CI/CD流水线）；
• 构建打包：AWS CodeBuild（打包代码文件，生成可部署 artifacts）；
• 存储服务：AWS S3（存储前端代码、基准执行脚本等 artifacts）；
• 数据库：DynamoDB（存储扫描结果数据）；
• 资源编排：CloudFormation（自动分配AWS服务和资源）；
• 访问入口：API Gateway（提供用户登录URL，管理功能端点）；
• 执行核心：Lambda（运行CIS基准扫描任务）。

（2）开发环境要求

• 基础依赖：NodeJS v15.9.0、Git CLI；
• 技术规范：React v16.12.0+（前端）、TypeScript v4.2.3+、Webpack v5.37.1+、Jest v26.6.3+（测试）、Chai v4.3.4+（断言库）。

（3）用户操作流程

1. 用户通过API Gateway提供的URL登录GraphSecure；
2. 登录成功后进入“仪表盘”页面，查看历史扫描结果的可视化图表（如环形图展示各分类未通过基准数量）；
3. 若需新扫描，导航至“启动扫描”页面，选择要检测的CIS基准类别（IAM、监控、网络、存储、日志）；
4. 点击“启动扫描”，系统通过Lambda执行扫描任务，扫描结果实时写入DynamoDB；
5. 扫描完成后，用户在仪表盘查看结果，未通过的基准会附带分步整改建议。

主要成果和贡献

1. 核心成果

2. 领域贡献

• 解决多账户管理痛点：首次实现多AWS账户的CIS基准集中扫描，突破原生工具的单账户限制，适配中大型企业多账户管理场景；
• 填补可视化缺口：弥补现有工具“重审计、轻呈现”的不足，让非专业安全人员也能快速识别核心风险；
• 降低技术门槛：自动化扫描+分步整改建议，减少企业对高级安全人才的依赖，降低合规成本（无需手动解读复杂基准文档）；
• 强化决策支持：通过分类统计和直观图表，帮助企业优先聚焦高风险领域，提升安全整改效率。

3. 工具优势对比

总结

GraphSecure作为一款针对AWS账户的CIS基准扫描与可视化工具，精准切中了企业在云安全合规中的核心痛点——多账户管理难、手动审计低效、风险解读复杂。通过无服务器架构实现自动化扫描，以直观图表呈现风险分布，再搭配分步整改建议，形成了“扫描-识别-整改”的闭环解决方案。相比现有工具，它更注重实用性和用户体验，不仅降低了安全评估的技术门槛，还能帮助企业更高效地应对CIS基准的动态更新和持续合规要求。该研究已被ICICT’26会议接收，其成果不仅为云安全从业者提供了实用工具，也为CIS基准合规领域的可视化研究提供了新的思路。