Mit benutzerdefinierten Konformitätsinhalten können Sie eigene Sicherheitsstandards zur Ergänzung der in Automation for Secure Hosts Compliance integrierten Bibliothek der Sicherheits-Benchmarks und Prüfungen definieren.

Benutzerdefinierte Inhalte sind nützlich, um Automation for Secure Hosts Compliance-Richtlinien so zu verbessern, dass sie Ihren internen Anforderungen entsprechen.

Automation for Secure Hosts Compliance enthält ein SDK für benutzerdefinierte Inhalte (Custom Content Software Development Kit), mit dem Sie eigene benutzerdefinierte Sicherheitsinhalte erstellen und testen können. Sie können Ihre benutzerdefinierten Sicherheitsinhalte zur Verwendung zusammen mit der integrierten Sicherheitsbibliothek von Automation for Secure Hosts Compliance für die Bewertung und Standardisierung importieren. Beim Importieren benutzerdefinierter Inhalte haben Sie außerdem die Möglichkeit, Ihre Inhalte mit einem Versionskontrollsystem Ihrer Wahl zu versionieren, wie z. B. Git.

Zur Verwendung benutzerdefinierter Prüfungen müssen Sie zuerst das Custom Content SDK von Automation for Secure Hosts Compliance initialisieren. Das SDK enthält Beispieldateien, die Sie ändern können, um Ihre eigenen benutzerdefinierten Prüfungen und Benchmarks zu erstellen. Das SDK enthält auch eine Docker-basierte Testumgebung, in der Sie Ihre neuen Inhalte testen können.

Nachdem Ihre benutzerdefinierten Inhalte erstellt und getestet wurden, können Sie eine Inhaltsdatei erstellen und in Automation for Secure Hosts Compliance importieren, um mit der Bewertung und Standardisierung zu beginnen. Benutzerdefinierte Prüfungen enthalten ein Benutzersymbol (custom-checks-user-icon ) im Gegensatz zu Automation Config-Prüfungen (checks built-in-checks-shield-icon ). Automation for Secure Hosts Compliance verfolgt Abhängigkeiten zwischen Richtlinien und Ihren benutzerdefinierten Inhalten und stellt eine Liste der Abhängigkeiten bereit, die beim Löschen der Inhalte möglicherweise aufgelöst werden.

Voraussetzungen

Prozedur

  1. Navigieren Sie über die Befehlszeile zum Verzeichnis mit der Datei und führen Sie den Befehl aus:
    Betriebssystem Befehl
    Mac OS oder Linux ./secops_sdk init
    Windows secops_sdk.exe init
    Erwartungsgemäß wird keine Ausgabe angezeigt. Ihr Verzeichnis enthält die folgenden Ordner und Dateien:
    • Benchmarks – Enthält benutzerdefinierte Benchmark-Metadateien (.meta)
    • Salt/locke/custom – Enthält benutzerdefinierte Prüfstatus- (.sls) und Metadateien (.meta)
    • Sample_tests – Enthält Beispieldateien für Tests mit Docker
    • README.md – Enthält genauere Informationen zum SDK
  2. (Optional) Bestätigen Sie Änderungen an einem versionskontrollierten Repository.
  3. Navigieren Sie zum Erstellen benutzerdefinierter Prüfungen im Custom Content SDK zu salt/locke/custom. Zum Erstellen benutzerdefinierter Benchmarks fahren Sie mit Schritt 8 fort.
    Hinweis: Alle benutzerdefinierten Prüfungen müssen sowohl in einer Zustandsdatei (.sls) als auch in einer entsprechenden Metadatei (.meta) konfiguriert werden.
  4. Erstellen Sie eine Kopie für eine Beispielzustandsdatei (.sls) und die entsprechende Metadatei (.meta) und benennen Sie beide unter Verwendung des gewünschten benutzerdefinierten Namens um. Speichern Sie beide Dateien zusammen in einem Unterverzeichnis von salt/locke/custom.
    Beide Dateien müssen sich im selben Verzeichnis befinden und mit demselben Namen beginnen, wie z. B.: my_first_check.meta und my_first_check.sls.
  5. Bearbeiten Sie die Inhalte der Metadatei, um die Prüfung Ihren Anforderungen entsprechend anzupassen.
    Hinweis: Die Metadaten der Prüfung enthalten Referenzen zu verschiedenen Benchmarks. Achten Sie beim Erstellen von benutzerdefinierten Inhalten darauf, dass alle zugehörigen Benchmarks in der Metadatei für Prüfungen enthalten sind.
  6. Bearbeiten Sie den Inhalt der Zustandsdatei.
  7. Stellen Sie sicher, dass beide Dateien im selben Verzeichnis gespeichert werden.
  8. Navigieren Sie zum Erstellen benutzerdefinierter Benchmarks im Custom Content SDK zum Verzeichnis Benchmarks. Dieses Verzeichnis enthält ein Beispiel für die Benchmark-Metadatei (.meta).
  9. Erstellen Sie eine Kopie von Sample_benchmark.meta und benennen Sie die Datei unter Verwendung des gewünschten benutzerdefinierten Namens um.
  10. Bearbeiten Sie die Inhalte der Metadatei, um die Benchmark Ihren Anforderungen entsprechend anzupassen.

Ergebnisse

Ihre benutzerdefinierten Prüfungen und Benchmarks werden erstellt. Sie können eine benutzerdefinierte Prüfung oder Benchmark gegebenenfalls löschen, indem Sie zu Compliance > Prüfungen oder Compliance > Benchmarks navigieren, auf das Menüsymbol neben dem benutzerdefinierten Inhalt und anschließend auf Löschen klicken.

Nächste Maßnahme

Nach dem Erstellen des benutzerdefinierten Inhalts können Sie diesen testen, indem Sie die Befehlszeile öffnen, zum Custom Content SDK-Verzeichnis sample_tests navigieren und die folgenden Befehle ausführen:

Befehl Ergebnis
1. ./build.sh Erstellt zum Testen ein Docker-Image von CentOS7 mit Salt.
2. ./up.sh Startet den Testcontainer.
3. ./test.sh salt-call --local state.apply locke.custom.mounts.my_first_check test=True Führt Beispieltests für Prüfungen aus, die Sie im Verzeichnis salt/locke/custom erstellt haben. Sie können benutzerdefinierte Prüfungen wie normale Salt-Zustände initiieren. Weitere Informationen zu Salt-Zuständen finden Sie in der Vorgehensweise zum Verwenden von Salt-Zuständen.
4. ./down.sh Führen Sie nach Abschluss des Tests diesen Befehl aus, um den Testcontainer herunterzufahren.

Nach dem Testen der benutzerdefinierten Inhalte können Sie die benutzerdefinierte Inhaltsbibliothek erstellen.