Um Ihre Infrastrukturobjekte mit SaltStack SecOps Compliance zu schützen, müssen Sie zunächst Richtlinien definieren.

SaltStack SecOps Compliance enthält verschiedene Branchen-Benchmarks zur Auswahl, darunter Prüfungen des Center for Internet Security (CIS) usw. Jeder Benchmark enthält eine Sammlung von Sicherheitsprüfungen. Sie können alle verfügbaren Prüfungen für einen bestimmten Benchmark anwenden oder nur eine Teilmenge der verfügbaren Prüfungen verwenden. Die Verwendung einer Teilmenge von Prüfungen ist nützlich, um SaltStack SecOps Compliance an Ihre speziellen Infrastrukturanforderungen anzupassen, z. B. wenn die Standardisierung einer bestimmten Prüfung das Risiko birgt, eine bekannte Abhängigkeit aufzulösen.

Beim Erstellen der Richtlinie müssen Sie neben dem Ziel, auf das die Richtlinie angewendet werden soll, auch die Benchmarks und Prüfungen auswählen, die für Ihr System ausgeführt werden sollen.

Informationen zum direkten Herstellen einer Verbindung mit dem SDK finden Sie unter vRealize Automation SaltStack Config SecOps.

Ziel

Ein Ziel ist die Gruppe von Minions, die auf einen oder mehrere Salt-Master verteilt sein können, auf die der Salt-Befehl eines Auftrags angewendet wird. Ein Salt-Master wird wie ein Minion verwaltet und kann als Ziel fungieren, wenn der Minion-Dienst ausgeführt wird. Wenn Sie eine Richtlinie erstellen und ein Ziel auswählen, definieren Sie die Knoten, für die die Sicherheitsprüfungen ausgeführt werden. Sie können ein vorhandenes Ziel auswählen oder ein neues Ziel erstellen.

Benchmarks

SaltStack SecOps Compliance vereinfacht den Prozess zum Definieren der Sicherheitsrichtlinie durch Gruppierung von Sicherheitsprüfungen nach Benchmarks.

Benchmarks sind Kategorien von Sicherheitsprüfungen. Die Benchmarks in SaltStack SecOps Compliance werden von allgemein anerkannten Experten definiert, während benutzerdefinierte Benchmarks durch die Standards Ihrer Organisation festgelegt werden. Sie können Benchmarks verwenden, um eine Reihe unterschiedlicher Richtlinien zu erstellen, die für verschiedene Knotengruppen optimiert sind. Beispielsweise können Sie eine Oracle Linux-Richtlinie, die CIS-Prüfungen auf Ihre Oracle Linux-Minions anwendet, und eine Windows-Richtlinie erstellen, die CIS-Prüfungen auf Ihre Windows-Minions anwendet. Weitere Informationen zum Erstellen benutzerdefinierter Inhalte finden Sie unter Erstellen benutzerdefinierter Konformitätskomponenten.

Hinweis: Der CIS-Inhalt für bestimmte Benchmarks (mit einer QuickInfo notiert) verteilt sich insbesondere für Windows Server-Benchmarks wie folgt auf drei verschiedene Benchmarks:
  • Domänenmaster-Inhalte
  • Mitgliederinhalte
  • Domänenmaster- und Mitgliederinhalte
Wenn Sie alle Mitgliederinhalte hinzufügen möchten, müssen Sie die Benchmarks für „Mitglied“ sowie Benchmarks für „Domänenmaster“ und „Mitglied“ auswählen.

Prüfungen

Eine Prüfung ist ein Sicherheitsstandard, und SaltStack SecOps Compliance bewertet die Konformität damit. Die SaltStack SecOps Compliance-Bibliothek aktualisiert die Prüfungen häufig, wenn sich die Sicherheitsstandards ändern. Zusätzlich zu den in der Inhaltsbibliothek von SaltStack SecOps Compliance enthaltenen Prüfungen können Sie eigene benutzerdefinierte Prüfungen erstellen. Benutzerdefinierte Prüfungen werden durch das Symbol (custom-checks-user-icon) und nicht durch das Symbol (built-in-checks-shield-icon) angegeben. Weitere Informationen zum Erstellen benutzerdefinierter Inhalte finden Sie unter Erstellen benutzerdefinierter Konformitätskomponenten. Jede Prüfung enthält mehrere Informationsfelder.
Informationsfeld Beschreibung
Beschreibung Beschreibung der Prüfung.
Aktion Beschreibung der Aktion, die während der Standardisierung durchgeführt wird.
Auflösen Wird nur für interne Tests verwendet. Weitere Informationen erhalten Sie bei Ihrem Administrator.
Globale Beschreibung Detaillierte Beschreibung der Prüfung.
Osfinger Liste der osfinger-Werte, für die die Prüfung implementiert ist. Osfinger wird in Körnungselementen für jedes Minion gefunden, um das Betriebssystem und die Hauptversion des Minions anzugeben. Körner werden für das Betriebssystem, den Domänennamen, die IP-Adresse, den Kernel, den Betriebssystemtyp, den Arbeitsspeicher und andere Systemeigenschaften erfasst.
Profil Liste der Konfigurationsprofile für verschiedene Benchmarks.
Begründung Beschreibung der Gründe für die Implementierung der Prüfung.
Refs Konformitätsquerverweise zwischen Benchmarks.
Standardisieren Werte, die angeben, ob SaltStack SecOps Compliance nicht konforme Knoten standardisieren kann, da nicht alle Prüfungen spezifische, umsetzbare Standardisierungsschritte enthalten.
Standardisierung Beschreibung der Vorgehensweise zum Standardisieren aller nicht kompatiblen Systeme, falls anwendbar.
Erzielte Bewertung Punktwert für die CIS-Benchmark. Bewertete Empfehlungen wirken sich auf die Benchmark-Bewertung des Ziels aus, während Empfehlungen ohne Bewertung keine Auswirkungen auf die Punktbewertung haben. „True“ gibt „Bewertet“ und „False“ gibt „Nicht bewertet“ an.
Zustandsdatei Kopie des Salt-Zustands, der zum Durchführen der Prüfung und gegebenenfalls zur nachfolgenden Standardisierung angewendet wird.
Variablen Variablen in SaltStack SecOps Compliance, die zur Übergabe von Werten an die Salt-Zustände, aus denen Sicherheitsprüfungen bestehen, verwendet werden. Die besten Ergebnisse erzielen Sie mit den Standardwerten. Weitere Informationen finden Sie unter Vorgehensweise zum Verwenden von Salt-Zuständen.
Zeitpläne Wählen Sie zur Angabe der Häufigkeit des Zeitplans eine der folgenden Optionen aus: „Regelmäßig alle“, „Regelmäßig am/um“, „Einmal“ oder „Cron-Ausdruck“. Je nach geplanter Aktivität und der von Ihnen geplanten Häufigkeit sind zusätzliche Optionen verfügbar.
  • Regelmäßig alle – Legen Sie ein Intervall für die Wiederholung des Zeitplans mit optionalen Feldern für Start- oder Enddatum, Splay und maximale Anzahl paralleler Aufträge fest.
  • Regelmäßig am/um – Wiederholen Sie den Zeitplan wöchentlich oder täglich mithilfe optionaler Felder für das Start- oder Enddatum und die maximale Anzahl paralleler Aufträge.
  • Einmal – Geben Sie Datum und Uhrzeit für die einmalige Ausführung des Auftrags an.
  • Cron – Geben Sie einen Cron-Ausdruck ein, um auf der Grundlage der Croniter-Syntax einen benutzerdefinierten Zeitplan zu definieren. Syntaxrichtlinien finden Sie im CronTab-Editor. Vermeiden Sie die Planung von Aufträgen im Abstand von weniger als 60 Sekunden, wenn Sie einen benutzerdefinierten Cron-Ausdruck definieren.
Hinweis: Im Zeitplan-Editor werden die Begriffe „Auftrag“ und „Bewertung“ synonym verwendet. Wenn Sie einen Zeitplan für die Richtlinie definieren, planen Sie nur die Bewertung – nicht die Standardisierung.
Hinweis: Bei der Definition eines Bewertungszeitplans können Sie die Option Kein Zeitplan (Ausführung bei Bedarf) auswählen. Wenn Sie diese Option auswählen, können Sie eine einmalige Bewertung ausführen, und es ist kein Zeitplan definiert.
Hinweis: Sie können Prüfungen und Minions aus der Standardisierung ausnehmen, indem Sie auf Ausnahme hinzufügen klicken, den Grund für die Ausnahme eingeben und zu Bestätigungszwecken erneut auf Ausnahme hinzufügen klicken. Die Standardisierung wird für ausgenommene Elemente übersprungen.

Prozedur

  1. Klicken Sie auf der Startseite von SaltStack SecOps Compliance auf Richtlinie erstellen.
  2. Geben Sie den Namen der Richtlinie ein und wählen Sie ein Ziel aus, um die Richtlinie anzuwenden. Klicken Sie auf Weiter.
  3. Wählen Sie auf der Registerkarte „Benchmarks“ alle Benchmarks aus, die Sie in die Richtlinie aufnehmen möchten, und klicken Sie dann auf Weiter.
    Hinweis: Wenn keine Benchmarks verfügbar sind, müssen Sie möglicherweise Konformitätsinhalte herunterladen. Sie können Inhalte aktualisieren und in die Sicherheitsbibliothek herunterladen, indem Sie im seitlichen Menü auf Verwaltung > SecOps klicken und dann Konformitätsinhalte – SaltStack > Nach Updates suchen auswählen.
  4. Wählen Sie auf der Registerkarte Prüfungen alle Prüfungen aus, die Sie in die Richtlinie aufnehmen möchten. Die verfügbaren Prüfungen werden durch die in Schritt 3 ausgewählten Benchmarks bestimmt. Klicken Sie auf Weiter.
  5. Geben Sie auf der Registerkarte „Variablen“ nach Bedarf Variablen ein oder ändern Sie sie. Sie können auch die Standardwerte übernehmen (empfohlen). Klicken Sie auf Weiter.
  6. Definieren Sie auf der Seite „Zeitplan“ die Häufigkeit des Zeitplans und klicken Sie auf Speichern.
  7. (Optional) Zur sofortigen Ausführung einer Bewertung nach dem Speichern der Richtlinie wählen Sie Bewertung beim Speichern ausführen aus.
  8. Klicken Sie auf Speichern.
    Die Richtlinie wird gespeichert. Bei Auswahl von Bewertung beim Speichern ausführen wird die Bewertung sofort nach dem Speichern ausgeführt.

Ergebnisse

Die Konformitätsrichtlinie wird gespeichert und zum Ausführen einer Bewertung verwendet. Sie können die Richtlinie bearbeiten, indem Sie die Richtlinie auf der Startseite auswählen und auf Richtlinie bearbeiten klicken.