Para proteger los activos de infraestructura con Automation for Secure Hosts Compliance, es necesario definir directivas.
Automation for Secure Hosts Compliance ofrece distintos bancos de pruebas del sector para elegir, incluidas comprobaciones del Centro para la seguridad de Internet (Center for Internet Security, CIS) y más. Cada banco de pruebas incluye una recopilación de comprobaciones de seguridad. Puede optar por aplicar todas las comprobaciones disponibles para un banco de pruebas determinado o utilizar solo un subconjunto de las comprobaciones disponibles. El uso de un subconjunto de comprobaciones resulta útil para personalizar Automation for Secure Hosts Compliance según las necesidades únicas de la infraestructura, por ejemplo, si la corrección de una comprobación determinada supone el riesgo de destruir una dependencia conocida.
Al crear la directiva, debe seleccionar el destino al que se aplicará la directiva, junto con los bancos de pruebas y las comprobaciones que se ejecutarán en el sistema.
Para conectarse directamente al SDK, consulte Automation for Secure Hosts.
Destino
Un destino es el grupo de minions, en uno o varios maestros de Salt, al que se aplica el comando de Salt de un trabajo. Un maestro de Salt se administra de forma similar a un minion y puede ser un destino si ejecuta el servicio de minion. Al crear una directiva y seleccionar un destino, se definen los nodos en los que se ejecutarán las comprobaciones de seguridad. Puede elegir un destino existente o crear uno nuevo.
Bancos de pruebas
Automation for Secure Hosts Compliance simplifica el proceso de definición de directivas de seguridad mediante la agrupación de comprobaciones de seguridad por banco de pruebas.
Los bancos de pruebas son categorías de comprobaciones de seguridad. Los bancos de pruebas de Automation for Secure Hosts Compliance son definidos por expertos ampliamente aceptados, mientras que los bancos de pruebas personalizados se definen según los estándares de la propia organización. Puede utilizar bancos de pruebas para crear un rango de diferentes directivas optimizadas para distintos grupos de nodos. Por ejemplo, puede crear una directiva de Oracle Linux que aplique comprobaciones de CIS a los minions de Oracle Linux y una directiva de Windows que aplique comprobaciones de CIS a los minions de Windows. Para obtener más información sobre la creación de contenido personalizado, consulte Crear componentes de conformidad personalizados.
- Contenido de maestro de dominio
- Contenido de miembro
- Contenido de miembro y de maestro de dominio
Comprobaciones
Campo de información | Descripción |
---|---|
Descripción | Descripción de la comprobación. |
Acción | Una descripción de la acción que se realiza durante la corrección. |
Interrupción | Se utiliza únicamente para pruebas internas. Para obtener más información, póngase en contacto con el administrador. |
Descripción global | Una descripción detallada de la comprobación. |
Osfinger | Una lista de valores osfinger para los que se implementa la comprobación. El valor osfinger se encuentra en los elementos de granos de cada minion para identificar el sistema operativo del minion y la versión de la versión principal. Se recopilan granos para el sistema operativo, el nombre de dominio, la dirección IP, el kernel, el tipo de SO, la memoria y otras propiedades del sistema. |
Perfil | Una lista de perfiles de configuración para diferentes bancos de pruebas. |
Lógica | Una descripción de la lógica para implementar la comprobación. |
Referencias | Las referencias cruzadas de conformidad entre los bancos de pruebas. |
Corregir | Estos valores indican si Automation for Secure Hosts Compliance es capaz de corregir los nodos no conformes, ya que no todas las comprobaciones incluyen pasos de corrección específicos de acción. |
Corrección | Una descripción de la forma en que se corrigen los sistemas no conformes, si corresponde. |
Puntuado | El valor puntuado del banco de pruebas de CIS. Las recomendaciones puntuadas afectan la puntuación de banco de pruebas del destino, mientras que las recomendaciones sin puntuar no afectan la puntuación. El valor True indica que se ha puntuado y el valor False indica que no se ha puntuado. |
Archivo de estado | Una copia del estado de Salt que se aplica para ejecutar la comprobación y, si corresponde, la corrección subsiguiente. |
Variables | Las variables de Automation for Secure Hosts Compliance se utilizan para transferir valores a los estados de Salt que conforman las comprobaciones de seguridad. Para obtener mejores resultados, utilice los valores predeterminados. Para obtener más información, consulte Cómo se utilizan los estados de Salt. |
Programaciones | Seleccione la frecuencia de programación entre Periódica, Fecha y hora de repetición, Una vez o Expresión CRON. Existen opciones adicionales disponibles, según la actividad programada y la frecuencia de programación elegida.
Nota: En el editor de programaciones, los términos “Trabajo” y “Evaluación” se utilizan indistintamente. Al definir una programación para la directiva, solo se programa la evaluación, no la corrección.
Nota: Al definir una programación de evaluación, puede elegir la opción
No programada (a petición). Si selecciona esta opción, puede ejecutar una evaluación por única vez sin definir ninguna programación.
|
Procedimiento
Resultados
La directiva de conformidad se guardará y se utilizará para ejecutar una evaluación. Para editar la directiva, seleccione la directiva en la página de inicio y haga clic en Editar directiva.