Para proteger los activos de infraestructura con SaltStack SecOps Compliance, es necesario definir directivas.

SaltStack SecOps Compliance ofrece distintos bancos de pruebas del sector para elegir, incluidas comprobaciones del Centro para la seguridad de Internet (Center for Internet Security, CIS) y más. Cada banco de pruebas incluye una recopilación de comprobaciones de seguridad. Puede optar por aplicar todas las comprobaciones disponibles para un banco de pruebas determinado o utilizar solo un subconjunto de las comprobaciones disponibles. El uso de un subconjunto de comprobaciones resulta útil para personalizar SaltStack SecOps Compliance según las necesidades únicas de la infraestructura, por ejemplo, si la corrección de una comprobación determinada supone el riesgo de destruir una dependencia conocida.

Al crear la directiva, debe seleccionar el destino al que se aplicará la directiva, junto con los bancos de pruebas y las comprobaciones que se ejecutarán en el sistema.

Para conectarse directamente al SDK, consulte vRealize Automation SaltStack Config SecOps.

Destino

Un destino es el grupo de minions, en uno o varios maestros de Salt, al que se aplica el comando de Salt de un trabajo. Un maestro de Salt se administra de forma similar a un minion y puede ser un destino si ejecuta el servicio de minion. Al crear una directiva y seleccionar un destino, se definen los nodos en los que se ejecutarán las comprobaciones de seguridad. Puede elegir un destino existente o crear uno nuevo.

Bancos de pruebas

SaltStack SecOps Compliance simplifica el proceso de definición de directivas de seguridad mediante la agrupación de comprobaciones de seguridad por banco de pruebas.

Los bancos de pruebas son comprobaciones de categorías de seguridad. A los bancos de pruebas de SaltStack SecOps Compliance los definen expertos ampliamente aceptados, mientras que los bancos de pruebas personalizados se definen según los estándares de la propia organización. Puede utilizar bancos de pruebas para crear un rango de diferentes directivas optimizadas para distintos grupos de nodos. Por ejemplo, puede crear una directiva de Oracle Linux que aplique comprobaciones de CIS a los minions de Oracle Linux y una directiva de Windows que aplique comprobaciones de CIS a los minions de Windows. Para obtener más información sobre la creación de contenido personalizado, consulte Crear componentes de conformidad personalizados.

Nota: Específicamente para los bancos de pruebas de Windows Server, el contenido de CIS de ciertos bancos de pruebas (con una nota de información sobre herramientas ) se distribuye entre tres bancos de pruebas diferentes:
  • Contenido de maestro de dominio
  • Contenido de miembro
  • Contenido de miembro y de maestro de dominio
Si desea incluir todo el contenido de miembro, debe seleccionar los bancos de pruebas para Miembro y también para Miembro y maestro de dominio.

Comprobaciones

Una comprobación es un estándar de seguridad que SaltStack SecOps Compliance evalúa para fines de conformidad. La biblioteca de SaltStack SecOps Compliance actualiza las comprobaciones con frecuencia a medida que cambian los criterios de seguridad. Además de las comprobaciones incluidas en la biblioteca de contenido de SaltStack SecOps Compliance, puede crear sus propias comprobaciones personalizadas. Las comprobaciones personalizadas se señalan mediante un icono de usuario de comprobaciones personalizadas , en lugar del icono de escudo de comprobaciones integradas . Para obtener más información sobre la creación de contenido personalizado, consulte Crear componentes de conformidad personalizados. Cada comprobación incluye varios campos de información.
Campo de información Descripción
Descripción Descripción de la comprobación.
Acción Una descripción de la acción que se realiza durante la corrección.
Interrupción Se utiliza únicamente para pruebas internas. Para obtener más información, póngase en contacto con el administrador.
Descripción global Una descripción detallada de la comprobación.
Osfinger Una lista de valores osfinger para los que se implementa la comprobación. El valor osfinger se encuentra en los elementos de granos de cada minion para identificar el sistema operativo del minion y la versión de la versión principal. Se recopilan granos para el sistema operativo, el nombre de dominio, la dirección IP, el kernel, el tipo de SO, la memoria y otras propiedades del sistema.
Perfil Una lista de perfiles de configuración para diferentes bancos de pruebas.
Lógica Una descripción de la lógica para implementar la comprobación.
Referencias Las referencias cruzadas de conformidad entre los bancos de pruebas.
Corregir Estos valores indican si SaltStack SecOps Compliance es capaz de corregir los nodos no conformes, ya que no todas las comprobaciones incluyen pasos de corrección específicos de acción.
Corrección Una descripción de la forma en que se corrigen los sistemas no conformes, si corresponde.
Puntuado El valor puntuado del banco de pruebas de CIS. Las recomendaciones puntuadas afectan la puntuación de banco de pruebas del destino, mientras que las recomendaciones sin puntuar no afectan la puntuación. El valor True indica que se ha puntuado y el valor False indica que no se ha puntuado.
Archivo de estado Una copia del estado de Salt que se aplica para ejecutar la comprobación y, si corresponde, la corrección subsiguiente.
Variables Las variables de SaltStack SecOps Compliance se utilizan para transferir valores a los estados de Salt que conforman las comprobaciones de seguridad. Para obtener mejores resultados, utilice los valores predeterminados. Para obtener más información, consulte Cómo se utilizan los estados de Salt.
Programaciones Seleccione la frecuencia de programación entre Periódica, Fecha y hora de repetición, Una vez o Expresión CRON. Existen opciones adicionales disponibles, según la actividad programada y la frecuencia de programación elegida.
  • Periódica: establezca un intervalo para repetir la programación, con campos opcionales para la fecha de inicio o finalización, la visualización y el número máximo de trabajos en paralelo.
  • Fecha y hora de repetición: repita la programación de forma semanal o diaria, con campos opcionales para la fecha de inicio o finalización y el número máximo de trabajos en paralelo.
  • Una vez: especifique una fecha y una hora para ejecutar el trabajo una vez.
  • Cron: introduzca una expresión CRON para definir una programación personalizada basada en la sintaxis Croniter. Consulte Editor CronTab para obtener directrices de sintaxis. Evite programar trabajos con menos de 60 segundos de diferencia al definir una expresión CRON personalizada.
Nota: En el editor de programaciones, los términos “Trabajo” y “Evaluación” se utilizan indistintamente. Al definir una programación para la directiva, solo se programa la evaluación, no la corrección.
Nota: Al definir una programación de evaluación, puede elegir la opción No programada (a petición). Si selecciona esta opción, puede ejecutar una evaluación por única vez sin definir ninguna programación.
Nota: Para excluir comprobaciones y minions de la corrección, haga clic en Agregar excepción, introduzca el motivo de la excepción y haga clic en Agregar excepción de nuevo para confirmar. Se omitirá la corrección para los elementos exentos.

Procedimiento

  1. En la página de inicio de SaltStack SecOps Compliance, haga clic en Crear directiva.
  2. Introduzca el nombre de la política y seleccione un destino para aplicarla. Haga clic en Siguiente.
  3. En la pestaña Bancos de pruebas, seleccione todos los bancos de pruebas que desee incluir en la directiva y, a continuación, haga clic en Siguiente.
    Nota: Si no existe ningún banco de pruebas disponible, es posible que deba descargar el contenido de conformidad. Para actualizar y descargar contenido en la biblioteca de seguridad, haga clic en Administración > SecOps en el menú lateral y, a continuación, seleccione Contenido de conformidad: SaltStack > Buscar actualizaciones.
  4. En la pestaña Comprobaciones, seleccione todas las comprobaciones que desee incluir en la directiva. Las comprobaciones disponibles se determinan en función de los bancos de pruebas seleccionados en el paso 3. Haga clic en Siguiente.
  5. En la pestaña Variables, introduzca o modifique las variables según sea necesario. También puede aceptar los valores predeterminados (recomendado). Haga clic en Siguiente.
  6. En la página Programación, defina la frecuencia de programación y haga clic en Guardar.
  7. (Opcional) Para ejecutar una evaluación inmediatamente después de guardar la directiva, seleccione Ejecutar evaluación al guardar.
  8. Haga clic en Guardar.
    Se guardará la directiva. Si seleccionó Ejecutar evaluación al guardar, la evaluación se ejecutará inmediatamente después de guardar.

Resultados

La directiva de conformidad se guardará y se utilizará para ejecutar una evaluación. Para editar la directiva, seleccione la directiva en la página de inicio y haga clic en Editar directiva.