SaltStack SecOps Compliance

SaltStack SecOps Compliance es una solución de seguridad y conformidad de la infraestructura de TI que combina la seguridad con las operaciones de TI en una sola plataforma. Su biblioteca de seguridad contiene los últimos estándares de seguridad basados en las guías de protección de prácticas recomendadas del sector, como CIS y otros. Esta solución utiliza la biblioteca no solo para evaluar la seguridad de la infraestructura, sino también para corregir al instante los sistemas no conformes.

Para usar SaltStack SecOps Compliance, primero se debe definir una directiva y, a continuación, se deben analizar los sistemas en función de la directiva. El análisis detecta los sistemas no conformes y permite corregir los problemas de forma instantánea. Además, es posible introducir exenciones y especificar permisos de usuario para garantizar que todas las rutas de acceso a la corrección se personalicen según las necesidades de la organización.

Nota:

En esta sección, se describe la forma de usar SaltStack SecOps Compliance en la interfaz de usuario de SaltStack Config. Sin embargo, también se puede utilizar SaltStack SecOps Compliance a través de la API (RaaS). Consulte Documentación de endpoints de RPC para la API (RaaS) o póngase en contacto con un administrador para obtener ayuda.

SaltStack SecOps Compliance aprovecha las eficaces capacidades de administración de configuración y ejecución remota de Salt para lograr que todos los activos de la infraestructura cumplan con una serie de bancos de pruebas de seguridad del sector. Se integra con SaltStack Config para aplicar medidas de seguridad a escala y respetar las exenciones personalizadas según las necesidades de la organización.

Directivas

Para proteger sus activos de infraestructura con SaltStack SecOps Compliance, comience por definir directivas. SaltStack SecOps Compliance ofrece distintos bancos de pruebas del sector para elegir, incluidas comprobaciones de CIS y más. Para obtener más información sobre la definición de directivas, consulte Crear una directiva.

Cada banco de pruebas incluye una recopilación de comprobaciones de seguridad. Puede optar por aplicar todas las comprobaciones disponibles para un banco de pruebas determinado o utilizar solo un subconjunto de las comprobaciones disponibles. El uso de un subconjunto de comprobaciones resulta útil para personalizar SaltStack SecOps Compliance según las necesidades únicas de la infraestructura, por ejemplo, si la corrección de una comprobación determinada supone el riesgo de destruir una dependencia conocida. Para obtener más información sobre los bancos de pruebas y las comprobaciones, consulte Directivas de conformidad.

Evaluaciones y corrección

SaltStack SecOps Compliance utiliza la directiva de conformidad como base para evaluar la seguridad de la infraestructura. Tras cada evaluación, SaltStack SecOps Compliance proporciona un informe donde se resaltan los sistemas no conformes, junto con la corrección recomendada. Consulte Ejecutar una evaluación.

Nota: SaltStack SecOps Compliance no realiza ningún cambio durante la evaluación.

Tras una evaluación, puede corregir los nodos no conformes. Para su comodidad, SaltStack SecOps Compliance permite corregir todo a la vez o corregir solo un subconjunto de nodos o comprobaciones. Para obtener más información sobre la corrección, consulte Corregir todas las comprobaciones.

Personalización

Para personalizar SaltStack SecOps Compliance según las necesidades de la organización, puede excluir de la corrección ciertas comprobaciones y nodos. También puede insertar valores de variables para aplicar requisitos más estrictos que los estándares del sector. Para obtener más información sobre las exenciones, consulte Agregar exenciones.

Otro método de personalización es configurar los permisos de usuario para permitir que solo ciertos usuarios puedan corregir y permitir que otros evalúen o definan directivas. Esto brinda un control total sobre cada acción realizada. Para obtener más información sobre los permisos, consulte Funciones y permisos.

Crear una directiva

En la página de inicio de SaltStack SecOps Compliance, haga clic en Crear directiva.
Introduzca el nombre de la directiva y seleccione el destino al que desee aplicar la directiva. A continuación, haga clic en Siguiente.
Nota:
Un destino es el grupo de minions, en uno o varios maestros de Salt, al que se aplica el comando de Salt de un trabajo. Un maestro de Salt también se puede administrar como un minion y puede ser un destino si ejecuta el servicio de minion. Los minions son nodos que ejecutan el servicio de minion, y pueden escuchar los comandos de un maestro de Salt y realizar las tareas solicitadas. Consulte Minions para obtener más información.
En la pestaña Bancos de pruebas, seleccione todos los bancos de pruebas que desee incluir en la directiva y, a continuación, haga clic en Siguiente.
Si no se muestra ningún banco de pruebas, es posible que deba descargar el contenido de conformidad. Consulte Actualizando la biblioteca de seguridad o póngase en contacto con el administrador para obtener ayuda.
Nota:
Al trabajar con bancos de pruebas de Windows Server, asegúrese de examinar atentamente el contenido incluido en los bancos de pruebas seleccionados. El contenido de CIS para ciertos bancos de pruebas (con información sobre herramientas) se distribuye entre tres bancos de pruebas diferentes de la siguiente manera:
- Contenido de maestro de dominio
- Contenido de miembro
- Contenido de miembro y de maestro de dominio
Esto significa que si desea incluir todo el contenido de miembro, debe seleccionar los bancos de pruebas para “Miembro” y también para “Miembro y maestro de dominio”.
En la pestaña Comprobaciones, seleccione todas las comprobaciones que desee incluir en la directiva. Las comprobaciones disponibles se determinan en función de los bancos de pruebas seleccionados.
Para ver más detalles sobre una comprobación, como la descripción y la corrección asociada, haga clic en el icono de flechas dobles para abrir un panel de detalles.
Las comprobaciones personalizadas incluyen un icono de usuario en contraposición con las comprobaciones de SaltStack .
Para obtener más información sobre las comprobaciones, consulte Directivas de conformidad.
Para filtrar la lista, haga clic en el botón Filtrar . Para eliminar filtros activos, haga clic en Borrar filtros.

Nota:
Las directivas que contienen muchas comprobaciones pueden provocar tiempos de procesamiento largos durante la evaluación. Esto también puede retrasar otros procesos, como los trabajos en ejecución, en SaltStack Config. Asegúrese de incluir solo las comprobaciones necesarias y de tener en cuenta el tiempo adicional requerido para ejecutar evaluaciones de gran tamaño.
Haga clic en Siguiente.
En la pestaña Variables, introduzca o modifique las variables según sus necesidades, o acepte los valores predeterminados. A continuación, haga clic en Siguiente.
Nota:
Los valores introducidos definen la forma en que SaltStack SecOps Compliance realiza las comprobaciones seleccionadas. Se recomienda usar los valores predeterminados. Para obtener más información sobre las variables, seleccione Directivas de conformidad.
En la pantalla Programación, defina la frecuencia de programación y haga clic en Guardar. Para obtener más información sobre la definición de los ajustes de programación, consulte Directivas de conformidad.
(Opcional) Seleccione Ejecutar evaluación al guardar.
Haga clic en Guardar.
La directiva se guardó. Si optó por ejecutar la evaluación al guardar, ahora se ejecutará la evaluación.

Editar una directiva

En la página de inicio de SaltStack SecOps Compliance, seleccione la directiva que desea editar.
En la pantalla de la directiva, haga clic en Editar directiva en la esquina superior derecha.
Edite la directiva según sea necesario y haga clic en Guardar.

Actualizando la biblioteca de seguridad

Haga clic en Administración > SecOps en el menú lateral.
En Contenido de conformidad - SaltStack, haga clic en Buscar actualizaciones.

Ejecutar una evaluación

Nota:

Las directivas que contienen muchas comprobaciones pueden provocar tiempos de procesamiento largos durante la evaluación. Esto también puede retrasar otros procesos, como los trabajos en ejecución, en SaltStack Config. Asegúrese de tener en cuenta el tiempo adicional necesario para ejecutar evaluaciones de gran tamaño.

En la página de inicio de SaltStack SecOps Compliance, seleccione una directiva.
En la página de inicio de la directiva, haga clic Ejecutar evaluación. Se abrirá la pantalla Actividad.
Las evaluaciones completadas se enumeran en la pantalla Actividad junto con su estado, identificador de trabajo (Job ID, JID) y otra información.

Nota:
Durante la evaluación, no se realiza ningún cambio. Podrá corregir cualquier problema más adelante. Consulte Corregir todas las comprobaciones.

Ver los resultados de la evaluación

En la página de inicio de SaltStack SecOps Compliance, seleccione una directiva.
La página de inicio de la directiva muestra los resultados de la evaluación más reciente, organizados por comprobación.
Para filtrar la lista, haga clic en el botón Filtrar . Para eliminar filtros activos, haga clic en Borrar filtros.
También puede seleccionar un encabezado de columna para ordenar los resultados, por ejemplo, puede ordenar la columna No conforme para ver primero los nodos no conformes.
Puede seleccionar la pestaña Minions para ver los resultados de la evaluación por minion.

Nota:
Para poder ver los resultados de la evaluación, primero debe ejecutarla. Consulte Ejecutar una evaluación.

Comprender los resultados de la evaluación

Para obtener una referencia de los resultados de la evaluación, consulte Resultados de la evaluación.

Descargar el informe de la evaluación

En la página de inicio de SaltStack SecOps Compliance, seleccione una directiva para ver los resultados de la evaluación más reciente.
En la página de inicio de la directiva, vaya a la pestaña Informe y haga clic en Descargar.
En el menú desplegable resultante, seleccione JSON.
El navegador web comenzará a descargar el informe.

Corregir todas las comprobaciones

Una vez identificados los sistemas no conformes, el siguiente paso es corregir. Puede optar por corregir comprobaciones o nodos individuales (que se conocen como minions), o puede corregir todas las comprobaciones de todos los nodos. Sin embargo, cuando se ejecuta Corregir todo, no se corrigen las comprobaciones o los nodos exentos.

Para corregir todas las comprobaciones de todos los minions:

En la página de inicio de SaltStack SecOps Compliance, seleccione una directiva para ver los resultados de la evaluación más reciente.
En la pestaña Comprobaciones, haga clic en Corregir todo en la esquina superior derecha.
En el cuadro de diálogo de confirmación, haga clic en Corregir todo.
SaltStack SecOps Compliance comenzará a corregir todas las comprobaciones de todos los nodos no conformes. Puede realizar un seguimiento del estado de la corrección en la pestaña Actividad.
Una vez completada la corrección, ejecute una nueva evaluación para confirmar que los sistemas ahora son conformes.
Nota:
Para lograr una conformidad total, es posible que deba repetir el proceso de corrección y análisis varias veces, especialmente si ejecutó Corregir todo con muchas comprobaciones no conformes. Esto se debe a que algunas comprobaciones dependen de la finalización de otras. Por ejemplo, una comprobación puede requerir que otra comprobación implemente un paquete para ser corregida correctamente.

Corregir por comprobación

En la pantalla de la directiva, seleccione una casilla para abrir la descripción de la comprobación.
Desplácese hacia abajo de la descripción hasta ver una lista de los resultados de la última evaluación. Los resultados se ordenan por minion.
Si un encabezado de columna incluye un icono de filtro , es posible filtrar los resultados por ese tipo de columna. Haga clic en el icono y seleccione una opción de filtro del menú o escriba el texto por el que desee filtrar. Para eliminar filtros activos, haga clic en Borrar filtros.
Seleccione todos los minions que desea corregir para la comprobación activa.
Haga clic en Corregir.

Corregir por minion

En la pantalla de la directiva, vaya a la pestaña Minions y seleccione un minion.
Seleccione todas las comprobaciones que desea corregir para el minion activo.
Si un encabezado de columna incluye un icono de filtro , es posible filtrar los resultados por ese tipo de columna. Haga clic en el icono y seleccione una opción de filtro del menú o escriba el texto por el que desee filtrar. Para eliminar filtros activos, haga clic en Borrar filtros.
Haga clic en Corregir.

Agregar exenciones

En la pantalla de la directiva, seleccione las comprobaciones que desea excluir de la corrección.
Haga clic en Agregar exención.
Introduzca el motivo de la exención y haga clic en Agregar exención para confirmar. Siempre puede eliminar las exenciones más adelante si es necesario.
Los elementos exentos no se corregirán. Si se ejecuta una corrección con una directiva que contiene el elemento exento, se omite la corrección de ese elemento.

Nota:
Puede agregar una exención antes o después de ejecutar la evaluación. También puede definir una directiva personalizada que excluya comprobaciones en función de sus necesidades. Consulte Crear una directiva.

Agregar exenciones por minion

En la pantalla de la directiva, vaya a la pestaña Minions.
Seleccione los minions que desea excluir de la corrección.
Haga clic en Agregar exención.
Introduzca el motivo de la exención y haga clic en Agregar exención para confirmar. Siempre puede eliminar las exenciones más adelante si es necesario.
Los elementos exentos no se corregirán. Si se ejecuta una corrección con una directiva que contiene el elemento exento, se omite la corrección de ese elemento.

Eliminar una exención

En la pantalla de la directiva, vaya a la pestaña Exenciones.
Desplácese hacia arriba y hacia abajo en la página para ver una lista de todas las exenciones.
Nota:
Es posible que existan más exenciones fuera de la pantalla al abrir por primera vez la pestaña Exenciones. Siga desplazándose hasta la parte inferior de la pantalla para ver todas las exenciones.
Haga clic en el menú desplegable de la exención que desea eliminar.

Esto abre una lista de todos los súbús afectados.
Haga clic en Eliminar exención.
En el cuadro de diálogo de confirmación, haga clic Eliminar exención.

Definir permisos de SaltStack SecOps Compliance

Vaya al editor de permisos para modificar los permisos de SaltStack SecOps Compliance. Para obtener más información sobre las funciones y los permisos de SaltStack Config, consulte Funciones y permisos.

Biblioteca de contenido de SaltStack SecOps Compliance

La biblioteca de contenido de SaltStack SecOps Compliance se compone de contenido de seguridad y conformidad de prácticas recomendadas del sector generado previamente. Este incluye:

Nota: La biblioteca de seguridad se actualiza automáticamente a medida que cambian los criterios de seguridad.

Directivas de conformidad

Las directivas de conformidad son recopilaciones de comprobaciones de seguridad, así como especificaciones sobre el nodo al que se aplica cada comprobación, en SaltStack SecOps Compliance. Las directivas también pueden incluir programaciones, así como especificaciones sobre el manejo de exenciones.

A continuación, se describe en detalle cada componente de una directiva de seguridad.

Destino

Un destino es el grupo de minions, en uno o varios maestros de Salt, al que se aplica el comando de Salt de un trabajo. Un maestro de Salt también se puede administrar como un minion y puede ser un destino si ejecuta el servicio de minion. Al elegir un destino en SaltStack SecOps Compliance, defina los nodos en los que desea ejecutar comprobaciones de seguridad. Puede elegir un destino existente o crear uno nuevo. Consulte Minions para obtener más información.

Bancos de pruebas

Los bancos de pruebas son categorías de comprobaciones de seguridad. Los bancos de pruebas de SaltStack SecOps Compliance son definidos por expertos ampliamente aceptados, mientras que los bancos de pruebas personalizados pueden definirse según los estándares de la propia organización. Puede utilizar bancos de pruebas para crear un rango de diferentes directivas optimizadas para distintos grupos de nodos. Por ejemplo, puede crear una directiva de Oracle Linux que aplique comprobaciones de CIS a los minions de Oracle Linux y una directiva de Docker que aplique comprobaciones de CIS a los minions de Docker.

Consulte Contenido personalizado de conformidad de SaltStack SecOps para obtener más información sobre la creación de comprobaciones y bancos de pruebas personalizados.

SaltStack SecOps Compliance simplifica el proceso de definición de directivas de seguridad mediante la agrupación de comprobaciones de seguridad por banco de pruebas.

Comprobaciones

Una comprobación es un estándar de seguridad que SaltStack SecOps Compliance evalúa para fines de conformidad. La biblioteca de SaltStack SecOps Compliance actualiza las comprobaciones con frecuencia a medida que cambian los criterios de seguridad. Además de las comprobaciones incluidas en la biblioteca de contenido de SaltStack SecOps Compliance, puede crear sus propias comprobaciones personalizadas. Las comprobaciones personalizadas incluyen un icono de usuario icono de usuario de comprobaciones personalizadas en contraposición con las comprobaciones de SaltStack icono de escudo de comprobaciones integradas . Consulte Contenido personalizado de conformidad de SaltStack SecOps para obtener más información sobre la creación de comprobaciones y bancos de pruebas personalizados.

Cada comprobación incluye los siguientes campos de información.

Nota: Algunos de los siguientes elementos se definen para cada comprobación, mientras que otros se definen para uno o varios bancos de pruebas.

Descripción: Una breve descripción de la comprobación.
Acción: Una breve descripción de la acción que se realizará en la corrección.
Interrupción: Se utiliza solo para fines de pruebas internas. Para obtener más información, póngase en contacto con el administrador.
Descripción global: Una descripción detallada de la comprobación.
Osfinger: Una lista de valores osfinger para los que se implementa la comprobación. El elemento osfinger se encuentra en grains.items para cada minion. Identifica la versión principal y el sistema operativo del minion. Los detalles son una interfaz que deriva información sobre el sistema subyacente. Se recopilan granos para el sistema operativo, el nombre de dominio, la dirección IP, el kernel, el tipo de SO, la memoria y muchas otras propiedades del sistema. Para obtener más información sobre los granos, consulte Referencia de granos de Salt.
Perfil: Una lista de los perfiles de configuración para distintos bancos de pruebas. Estos perfiles de configuración apuntan a las diferentes funciones de una máquina dentro de un entorno (por ejemplo, en un servidor o una estación de trabajo) y a los diferentes niveles de seguridad en contraposición con el uso práctico.
Lógica: Una descripción de la lógica para implementar la comprobación. Esto incluye las razones por las que se recomienda implementar la comprobación.
Referencias: Las referencias cruzadas de conformidad entre los bancos de pruebas.
Corregir: (No incluida en todas las comprobaciones.) Un valor que indica si SaltStack SecOps Compliance es capaz de corregir los nodos no conformes, ya que no todas las comprobaciones incluyen pasos de corrección específicos de acción. Por ejemplo, SaltStack SecOps Compliance no corrige CIS 1.1.6: asegúrese de que exista una partición independiente para /var, ya que no existe un método universal para volver a particionar cada sistema. Un valor False indica una comprobación que no se puede corregir. Cuando el valor es True (valor predeterminado), este campo no se muestra.
Corrección: Una descripción de la forma en que se corregirán los sistemas no conformes, si corresponde. Tenga en cuenta que algunas comprobaciones no incluyen pasos de corrección específicos de acción. Consulte Corregir arriba.
Puntuado: El valor puntuado del banco de pruebas de CIS. Las recomendaciones puntuadas afectan la puntuación de banco de pruebas del destino, mientras que las recomendaciones sin puntuar no afectan la puntuación. El valor True indica que se ha puntuado y el valor False indica que no se ha puntuado.
Archivo de estado: Una copia del estado de Salt que se aplicará para ejecutar la comprobación y, si corresponde, la corrección subsiguiente.

Variables

Las variables de SaltStack SecOps Compliance se utilizan para transferir valores a los estados de Salt que conforman las comprobaciones de seguridad. Para obtener mejores resultados, utilice los valores predeterminados proporcionados.

Para obtener más información sobre los estados de Salt, consulte Tutorial de estados de Salt.

Programaciones

Nota: En el editor de programaciones, los términos “Trabajo” y “Evaluación” se utilizan indistintamente. Al definir una programación para la directiva, solo se programa la evaluación, no la corrección.

Elija la frecuencia de programación entre Periódica, Fecha y hora de repetición, Una vez o Expresión CRON. Existen opciones adicionales disponibles, según la actividad programada y la frecuencia de programación elegida.

Periódica: Establezca un intervalo para repetir la programación, con campos opcionales para la fecha de inicio o finalización, la visualización y el número máximo de trabajos en paralelo.
Fecha y hora de repetición: Elija repetir la programación de forma semanal o diaria, con campos opcionales para la fecha de inicio o finalización y el número máximo de trabajos en paralelo.
Una vez: Especifique una fecha y una hora para ejecutar el trabajo.
Cron: Introduzca una expresión CRON para definir una programación personalizada basada en la sintaxis Croniter. Consulte Editor CronTab para obtener directrices de sintaxis. Para obtener mejores resultados, evite programar trabajos con menos de 60 segundos de diferencia al definir una expresión CRON personalizada.

Nota: Al definir una programación de evaluación, puede elegir la opción adicional No programada (a petición). Si selecciona esta opción, puede ejecutar una evaluación por única vez sin definir ninguna programación.

Estado de actividad

En la página de inicio de la directiva, la pestaña Actividad muestra una lista de las evaluaciones y las correcciones completadas o en curso. Incluye los siguientes estados.


Estado	Descripción
En cola	La operación está lista para ejecutarse, pero los minions aún no han seleccionado la tarea para iniciar la operación.
Completado	La operación ha terminado de ejecutarse.
Parcial	La operación sigue esperando que se devuelvan algunos minions, aunque el maestro de Salt ha informado que la operación finalizó su ejecución. Los minions son nodos que ejecutan el servicio de minion, y pueden escuchar los comandos de un maestro de Salt y realizar las tareas solicitadas. El maestro de Salt es un nodo central que se utiliza para emitir comandos a los minions.

Puede realizar un seguimiento de toda la actividad en SaltStack Config, incluidas las evaluaciones y las correcciones, en el área de trabajo Actividad principal de SaltStack Config. Consulte Actividad.

Resultados de la evaluación

Consulte lo siguiente para comprender los resultados de la evaluación. Para obtener más información sobre cómo acceder a los resultados de la evaluación, consulte Ver los resultados de la evaluación.

Estados de devolución

Después de una corrección, SaltStack SecOps Compliance etiqueta cada sistema con uno de los siguientes estados de devolución.

Conforme: La configuración se encuentra en su estado previsto en comparación con el estándar o el banco de pruebas.
No conforme: La configuración no se encuentra en su estado previsto en comparación con el estándar o el banco de pruebas. Se recomienda seguir investigando y solucionar posibles problemas.
No aplicable: La configuración no se aplica a este sistema, por ejemplo, si se ejecuta una comprobación de CentOS en AIX.
Desconocido: No se ejecutaron evaluaciones ni correcciones.
Error: SaltStack SecOps Compliance detectó un error al ejecutar la evaluación o la corrección.