Pour sécuriser vos ressources d'infrastructure avec SaltStack SecOps Compliance, vous devez commencer par définir des stratégies.

SaltStack SecOps Compliance fournit différentes évaluations du secteur parmi lesquelles vous pouvez choisir d'inclure les contrôles de Center for Internet Security (CIS) ou d'autres. Chaque évaluation inclut un ensemble de contrôles de sécurité. Vous pouvez choisir d’appliquer toutes les vérifications disponibles pour une évaluation donnée ou d’utiliser uniquement un sous-ensemble de contrôles disponibles. L'utilisation d'un sous-ensemble de contrôles est utile pour personnaliser SaltStack SecOps Compliance pour vos besoins d'infrastructure uniques, par exemple si la correction d'un contrôle donné risque de compromettre une dépendance connue.

Lors de la création de votre stratégie, vous devez sélectionner une cible à laquelle appliquer la stratégie, ainsi que les évaluations et les contrôles à exécuter sur votre système.

Pour vous connecter directement au SDK, reportez-vous à la page vRealize Automation SaltStack Config SecOps.

Cible

Une cible est le groupe de minions, dans un ou plusieurs masters Salt, à qui s'applique la commande Salt d'une tâche. Un master Salt se gère comme un minion et peut être une cible s'il exécute le service de minion. Lors de la création d'une stratégie et de la sélection d'une cible, vous définissez les nœuds sur lesquels les contrôles de sécurité sont exécutés. Vous pouvez choisir une cible existante ou en créer une.

Évaluations

SaltStack SecOps Compliance simplifie le processus de définition de la stratégie de sécurité en regroupant les contrôles de sécurité par évaluation.

Les évaluations constituent une catégorie de contrôles de sécurité. Les évaluations de SaltStack SecOps Compliance sont définies par des experts largement reconnus, tandis que les évaluations personnalisées sont définies par les normes de votre organisation. Vous pouvez utiliser des références pour aider à créer une plage de stratégies différentes optimisées pour différents groupes de nodes. Par exemple, vous pouvez créer une stratégie Oracle Linux qui applique des contrôles CIS à vos minions Oracle Linux et une stratégie Windows qui applique des contrôles CIS à vos minions Windows. Pour plus d'informations sur la création de contenu personnalisé, reportez-vous à la section Création de composants de conformité personnalisés.

Note : En particulier pour les évaluations Windows Server, le contenu CIS de certaines évaluations (signalé par une info-bulle ) est distribué sur trois évaluations différentes:
  • Contenu du domaine maître
  • Contenu du membre
  • Contenu du master et du membre de domaine
Si vous souhaitez inclure tout le contenu du membre, vous devez sélectionner les évaluations du membre ainsi que celles du master et du membre de domaine.

Contrôles

Un contrôle est une norme de sécurité dont SaltStack SecOps Compliance évalue la conformité. La bibliothèque de SaltStack SecOps Compliance met à jour les contrôles fréquemment en fonction de la modification des normes. Outre les contrôles inclus dans la bibliothèque de contenu de SaltStack SecOps Compliance, vous pouvez créer vos propres contrôles personnalisés. Les contrôles personnalisés sont indiqués par une icône custom-checks-user-icon, au lieu de l'icône built-in-checks-shield-icon. Pour plus d'informations sur la création de contenu personnalisé, reportez-vous à la section Création de composants de conformité personnalisés. Chaque contrôle inclut plusieurs champs d'informations.
Champ d'information Description
Description Description du contrôle.
Action Description de l’action effectuée lors de la correction.
Pause Utilisé uniquement pour les tests internes. Pour plus d'informations, contactez votre administrateur.
Description globale Description détaillée du contrôle.
Osfinger Liste des valeurs osfinger pour lesquelles la vérification est implémentée. Osfinger se trouve dans les éléments grains pour chaque minion afin d'identifier le système d'exploitation du minion et la version majeure. Des grains sont collectés pour le système d'exploitation, le nom de domaine, l'adresse IP, le noyau, le type de système d'exploitation, la mémoire, ainsi que d'autres propriétés système.
Profil Liste des profils de configuration pour différentes évaluations.
Logique Description de la logique de mise en œuvre du contrôle.
Références Références croisées de conformité entre évaluations.
Corriger Valeurs qui indiquent si SaltStack SecOps Compliance est capable de corriger des nœuds non conformes, car certains contrôles n'incluent pas d'étapes de correction spécifiques exploitables.
Correction Description du mode de correction de tout système non conforme, le cas échéant.
Noté Valeur de note d'évaluation CIS. Les recommandations notées affectent la note d'évaluation de la cible, tandis que celles non notées ne l'affectent pas. True indique noté et False indique non noté.
Fichier d'état Copie de l'état Salt qui est appliqué pour exécuter le contrôle et, le cas échéant, la correction qui en découle.
Variables Les variables dans SaltStack SecOps Compliance sont utilisées pour transmettre des valeurs aux états Salt qui constituent les contrôles de sécurité. Pour de meilleurs résultats, utilisez les valeurs par défaut. Pour plus d'informations, reportez-vous à la page Comment utiliser les états Salt.
Planifications Choisissez la fréquence de planification Récurrent, Répéter la date et l'heure, Une fois ou Expression Cron. Des options supplémentaires sont disponibles, en fonction de l’activité programmée et de la fréquence de planification que vous choisissez.
  • Récurrent : définissez un intervalle pour répéter la planification, avec des champs facultatifs pour la date de début ou de fin, la répétition et le nombre maximal de tâches parallèles.
  • Répéter la date et l'heure : choisissez de répéter la planification hebdomadairement ou quotidiennement, avec des champs facultatifs pour la date de début ou de fin, et le nombre maximal de tâches parallèles.
  • Une fois : spécifiez une date et une heure d'exécution de la tâche.
  • Cron : entrez une expression Cron pour définir une planification personnalisée basée sur la syntaxe Croniter. Pour les directives de syntaxe, reportez-vous à la page Éditeur CronTab. Évitez de planifier des tâches à moins de 60 secondes d'écart lors de la définition d'une expression Cron personnalisée.
Note : Dans l'éditeur de planification, les termes « Tâche » et « Évaluation » sont utilisés de manière interchangeable. Lorsque vous définissez une planification pour la stratégie, vous planifiez uniquement l'évaluation, pas la correction.
Note : Lors de la définition d'une planification d'évaluation, vous pouvez choisir l'option Non planifiée (à la demande). Si vous sélectionnez cette option, vous choisissez d'exécuter une évaluation ponctuelle et aucune planification n'est définie.
Note : Vous pouvez exempter les contrôles et les minions de la correction en cliquant sur Ajouter une exemption, en entrant la raison de l'exemption et en cliquant sur Ajouter une exemption à nouveau pour confirmer. La correction est ignorée pour les éléments exemptés.

Procédure

  1. Dans la page d'accueil de SaltStack SecOps Compliance, cliquez sur Créer la stratégie.
  2. Entrez le nom de la stratégie et sélectionnez une cible pour appliquer la stratégie. Cliquez sur Suivant.
  3. Dans l'onglet Évaluations, sélectionnez toutes les évaluations que vous souhaitez inclure dans la stratégie, puis cliquez sur Suivant.
    Note : Si aucune évaluation n'est disponible, vous devrez peut-être télécharger le contenu de conformité. Vous pouvez mettre à jour et télécharger du contenu dans la bibliothèque de sécurité en cliquant sur Administration > SecOps dans le menu latéral, puis en sélectionnant Contenu de conformité - SaltStack > Vérifier les mises à jour.
  4. Dans l'onglet Contrôles, sélectionnez tous les contrôles que vous souhaitez inclure dans la stratégie. Les contrôles disponibles sont déterminés par les évaluations que vous avez sélectionnées à l'étape 3. Cliquez sur Suivant.
  5. Dans l'onglet Variables, entrez ou modifiez les variables si nécessaire. Vous pouvez également choisir d’accepter les valeurs par défaut (recommandé). Cliquez sur Suivant.
  6. Sur la page Planification, définissez la fréquence de planification et cliquez sur Enregistrer.
  7. (Facultatif) Pour exécuter une évaluation immédiatement après l'enregistrement de votre stratégie, sélectionnez Exécuter l'évaluation lors de l'enregistrement.
  8. Cliquez sur Enregistrer.
    La stratégie est enregistrée. Si vous avez sélectionné Exécutez l'évaluation lors de l'enregistrement, l'évaluation s'exécute immédiatement après l'enregistrement.

Résultats

La stratégie de conformité est enregistrée et utilisée pour exécuter une évaluation. Vous pouvez modifier la stratégie en sélectionnant la stratégie sur la page d'accueil et en cliquant sur Modifier la stratégie.