Stratégies

Pour sécuriser les ressources d'infrastructure avec SaltStack SecOps Compliance, commencez par définir des stratégies. SaltStack SecOps Compliance fournit différentes évaluations du secteur parmi lesquelles vous pouvez choisir d'inclure les vérifications de CIS et plus encore. Pour plus d'informations sur la définition de stratégies, reportez-vous à la section Élaboration d'une stratégie.

Chaque évaluation inclut un ensemble de contrôles de sécurité. Vous pouvez choisir d’appliquer toutes les vérifications disponibles pour une évaluation donnée ou d’utiliser uniquement un sous-ensemble de contrôles disponibles. L'utilisation d'un sous-ensemble de contrôles est utile pour personnaliser SaltStack SecOps Compliance pour vos besoins d'infrastructure uniques, par exemple si la correction d'un contrôle donné risque de compromettre une dépendance connue. Pour plus d'informations sur les évaluations et les contrôles, reportez-vous à la section Politiques de conformité.

Évaluation et correction

SaltStack SecOps Compliance utilise la stratégie de conformité comme base pour évaluer la sécurité de votre infrastructure. À la suite de chaque évaluation, SaltStack SecOps Compliance fournit un rapport mettant en évidence les systèmes non conformes, ainsi que la correction recommandée. Reportez-vous à la section Exécution d'une évaluation.

À la suite d’une évaluation, vous pouvez corriger tous les nodes non conformes. Pour des raisons pratiques, SaltStack SecOps Compliance vous permet de tout corriger en même temps ou de corriger uniquement un sous-ensemble de nœuds ou de vérifications. Pour plus d'informations sur la correction, reportez-vous à la section Correction de toutes les vérifications.

Personnalisation

Pour personnaliser SaltStack SecOps Compliance en fonction des besoins de votre organisation, vous pouvez exempter certains contrôles et certains nœuds de la correction. Vous pouvez également insérer des valeurs variables pour appliquer des exigences plus strictes que les normes du secteur. Pour plus d'informations sur les exemptions, reportez-vous à la section Ajout d'exemptions.

Une autre méthode de personnalisation consiste à configurer les autorisations utilisateur pour autoriser uniquement certains utilisateurs à effectuer des corrections, tout en permettant à d'autres utilisateurs d'évaluer ou de définir des stratégies. Cela vous offre un contrôle total sur chaque action effectuée. Pour plus d'informations sur les autorisations, reportez-vous à la section Rôles et autorisations.

Établissement d’une stratégie

1. Dans la page d'accueil de SaltStack SecOps Compliance, cliquez sur Créer la stratégie.
2. Entrez le nom de la stratégie et sélectionnez une cible à laquelle appliquer la stratégie. Cliquez ensuite sur Suivant.
   Note :

   Une cible est le groupe de minions, dans un ou plusieurs masters Salt, à qui s'applique la commande Salt d'une tâche. Un master Salt peut également être géré comme un minion et peut être une cible s'il exécute le service de minion. Les minions sont des nœuds exécutant le service de minion, qui peut écouter les commandes d'un master Salt et effectuer les tâches demandées. Pour plus d'informations, consultez Minions.

3. Dans l'onglet Évaluations, sélectionnez toutes les évaluations que vous souhaitez inclure dans la stratégie, puis cliquez sur Suivant.

   Si aucune évaluation ne s'affiche, vous devrez peut-être télécharger le contenu de conformité. Reportez-vous à la section Mise à jour de la bibliothèque de sécurité ou contactez votre administrateur pour obtenir de l'aide.

   Note :

   Lorsque vous travaillez avec des évaluations Windows Server, examinez le contenu inclus dans les évaluations que vous sélectionnez. Le contenu CIS de certaines évaluations (notées avec une info-bulle) est distribué sur trois évaluations différentes comme suit :

   • Contenu du domaine maître
   • Contenu du membre
   • Contenu du master et du membre de domaine

   Cela signifie que si souhaitez inclure tout le contenu du membre, vous devez sélectionner des évaluations pour « Membre », ainsi que pour « Master et membre de domaine ».

4. Dans l'onglet Contrôles, sélectionnez tous les contrôles que vous souhaitez inclure dans la stratégie. Les contrôles disponibles sont déterminés par les évaluations sélectionnées.

   Pour voir plus d'informations sur un contrôle, telles que la description et la correction associée, cliquez sur l'icône de flèches doubles pour ouvrir un volet de détails.

   Les contrôles personnalisés incluent une icône utilisateur , contrairement aux contrôles SaltStack .

   Pour plus d'informations sur les contrôles, reportez-vous à la section Politiques de conformité.

   Pour filtrer la liste, cliquez sur le bouton Filtre . Vous pouvez supprimer les filtres actifs en cliquant sur Filtres.

   Note :

   Les stratégies qui incluent de nombreux contrôles peuvent entraîner de longs temps de traitement pendant l'évaluation. Cela peut également retarder d'autres processus, tels que les tâches en cours d'exécution, dans SaltStack Config. Assurez-vous d'inclure uniquement les contrôles dont vous avez besoin et de tenir compte du temps supplémentaire requis pour effectuer des évaluations importantes.

5. Cliquez sur Suivant.
6. Dans l'onglet Variables, entrez ou modifiez les variables en fonction de vos besoins ou acceptez les valeurs par défaut. Cliquez ensuite sur Suivant.
   Note :

   Les valeurs que vous entrez définissent comment SaltStack SecOps Compliance effectue les contrôles sélectionnés. Les valeurs par défaut sont recommandées. Pour plus d'informations sur les variables, reportez-vous à la section Politiques de conformité.

7. Dans l'écran Planification, définissez la fréquence de planification et cliquez sur Enregistrer. Pour plus d'informations sur la définition des paramètres de planification, reportez-vous à la section Politiques de conformité.
8. (Facultatif) Sélectionnez Exécuter l'évaluation lors de l'enregistrement.
9. Cliquez sur Enregistrer.

   La stratégie est maintenant enregistrée. Si vous choisissez d'exécuter une évaluation lors de l'enregistrement, l'évaluation est maintenant en cours d'exécution.

Modification d’une stratégie

1. Sur la page d'accueil de SaltStack SecOps Compliance, sélectionnez la stratégie que vous souhaitez modifier.
2. Dans l'écran de stratégie, cliquez sur Modifier la stratégie dans le coin supérieur droit.
3. Modifiez la stratégie si nécessaire, puis cliquez sur Enregistrer.

Mise à jour de la bibliothèque de sécurité

1. Cliquez sur Administration > SecOps dans le menu latéral.
2. Sous Contenu de conformité - SaltStack, cliquez sur Vérifier les mises à jour.

Exécution d’une évaluation

1. Sur la page d'accueil de SaltStack SecOps Compliance, sélectionnez une stratégie.
2. Sur la page d'accueil de la stratégie, cliquez Exécuter l'évaluation. L'écran Activité s'ouvre.

   Les évaluations terminées sont répertoriées dans l'écran Activité avec leur état, leur ID de tâche (JID) et d'autres informations.

   Note :

   Pendant l'évaluation, aucune modification n'est apportée. Vous aurez la possibilité de corriger d'éventuels problèmes ultérieurement. Reportez-vous à la section Correction de tous les contrôles.

Affichage des résultats de l’évaluation

1. Sur la page d'accueil de SaltStack SecOps Compliance, sélectionnez une stratégie.
2. La page d'accueil de la stratégie affiche les résultats de l'évaluation la plus récente, organisée par contrôle.

   Pour filtrer la liste, cliquez sur le bouton Filtre . Vous pouvez supprimer les filtres actifs en cliquant sur Filtres.

   Vous pouvez également sélectionner un en-tête de colonne pour trier les résultats. Par exemple, vous pouvez trier la colonne Non conforme pour afficher d'abord les nœuds non conformes.

   Vous pouvez sélectionner l'onglet Minions pour afficher les résultats d'évaluation par minion.

   Note :

   Avant de pouvoir afficher les résultats de l'évaluation, vous devez d'abord l'exécuter. Reportez-vous à la section Exécution d'une évaluation.

Comprendre les résultats de l’évaluation

Pour obtenir une référence sur les résultats de l'évaluation, reportez-vous à la section Résultats de l'évaluation.

Téléchargement du rapport d’évaluation

1. Sur la page d'accueil de SaltStack SecOps Compliance, sélectionnez une stratégie pour afficher les derniers résultats de l'évaluation.
2. Sur la page d'accueil de la stratégie, accédez à l'onglet Rapport et cliquez sur Télécharger.
3. Dans la liste déroulante obtenue, sélectionnez JSON.

   Votre navigateur Web commence à télécharger le rapport.

Correction de tous les contrôles

Une fois les systèmes non conformes identifiés, l'étape suivante consiste à apporter des corrections. Vous pouvez choisir de corriger les contrôles individuels ou les nodes (appelés minions), ou vous pouvez également corriger toutes les vérifications sur tous les nodes. Cependant, lorsque vous exécutez Corriger tout, les contrôles ou les nœuds exemptés ne sont pas corrigés.

Pour corriger tous les contrôles sur tous les minions :

1. Sur la page d'accueil de SaltStack SecOps Compliance, sélectionnez une stratégie pour afficher les résultats d'évaluation les plus récents.
2. Dans l'onglet Contrôles, cliquez sur Corriger tout dans le coin supérieur droit.
3. Dans la boîte de dialogue de confirmation, cliquez sur Corriger tout.

   SaltStack SecOps Compliance commence la correction de tous les contrôles sur tous les nœuds non conformes. Vous pouvez suivre l'état de la correction dans l'onglet Activité.

4. Une fois la correction terminée, exécutez une nouvelle évaluation pour confirmer que vos systèmes sont maintenant conformes.
   Note :

   Pour obtenir une conformité totale, vous devrez peut-être répéter le processus de correction et d'analyse plusieurs fois, notamment si vous avez exécuté Corriger tout sur de nombreuses vérifications non conformes. Cela est dû au fait que certains contrôles dépendent de l'exécution d'autres contrôles. Par exemple, un contrôle peut nécessiter qu'un module soit déployé par un autre contrôle avant de pouvoir être correctement corrigé.

Correction par contrôle

1. Dans l'écran de la stratégie, sélectionnez un contrôle pour en ouvrir la description.
2. Faites défiler l'écran vers le bas au-delà de la description du contrôle pour obtenir la liste des résultats de la dernière évaluation. Les résultats sont ordonnés par minion.

   Si un en-tête de colonne inclut une icône de filtre , vous pouvez filtrer les résultats sur ce type de colonne. Cliquez sur l’icône et sélectionnez une option de filtre dans le menu ou tapez le texte que vous souhaitez filtrer. Vous pouvez supprimer les filtres actifs en cliquant sur Filtres.

3. Sélectionnez tous les minions que vous souhaitez corriger pour le contrôle actif.
4. Cliquez sur Corriger.

Correction par minion

1. Dans l'écran de la stratégie, accédez à l'onglet Minions et sélectionnez un minion.
2. Sélectionnez toutes les vérifications que vous souhaitez corriger pour le minion actif.

   Si un en-tête de colonne inclut une icône de filtre , vous pouvez filtrer les résultats sur ce type de colonne. Cliquez sur l’icône et sélectionnez une option de filtre dans le menu ou tapez le texte que vous souhaitez filtrer. Vous pouvez supprimer les filtres actifs en cliquant sur Filtres.

3. Cliquez sur Corriger.

Ajout d'exemptions

1. Dans l’écran stratégie, sélectionnez les vérifications que vous souhaitez exempter de la correction.
2. Cliquez sur Ajouter une exemption.
3. Entrez le motif de l'exemption et cliquez sur Ajouter pour confirmer. Vous pouvez toujours supprimer les exemptions ultérieurement si nécessaire.

   Les éléments exemptés ne seront pas corrigés. Si une correction s’exécute par rapport à une stratégie qui inclut l’élément exempté, la correction est ignorée pour cet élément.

   Note :

   Vous pouvez ajouter une exemption avant ou après l’exécution de l’évaluation. Vous pouvez également définir une stratégie personnalisée qui exclut les vérifications en fonction de vos besoins. Reportez-vous à la section Élaboration d'une stratégie.

Ajout d’exemptions par minion

1. Dans l'écran de la stratégie, accédez à l'onglet Minions.
2. Sélectionnez les minions que vous souhaitez exempter de la correction.
3. Cliquez sur Ajouter une exemption.
4. Entrez le motif de l'exemption et cliquez sur Ajouter pour confirmer. Vous pouvez toujours supprimer les exemptions ultérieurement si nécessaire.

   Les éléments exemptés ne seront pas corrigés. Si une correction s’exécute par rapport à une stratégie qui inclut l’élément exempté, la correction est ignorée pour cet élément.

Suppression d’une exemption

1. Dans l'écran de la stratégie, accédez à l'onglet Exemptions.
2. Faites défiler la page vers le haut et vers le bas pour afficher la liste de toutes les exemptions.
   Note :

   Il peut y avoir davantage d'exemptions hors écran lorsque vous ouvrez l'onglet Exemptions. Faites défiler l'écran jusqu'au bas pour afficher toutes les exemptions.

3. Cliquez sur la liste déroulante pour voir l'exemption que vous souhaitez supprimer.
   
   

   Cela ouvre la liste de tous les minions affectés.

4. Cliquez sur Supprimer une exemption.
   
   
5. Dans la boîte de dialogue de confirmation, cliquez Supprimer une exemption.

Définition des autorisations de SaltStack SecOps Compliance

Accédez à l'éditeur d'autorisations pour modifier les autorisations de SaltStack SecOps Compliance. Pour plus d'informations sur les rôles et autorisations de SaltStack Config, reportez-vous à la section Rôles et autorisations.

Bibliothèque de contenu de SaltStack SecOps Compliance

La bibliothèque de contenu de SaltStack SecOps Compliance est composée de contenu de sécurité et de conformité des meilleures pratiques du secteur prédéfini, incluant notamment :

• CIS

Politiques de conformité

Les stratégies de conformité sont des collections de contrôles de sécurité et de spécifications des nœuds pour lesquels chaque contrôle s'applique dans SaltStack SecOps Compliance. Les stratégies peuvent également inclure des planifications, ainsi que des spécifications pour la gestion des exemptions.

Chaque composant d'une stratégie de sécurité est décrit plus en détail ci-dessous.

Cible

Une cible est le groupe de minions, dans un ou plusieurs masters Salt, à qui s'applique la commande Salt d'une tâche. Un master Salt peut également être géré comme un minion et peut être une cible s'il exécute le service de minion. Lorsque vous choisissez une cible dans SaltStack SecOps Compliance, vous définissez les nœuds pour lesquels vous souhaitez exécuter des contrôles de sécurité. Vous pouvez choisir une cible existante ou en créer une. Pour plus d'informations, consultez Minions.

Évaluations

Les évaluations sont des catégories de contrôles de sécurité. Les évaluations de SaltStack SecOps Compliance sont définies par des experts largement reconnus, tandis que les évaluations personnalisées peuvent être définies par les normes de votre organisation. Vous pouvez utiliser des références pour aider à créer une plage de stratégies différentes optimisées pour différents groupes de nodes. Par exemple, vous pouvez créer une stratégie Oracle Linux qui applique des contrôles CIS à vos minions Oracle Linux et une stratégie Docker qui applique des contrôles CIS à vos minions Docker.

Pour plus d'informations sur la création de contrôles et d'évaluations personnalisés, reportez-vous à la section Contenu personnalisé de conformité de SaltStack SecOps.

SaltStack SecOps Compliance simplifie le processus de définition de la stratégie de sécurité en regroupant les contrôles de sécurité par évaluation.

Contrôles

Un contrôle est une norme de sécurité dont SaltStack SecOps Compliance évalue la conformité. La bibliothèque de SaltStack SecOps Compliance met à jour les contrôles fréquemment en fonction de la modification des normes. Outre les contrôles inclus dans la bibliothèque de contenu de SaltStack SecOps Compliance, vous pouvez créer vos propres contrôles personnalisés. Les contrôles personnalisés incluent une icône utilisateur , contrairement aux contrôles SaltStack . Pour plus d'informations sur la création de contrôles et d'évaluations personnalisés, reportez-vous à la section Contenu personnalisé de conformité de SaltStack SecOps.

Chaque contrôle inclut les champs d'informations suivants.

Description

Brève description du contrôle.

Action

Brève description de l'action à prendre lors de la correction.

Pause

Utilisé uniquement à des fins de test interne. Pour plus d'informations, contactez votre administrateur.

Description globale

Description détaillée du contrôle.

Osfinger

Liste des valeurs osfinger pour lesquelles le contrôle est mis en œuvre. osfinger se trouve dans grains.items de chaque minion. Il identifie le système d'exploitation et la version majeure du minion. Il s’agit d’une interface qui dérive des informations sur le système sous-jacent. Des grains sont collectées pour les systèmes d'exploitation, le nom de domaine, l'adresse IP, le noyau, le type de système d'exploitation, la mémoire, ainsi que de nombreuses autres propriétés système. Pour plus d'informations, reportez-vous à la section Référence sur les grains Salt.

Profil

Liste des profils de configuration pour différentes références. Ces profils de configuration ciblent les différents rôles d'une machine dans un environnement (par exemple, sur un serveur ou un poste de travail) et différents niveaux de sécurité, par opposition à une utilisation pratique.

Logique

Description de la logique de mise en œuvre du contrôle. Cela inclut les raisons éventuelles de mise en œuvre du contrôle.

Références

Références croisées de conformité entre évaluations.

Corriger

(Non inclus dans tous les contrôles) : valeur qui indique si SaltStack SecOps Compliance est capable de corriger des nœuds non conformes, car certains contrôles n'incluent pas d'étapes de correction spécifiques exploitables. Par exemple, SaltStack SecOps Compliance ne corrige pas CIS 1.1.6 : assurez-vous qu'une partition distincte existe pour /var, car il n'existe aucune méthode universelle de partitionnement de chaque système. False indique un contrôle qui ne peut pas être corrigé. Lorsque la valeur est True (par défaut), ce champ ne s'affiche pas.

Correction

Description du mode de correction de tout système non conforme, le cas échéant. Notez que certains contrôles n'incluent pas d'étapes de correction spécifiques et exploitables. Reportez-vous à la section Corriger ci-dessus.

Noté

Valeur de note d'évaluation CIS. Les recommandations évaluées affectent la note d'évaluation de la cible, tandis que celles qui ne sont pas évaluées n'affectent pas la note. True indique noté et False indique non noté.

Fichier d'état

Copie de l'état Salt qui sera appliqué pour exécuter le contrôle et, le cas échéant, la correction qui en découle.

Variables

Les variables dans SaltStack SecOps Compliance sont utilisées pour transmettre des valeurs aux états Salt qui constituent les contrôles de sécurité. Pour de meilleurs résultats, utilisez les valeurs par défaut fournies.

Pour plus d'informations sur les états Salt, consultez le Didacticiel sur les états Salt.

Planifications

Choisissez la fréquence de planification entre Récurrent, Répéter la date et l'heure Une fois ou Expression Cron. Des options supplémentaires sont disponibles, en fonction de l’activité programmée et de la fréquence de planification que vous choisissez.

Récurrent

Définissez un intervalle pour répéter la planification, avec des champs facultatifs pour la date de début ou de fin, la répétition et le nombre maximal de tâches parallèles.

Répéter la date et l'heure

Choisissez de répéter la planification hebdomadairement ou quotidiennement, avec des champs facultatifs pour la date de début ou de fin, et le nombre maximal de tâches parallèles.

Une fois

Spécifier une date et une heure d'exécution de la tâche.

Cron

Entrez une expression cron pour définir une planification personnalisée basée sur la syntaxe Croniter. Pour les directives de syntaxe, reportez-vous à la section Éditeur CronTab. Pour obtenir de meilleurs résultats, évitez de planifier des tâches à moins de 60 secondes d'écart lors de la définition d'une expression Cron personnalisée.

État de l'activité

Sur la page d'accueil de la stratégie, l'onglet Activité affiche la liste des évaluations et des corrections terminées ou en cours. Il inclut les états suivants.

Vous pouvez suivre toutes les activités de SaltStack Config, notamment les évaluations et les corrections, dans l'espace le travail Activité principal de SaltStack Config. Reportez-vous à la section Activité.

Résultats de l'évaluation

Reportez-vous à ce qui suit pour comprendre les résultats de l'évaluation. Pour plus d'informations sur l'accès aux résultats de l'évaluation, reportez-vous à la section Affichage des résultats de l’évaluation.

Renvoyer les états

Après une correction, SaltStack SecOps Compliance attribue à chaque système l'un des états de retour suivants.

Conforme

Le paramètre est dans son état prévu par rapport à la norme ou à l'évaluation.

Non conforme

Le paramètre n'est pas dans son état prévu par rapport à la norme ou à l'évaluation. Une investigation plus approfondie et une éventuelle correction sont recommandées.

Non applicable

Le paramètre ne s'applique pas à ce système, par exemple, si un système CentOS exécute un contrôle CentOS sur AIX.

Inconnu

L'évaluation ou les corrections n'ont pas été exécutées.

Erreur

SaltStack SecOps Compliance a rencontré une erreur lors de l'exécution de l'évaluation ou de la correction.