SaltStack SecOps Compliance est une solution de conformité et de sécurité de l'infrastructure informatique qui combine la sécurité aux opérations informatiques dans une plate-forme unique. Sa bibliothèque de sécurité contient les dernières normes de sécurité basées sur les guides de renforcement des meilleures pratiques du secteur, tels que CIS, etc. Il utilise la bibliothèque pour évaluer la sécurité de votre infrastructure, mais également pour corriger instantanément les systèmes non conformes.

Pour utiliser SaltStack SecOps Compliance, définissez d'abord une stratégie, puis analysez les systèmes par rapport à la stratégie. L'analyse détecte les systèmes non conformes et vous permet de corriger les problèmes instantanément. En outre, vous pouvez entrer des exemptions et spécifier des autorisations utilisateur pour vous assurer que tous les chemins de correction sont personnalisés en fonction des besoins de votre organisation.

Note :

Cette section décrit comment utiliser SaltStack SecOps Compliance dans l'interface utilisateur de SaltStack Config. Cependant, vous pouvez également utiliser SaltStack SecOps Compliance via l'API (RaaS). Consultez la documentation du point de terminaison RPC API (RaaS) ou contactez un administrateur pour obtenir de l'aide.

SaltStack SecOps Compliance exploite les puissantes fonctionnalités de gestion de la configuration et d'exécution à distance de Salt pour rendre toutes vos ressources d'infrastructure conformes aux normes de sécurité du secteur. Il s'intègre à SaltStack Config pour appliquer des mesures de sécurité à grande échelle, tout en respectant des exemptions personnalisées en fonction des besoins de votre organisation.

Stratégies

Pour sécuriser les ressources d'infrastructure avec SaltStack SecOps Compliance, commencez par définir des stratégies. SaltStack SecOps Compliance fournit différentes évaluations du secteur parmi lesquelles vous pouvez choisir d'inclure les vérifications de CIS et plus encore. Pour plus d'informations sur la définition de stratégies, reportez-vous à la section Élaboration d'une stratégie.

Chaque évaluation inclut un ensemble de contrôles de sécurité. Vous pouvez choisir d’appliquer toutes les vérifications disponibles pour une évaluation donnée ou d’utiliser uniquement un sous-ensemble de contrôles disponibles. L'utilisation d'un sous-ensemble de contrôles est utile pour personnaliser SaltStack SecOps Compliance pour vos besoins d'infrastructure uniques, par exemple si la correction d'un contrôle donné risque de compromettre une dépendance connue. Pour plus d'informations sur les évaluations et les contrôles, reportez-vous à la section Politiques de conformité.

Évaluation et correction

SaltStack SecOps Compliance utilise la stratégie de conformité comme base pour évaluer la sécurité de votre infrastructure. À la suite de chaque évaluation, SaltStack SecOps Compliance fournit un rapport mettant en évidence les systèmes non conformes, ainsi que la correction recommandée. Reportez-vous à la section Exécution d'une évaluation.

Note : SaltStack SecOps Compliance n'apporte pas de modifications pendant l'évaluation.

À la suite d’une évaluation, vous pouvez corriger tous les nodes non conformes. Pour des raisons pratiques, SaltStack SecOps Compliance vous permet de tout corriger en même temps ou de corriger uniquement un sous-ensemble de nœuds ou de vérifications. Pour plus d'informations sur la correction, reportez-vous à la section Correction de toutes les vérifications.

Personnalisation

Pour personnaliser SaltStack SecOps Compliance en fonction des besoins de votre organisation, vous pouvez exempter certains contrôles et certains nœuds de la correction. Vous pouvez également insérer des valeurs variables pour appliquer des exigences plus strictes que les normes du secteur. Pour plus d'informations sur les exemptions, reportez-vous à la section Ajout d'exemptions.

Une autre méthode de personnalisation consiste à configurer les autorisations utilisateur pour autoriser uniquement certains utilisateurs à effectuer des corrections, tout en permettant à d'autres utilisateurs d'évaluer ou de définir des stratégies. Cela vous offre un contrôle total sur chaque action effectuée. Pour plus d'informations sur les autorisations, reportez-vous à la section Rôles et autorisations.

Établissement d’une stratégie

  1. Dans la page d'accueil de SaltStack SecOps Compliance, cliquez sur Créer la stratégie.
  2. Entrez le nom de la stratégie et sélectionnez une cible à laquelle appliquer la stratégie. Cliquez ensuite sur Suivant.
    Note :

    Une cible est le groupe de minions, dans un ou plusieurs masters Salt, à qui s'applique la commande Salt d'une tâche. Un master Salt peut également être géré comme un minion et peut être une cible s'il exécute le service de minion. Les minions sont des nœuds exécutant le service de minion, qui peut écouter les commandes d'un master Salt et effectuer les tâches demandées. Pour plus d'informations, consultez Minions.

  3. Dans l'onglet Évaluations, sélectionnez toutes les évaluations que vous souhaitez inclure dans la stratégie, puis cliquez sur Suivant.

    Si aucune évaluation ne s'affiche, vous devrez peut-être télécharger le contenu de conformité. Reportez-vous à la section Mise à jour de la bibliothèque de sécurité ou contactez votre administrateur pour obtenir de l'aide.

    Note :

    Lorsque vous travaillez avec des évaluations Windows Server, examinez le contenu inclus dans les évaluations que vous sélectionnez. Le contenu CIS de certaines évaluations (notées avec une info-bulletooltip-icon) est distribué sur trois évaluations différentes comme suit :

    • Contenu du domaine maître
    • Contenu du membre
    • Contenu du master et du membre de domaine

    Cela signifie que si souhaitez inclure tout le contenu du membre, vous devez sélectionner des évaluations pour « Membre », ainsi que pour « Master et membre de domaine ».

  4. Dans l'onglet Contrôles, sélectionnez tous les contrôles que vous souhaitez inclure dans la stratégie. Les contrôles disponibles sont déterminés par les évaluations sélectionnées.

    Pour voir plus d'informations sur un contrôle, telles que la description et la correction associée, cliquez sur l'icône de flèches doubles double-arrows-icon pour ouvrir un volet de détails.

    Les contrôles personnalisés incluent une icône utilisateur custom-checks-user-icon, contrairement aux contrôles SaltStack built-in-checks-shield-icon.

    Pour plus d'informations sur les contrôles, reportez-vous à la section Politiques de conformité.

    Pour filtrer la liste, cliquez sur le bouton Filtre filter-icon. Vous pouvez supprimer les filtres actifs en cliquant sur Filtres.

    Note :

    Les stratégies qui incluent de nombreux contrôles peuvent entraîner de longs temps de traitement pendant l'évaluation. Cela peut également retarder d'autres processus, tels que les tâches en cours d'exécution, dans SaltStack Config. Assurez-vous d'inclure uniquement les contrôles dont vous avez besoin et de tenir compte du temps supplémentaire requis pour effectuer des évaluations importantes.

  5. Cliquez sur Suivant.
  6. Dans l'onglet Variables, entrez ou modifiez les variables en fonction de vos besoins ou acceptez les valeurs par défaut. Cliquez ensuite sur Suivant.
    Note :

    Les valeurs que vous entrez définissent comment SaltStack SecOps Compliance effectue les contrôles sélectionnés. Les valeurs par défaut sont recommandées. Pour plus d'informations sur les variables, reportez-vous à la section Politiques de conformité.

  7. Dans l'écran Planification, définissez la fréquence de planification et cliquez sur Enregistrer. Pour plus d'informations sur la définition des paramètres de planification, reportez-vous à la section Politiques de conformité.
  8. (Facultatif) Sélectionnez Exécuter l'évaluation lors de l'enregistrement.
  9. Cliquez sur Enregistrer.

    La stratégie est maintenant enregistrée. Si vous choisissez d'exécuter une évaluation lors de l'enregistrement, l'évaluation est maintenant en cours d'exécution.

Modification d’une stratégie

  1. Sur la page d'accueil de SaltStack SecOps Compliance, sélectionnez la stratégie que vous souhaitez modifier.
  2. Dans l'écran de stratégie, cliquez sur Modifier la stratégie dans le coin supérieur droit.
  3. Modifiez la stratégie si nécessaire, puis cliquez sur Enregistrer.

Mise à jour de la bibliothèque de sécurité

  1. Cliquez sur Administration > SecOps dans le menu latéral.
  2. Sous Contenu de conformité - SaltStack, cliquez sur Vérifier les mises à jour.

Exécution d’une évaluation

Note :

Les stratégies qui incluent de nombreux contrôles peuvent entraîner de longs temps de traitement pendant l'évaluation. Cela peut également retarder d'autres processus, tels que les tâches en cours d'exécution, dans SaltStack Config. Assurez-vous de prendre en compte le temps supplémentaire requis pour effectuer des évaluations importantes.

  1. Sur la page d'accueil de SaltStack SecOps Compliance, sélectionnez une stratégie.
  2. Sur la page d'accueil de la stratégie, cliquez Exécuter l'évaluation. L'écran Activité s'ouvre.

    Les évaluations terminées sont répertoriées dans l'écran Activité avec leur état, leur ID de tâche (JID) et d'autres informations.

    Note :

    Pendant l'évaluation, aucune modification n'est apportée. Vous aurez la possibilité de corriger d'éventuels problèmes ultérieurement. Reportez-vous à la section Correction de tous les contrôles.

Affichage des résultats de l’évaluation

  1. Sur la page d'accueil de SaltStack SecOps Compliance, sélectionnez une stratégie.
  2. La page d'accueil de la stratégie affiche les résultats de l'évaluation la plus récente, organisée par contrôle.

    Pour filtrer la liste, cliquez sur le bouton Filtre filter-icon. Vous pouvez supprimer les filtres actifs en cliquant sur Filtres.

    Vous pouvez également sélectionner un en-tête de colonne pour trier les résultats. Par exemple, vous pouvez trier la colonne Non conforme pour afficher d'abord les nœuds non conformes.

    Vous pouvez sélectionner l'onglet Minions pour afficher les résultats d'évaluation par minion.

    Note :

    Avant de pouvoir afficher les résultats de l'évaluation, vous devez d'abord l'exécuter. Reportez-vous à la section Exécution d'une évaluation.

Comprendre les résultats de l’évaluation

Pour obtenir une référence sur les résultats de l'évaluation, reportez-vous à la section Résultats de l'évaluation.

Téléchargement du rapport d’évaluation

  1. Sur la page d'accueil de SaltStack SecOps Compliance, sélectionnez une stratégie pour afficher les derniers résultats de l'évaluation.
  2. Sur la page d'accueil de la stratégie, accédez à l'onglet Rapport et cliquez sur Télécharger.
  3. Dans la liste déroulante obtenue, sélectionnez JSON.

    Votre navigateur Web commence à télécharger le rapport.

Correction de tous les contrôles

Une fois les systèmes non conformes identifiés, l'étape suivante consiste à apporter des corrections. Vous pouvez choisir de corriger les contrôles individuels ou les nodes (appelés minions), ou vous pouvez également corriger toutes les vérifications sur tous les nodes. Cependant, lorsque vous exécutez Corriger tout, les contrôles ou les nœuds exemptés ne sont pas corrigés.

Pour corriger tous les contrôles sur tous les minions :

  1. Sur la page d'accueil de SaltStack SecOps Compliance, sélectionnez une stratégie pour afficher les résultats d'évaluation les plus récents.
  2. Dans l'onglet Contrôles, cliquez sur Corriger tout dans le coin supérieur droit.
  3. Dans la boîte de dialogue de confirmation, cliquez sur Corriger tout.

    SaltStack SecOps Compliance commence la correction de tous les contrôles sur tous les nœuds non conformes. Vous pouvez suivre l'état de la correction dans l'onglet Activité.

  4. Une fois la correction terminée, exécutez une nouvelle évaluation pour confirmer que vos systèmes sont maintenant conformes.
    Note :

    Pour obtenir une conformité totale, vous devrez peut-être répéter le processus de correction et d'analyse plusieurs fois, notamment si vous avez exécuté Corriger tout sur de nombreuses vérifications non conformes. Cela est dû au fait que certains contrôles dépendent de l'exécution d'autres contrôles. Par exemple, un contrôle peut nécessiter qu'un module soit déployé par un autre contrôle avant de pouvoir être correctement corrigé.

Correction par contrôle

  1. Dans l'écran de la stratégie, sélectionnez un contrôle pour en ouvrir la description.
  2. Faites défiler l'écran vers le bas au-delà de la description du contrôle pour obtenir la liste des résultats de la dernière évaluation. Les résultats sont ordonnés par minion.

    Si un en-tête de colonne inclut une icône de filtre filter-icon, vous pouvez filtrer les résultats sur ce type de colonne. Cliquez sur l’icône et sélectionnez une option de filtre dans le menu ou tapez le texte que vous souhaitez filtrer. Vous pouvez supprimer les filtres actifs en cliquant sur Filtres.

  3. Sélectionnez tous les minions que vous souhaitez corriger pour le contrôle actif.
  4. Cliquez sur Corriger.

Correction par minion

  1. Dans l'écran de la stratégie, accédez à l'onglet Minions et sélectionnez un minion.
  2. Sélectionnez toutes les vérifications que vous souhaitez corriger pour le minion actif.

    Si un en-tête de colonne inclut une icône de filtre filter-icon, vous pouvez filtrer les résultats sur ce type de colonne. Cliquez sur l’icône et sélectionnez une option de filtre dans le menu ou tapez le texte que vous souhaitez filtrer. Vous pouvez supprimer les filtres actifs en cliquant sur Filtres.

  3. Cliquez sur Corriger.

Ajout d'exemptions

  1. Dans l’écran stratégie, sélectionnez les vérifications que vous souhaitez exempter de la correction.
  2. Cliquez sur Ajouter une exemption.
  3. Entrez le motif de l'exemption et cliquez sur Ajouter pour confirmer. Vous pouvez toujours supprimer les exemptions ultérieurement si nécessaire.

    Les éléments exemptés ne seront pas corrigés. Si une correction s’exécute par rapport à une stratégie qui inclut l’élément exempté, la correction est ignorée pour cet élément.

    Note :

    Vous pouvez ajouter une exemption avant ou après l’exécution de l’évaluation. Vous pouvez également définir une stratégie personnalisée qui exclut les vérifications en fonction de vos besoins. Reportez-vous à la section Élaboration d'une stratégie.

Ajout d’exemptions par minion

  1. Dans l'écran de la stratégie, accédez à l'onglet Minions.
  2. Sélectionnez les minions que vous souhaitez exempter de la correction.
  3. Cliquez sur Ajouter une exemption.
  4. Entrez le motif de l'exemption et cliquez sur Ajouter pour confirmer. Vous pouvez toujours supprimer les exemptions ultérieurement si nécessaire.

    Les éléments exemptés ne seront pas corrigés. Si une correction s’exécute par rapport à une stratégie qui inclut l’élément exempté, la correction est ignorée pour cet élément.

Suppression d’une exemption

  1. Dans l'écran de la stratégie, accédez à l'onglet Exemptions.
  2. Faites défiler la page vers le haut et vers le bas pour afficher la liste de toutes les exemptions.
    Note :

    Il peut y avoir davantage d'exemptions hors écran lorsque vous ouvrez l'onglet Exemptions. Faites défiler l'écran jusqu'au bas pour afficher toutes les exemptions.

  3. Cliquez sur la liste déroulante pour voir l'exemption que vous souhaitez supprimer.
    exemption-minion-dropdown

    Cela ouvre la liste de tous les minions affectés.

  4. Cliquez sur Supprimer une exemption.
    exemption-minion-dropdown-open
  5. Dans la boîte de dialogue de confirmation, cliquez Supprimer une exemption.

Définition des autorisations de SaltStack SecOps Compliance

Accédez à l'éditeur d'autorisations pour modifier les autorisations de SaltStack SecOps Compliance. Pour plus d'informations sur les rôles et autorisations de SaltStack Config, reportez-vous à la section Rôles et autorisations.

Bibliothèque de contenu de SaltStack SecOps Compliance

La bibliothèque de contenu de SaltStack SecOps Compliance est composée de contenu de sécurité et de conformité des meilleures pratiques du secteur prédéfini, incluant notamment :

  • CIS
Note : La bibliothèque de sécurité se met à jour automatiquement en fonction des modifications des normes de sécurité.

Politiques de conformité

Les stratégies de conformité sont des collections de contrôles de sécurité et de spécifications des nœuds pour lesquels chaque contrôle s'applique dans SaltStack SecOps Compliance. Les stratégies peuvent également inclure des planifications, ainsi que des spécifications pour la gestion des exemptions.

Chaque composant d'une stratégie de sécurité est décrit plus en détail ci-dessous.

Cible

Une cible est le groupe de minions, dans un ou plusieurs masters Salt, à qui s'applique la commande Salt d'une tâche. Un master Salt peut également être géré comme un minion et peut être une cible s'il exécute le service de minion. Lorsque vous choisissez une cible dans SaltStack SecOps Compliance, vous définissez les nœuds pour lesquels vous souhaitez exécuter des contrôles de sécurité. Vous pouvez choisir une cible existante ou en créer une. Pour plus d'informations, consultez Minions.

Évaluations

Les évaluations sont des catégories de contrôles de sécurité. Les évaluations de SaltStack SecOps Compliance sont définies par des experts largement reconnus, tandis que les évaluations personnalisées peuvent être définies par les normes de votre organisation. Vous pouvez utiliser des références pour aider à créer une plage de stratégies différentes optimisées pour différents groupes de nodes. Par exemple, vous pouvez créer une stratégie Oracle Linux qui applique des contrôles CIS à vos minions Oracle Linux et une stratégie Docker qui applique des contrôles CIS à vos minions Docker.

Pour plus d'informations sur la création de contrôles et d'évaluations personnalisés, reportez-vous à la section Contenu personnalisé de conformité de SaltStack SecOps.

SaltStack SecOps Compliance simplifie le processus de définition de la stratégie de sécurité en regroupant les contrôles de sécurité par évaluation.

Contrôles

Un contrôle est une norme de sécurité dont SaltStack SecOps Compliance évalue la conformité. La bibliothèque de SaltStack SecOps Compliance met à jour les contrôles fréquemment en fonction de la modification des normes. Outre les contrôles inclus dans la bibliothèque de contenu de SaltStack SecOps Compliance, vous pouvez créer vos propres contrôles personnalisés. Les contrôles personnalisés incluent une icône utilisateur custom-checks-user-icon, contrairement aux contrôles SaltStack built-in-checks-shield-icon. Pour plus d'informations sur la création de contrôles et d'évaluations personnalisés, reportez-vous à la section Contenu personnalisé de conformité de SaltStack SecOps.

Chaque contrôle inclut les champs d'informations suivants.

Note : Certains des éléments suivants sont définis pour chaque contrôle, tandis que d'autres sont définis pour une ou plusieurs évaluations.
Description
Brève description du contrôle.
Action
Brève description de l'action à prendre lors de la correction.
Pause
Utilisé uniquement à des fins de test interne. Pour plus d'informations, contactez votre administrateur.
Description globale
Description détaillée du contrôle.
Osfinger
Liste des valeurs osfinger pour lesquelles le contrôle est mis en œuvre. osfinger se trouve dans grains.items de chaque minion. Il identifie le système d'exploitation et la version majeure du minion. Il s’agit d’une interface qui dérive des informations sur le système sous-jacent. Des grains sont collectées pour les systèmes d'exploitation, le nom de domaine, l'adresse IP, le noyau, le type de système d'exploitation, la mémoire, ainsi que de nombreuses autres propriétés système. Pour plus d'informations, reportez-vous à la section Référence sur les grains Salt.
Profil
Liste des profils de configuration pour différentes références. Ces profils de configuration ciblent les différents rôles d'une machine dans un environnement (par exemple, sur un serveur ou un poste de travail) et différents niveaux de sécurité, par opposition à une utilisation pratique.
Logique
Description de la logique de mise en œuvre du contrôle. Cela inclut les raisons éventuelles de mise en œuvre du contrôle.
Références
Références croisées de conformité entre évaluations.
Corriger
(Non inclus dans tous les contrôles) : valeur qui indique si SaltStack SecOps Compliance est capable de corriger des nœuds non conformes, car certains contrôles n'incluent pas d'étapes de correction spécifiques exploitables. Par exemple, SaltStack SecOps Compliance ne corrige pas CIS 1.1.6 : assurez-vous qu'une partition distincte existe pour /var, car il n'existe aucune méthode universelle de partitionnement de chaque système. False indique un contrôle qui ne peut pas être corrigé. Lorsque la valeur est True (par défaut), ce champ ne s'affiche pas.
Correction
Description du mode de correction de tout système non conforme, le cas échéant. Notez que certains contrôles n'incluent pas d'étapes de correction spécifiques et exploitables. Reportez-vous à la section Corriger ci-dessus.
Noté
Valeur de note d'évaluation CIS. Les recommandations évaluées affectent la note d'évaluation de la cible, tandis que celles qui ne sont pas évaluées n'affectent pas la note. True indique noté et False indique non noté.
Fichier d'état
Copie de l'état Salt qui sera appliqué pour exécuter le contrôle et, le cas échéant, la correction qui en découle.

Variables

Les variables dans SaltStack SecOps Compliance sont utilisées pour transmettre des valeurs aux états Salt qui constituent les contrôles de sécurité. Pour de meilleurs résultats, utilisez les valeurs par défaut fournies.

Pour plus d'informations sur les états Salt, consultez le Didacticiel sur les états Salt.

Planifications

Note : Dans l'éditeur de planification, les termes « Tâche » et « Évaluation » sont utilisés de manière interchangeable. Lorsque vous définissez une planification pour la stratégie, vous planifiez uniquement l'évaluation, pas la correction.

Choisissez la fréquence de planification entre Récurrent, Répéter la date et l'heure Une fois ou Expression Cron. Des options supplémentaires sont disponibles, en fonction de l’activité programmée et de la fréquence de planification que vous choisissez.

Récurrent
Définissez un intervalle pour répéter la planification, avec des champs facultatifs pour la date de début ou de fin, la répétition et le nombre maximal de tâches parallèles.
Répéter la date et l'heure
Choisissez de répéter la planification hebdomadairement ou quotidiennement, avec des champs facultatifs pour la date de début ou de fin, et le nombre maximal de tâches parallèles.
Une fois
Spécifier une date et une heure d'exécution de la tâche.
Cron
Entrez une expression cron pour définir une planification personnalisée basée sur la syntaxe Croniter. Pour les directives de syntaxe, reportez-vous à la section Éditeur CronTab. Pour obtenir de meilleurs résultats, évitez de planifier des tâches à moins de 60 secondes d'écart lors de la définition d'une expression Cron personnalisée.
Note : Lors de la définition d'une planification d'évaluation, vous pouvez choisir l'option supplémentaire Non planifiée (à la demande). Si vous sélectionnez cette option, vous choisissez d'exécuter une évaluation ponctuelle et aucune planification n'est définie.

État de l'activité

Sur la page d'accueil de la stratégie, l'onglet Activité affiche la liste des évaluations et des corrections terminées ou en cours. Il inclut les états suivants.

État Description
En file d'attente L'opération est prête à s'exécuter, mais les minions n'ont pas encore choisi la tâche pour commencer l'opération.
Terminé L'exécution de l'opération est terminée.
Partiel L'opération attend toujours le retour de certains minions, bien que le master Salt ait signalé que l'exécution de l'opération est terminée. Les minions sont des nœuds exécutant le service de minion, qui peut écouter les commandes d'un master Salt et effectuer les tâches demandées. Le master Salt est un nœud central utilisé pour émettre des commandes aux minions.

Vous pouvez suivre toutes les activités de SaltStack Config, notamment les évaluations et les corrections, dans l'espace le travail Activité principal de SaltStack Config. Reportez-vous à la section Activité.

Résultats de l'évaluation

Reportez-vous à ce qui suit pour comprendre les résultats de l'évaluation. Pour plus d'informations sur l'accès aux résultats de l'évaluation, reportez-vous à la section Affichage des résultats de l’évaluation.

Renvoyer les états

Après une correction, SaltStack SecOps Compliance attribue à chaque système l'un des états de retour suivants.

Conforme
Le paramètre est dans son état prévu par rapport à la norme ou à l'évaluation.
Non conforme
Le paramètre n'est pas dans son état prévu par rapport à la norme ou à l'évaluation. Une investigation plus approfondie et une éventuelle correction sont recommandées.
Non applicable
Le paramètre ne s'applique pas à ce système, par exemple, si un système CentOS exécute un contrôle CentOS sur AIX.
Inconnu
L'évaluation ou les corrections n'ont pas été exécutées.
Erreur
SaltStack SecOps Compliance a rencontré une erreur lors de l'exécution de l'évaluation ou de la correction.