Per proteggere le risorse dell'infrastruttura con SaltStack SecOps Compliance, è necessario iniziare con la definizione dei criteri.

SaltStack SecOps Compliance offre diversi benchmark di settore, inclusi i controlli per Center for Internet Security (CIS) e molti altri. Ogni benchmark include una raccolta di controlli di sicurezza. È possibile scegliere di applicare tutti i controlli disponibili per un determinato benchmark oppure utilizzare solo un sottoinsieme di controlli disponibili. L'utilizzo di un sottoinsieme di controlli è utile per personalizzare SaltStack SecOps Compliance in base alle esigenze specifiche dell'infrastruttura, ad esempio se la correzione di un determinato controllo potrebbe causare l'interruzione di una dipendenza nota.

Quando si crea il criterio, è necessario selezionare una destinazione a cui applicare il criterio, insieme ai benchmark e ai controlli da eseguire in base al sistema.

Per connettersi direttamente all'SDK, vedere vRealize Automation SaltStack Config SecOps.

Destinazione

Una destinazione è il gruppo di minion, appartenenti a uno o più Salt Master, a cui si applica il comando Salt di un processo. Un Salt Master è gestito in modo simile a un minion e può essere una destinazione se esegue il servizio dei minion. Quando si crea un criterio e si seleziona una destinazione, si definiscono i nodi in cui vengono eseguiti i controlli di sicurezza. È possibile scegliere una destinazione esistente o crearne una nuova.

Benchmark

SaltStack SecOps Compliance semplifica il processo di definizione dei criteri di sicurezza raggruppando i controlli di sicurezza in base ai benchmark.

I benchmark sono categorie dei controlli di sicurezza. I benchmark di SaltStack SecOps Compliance sono definiti da esperti ampiamente riconosciuti, mentre i benchmark personalizzati sono definiti dagli standard della propria organizzazione. È possibile utilizzare i benchmark per consentire di creare una gamma di criteri diversi ottimizzati per gruppi di nodi differenti. Ad esempio, è possibile creare un criterio Oracle Linux che applica i controlli CIS ai minion Oracle Linux e un criterio Windows che applica i controlli CIS ai minion Windows. Per ulteriori informazioni sulla creazione di contenuti personalizzati, vedere Creazione di componenti di conformità personalizzati.

Nota: Nello specifico per i benchmark di Windows Server, il contenuto CIS per determinati benchmark (con una descrizione comandi ) viene distribuito in tre benchmark diversi:
  • Contenuti Master del dominio
  • Contenuti del membro
  • Contenuti del membro e del Master di dominio
Se si desidera includere tutti i contenuti del membro, è necessario selezionare sia i benchmark per il membro sia i benchmark per il master e il membro del dominio.

Controlli

Un controllo è uno standard di sicurezza sottoposto a valutazione della conformità da parte di SaltStack SecOps Compliance. Nella libreria di SaltStack SecOps Compliance, i controlli vengono aggiornati frequentemente al variare degli standard di sicurezza. Oltre ai controlli inclusi nella libreria dei contenuti di SaltStack SecOps Compliance, è possibile creare controlli personalizzati. I controlli personalizzati sono indicati da un'icona custom-checks-user-icon, anziché dall'icona built-in-checks-shield-icon. Per ulteriori informazioni sulla creazione di contenuti personalizzati, vedere Creazione di componenti di conformità personalizzati. Ogni controllo include diversi campi di informazioni.
Campo di informazioni Descrizione
Descrizione Descrizione del controllo.
Azione Descrizione dell'azione eseguita durante la correzione.
Interruzione Utilizzata solo per test interni. Per ulteriori informazioni, contattare l'amministratore.
Descrizione globale Descrizione dettagliata del controllo.
Osfinger Elenco di valori osfinger per cui è implementato il controllo. Osfinger si trova negli elementi dei grani per ogni minion e consente di identificare il sistema operativo e la versione principale del minion. Vengono raccolti grani relativi a sistema operativo, nome del dominio, indirizzo IP, kernel, tipo di sistema operativo, memoria e altre proprietà di sistema.
Profilo Elenco dei profili di configurazione per benchmark diversi.
Logica Descrizione della logica di implementazione del controllo.
Refs Riferimenti incrociati di conformità tra benchmark.
Correggi Valori che indicano se SaltStack SecOps Compliance è in grado di correggere i nodi non conformi, poiché non tutti i controlli includono passaggi di correzione specifici utilizzabili.
Correzione Descrizione del modo in cui qualsiasi sistema non conforme viene corretto, se applicabile.
Classificato Benchmark CIS con valore ottenuto. I consigli con punteggio influiscono sul punteggio del benchmark della destinazione, mentre i consigli senza punteggio non influiscono sul punteggio. True indica con punteggio e False indica senza punteggio.
File di stato Copia dello stato di Salt che viene applicato per eseguire il controllo e, se applicabile, la successiva correzione.
Variabili Variabili in SaltStack SecOps Compliance utilizzate per passare i valori negli stati di Salt che costituiscono i controlli di sicurezza. Per risultati ottimali, utilizzare i valori predefiniti. Per ulteriori informazioni, vedere Come si utilizzano gli stati di Salt.
Pianificazioni Scegliere la frequenza di pianificazione tra Ricorrente, Data e ora ripetizione, Una volta o Espressione Cron. Sono disponibili opzioni aggiuntive, a seconda dell'attività pianificata e in base alla frequenza di pianificazione scelta.
  • Ricorrente: impostare un intervallo per la ripetizione della pianificazione, con campi facoltativi per la data di inizio o di fine, lo splay e il numero massimo di processi paralleli consentiti.
  • Data e ora ripetizione: scegliere di ripetere la pianificazione ogni settimana oppure ogni giorno, con campi facoltativi per la data di inizio o di fine e il numero massimo di processi paralleli consentiti.
  • Una volta: impostare una data e un'ora per eseguire il processo una sola volta.
  • Cron: immettere un'espressione Cron per definire una pianificazione personalizzata in base alla sintassi di Croniter. Vedere l'editor CronTab per le linee guida della sintassi. Quando si definisce un'espressione Cron personalizzata, evitare di pianificare i processi a meno di 60 secondi di distanza l'uno dall'altro.
Nota: Nell'editor della pianificazione, i termini "Processo" e "Valutazione" vengono utilizzati in modo intercambiabile. Quando si definisce una pianificazione per il criterio, si pianifica solo la valutazione, non la correzione.
Nota: Quando si definisce una pianificazione della valutazione, è possibile scegliere l'opzione Non pianificata (su richiesta). Se si seleziona questa opzione, si sceglie di eseguire una valutazione una sola volta e non viene definita alcuna pianificazione.
Nota: È possibile esonerare controlli e minion dalla correzione facendo clic su Aggiungi esenzione, immettendo il motivo dell'esenzione e facendo di nuovo clic su Aggiungi esenzione per confermare. La correzione viene ignorata per gli elementi esenti.

Procedura

  1. Nella home page di SaltStack SecOps Compliance, fare clic su Crea criterio.
  2. Immettere il nome del criterio e selezionare una destinazione a cui applicare il criterio. Fare clic su Avanti.
  3. Nella scheda Benchmark, selezionare tutti i benchmark che si desidera includere nel criterio e quindi fare clic su Avanti.
    Nota: Se non è disponibile alcun benchmark, potrebbe essere necessario scaricare i contenuti di conformità. È possibile aggiornare e scaricare i contenuti nella libreria di sicurezza facendo clic su Amministrazione > SecOps nel menu laterale e quindi selezionando Contenuti conformità - SaltStack > Controlla aggiornamenti.
  4. Nella scheda Controlli, selezionare tutti i controlli che si desidera includere nel criterio. I controlli disponibili sono determinati dai benchmark selezionati nel passaggio 3. Fare clic su Avanti.
  5. Nella scheda Variabili, immettere o modificare le variabili in base alle esigenze. È inoltre possibile scegliere di accettare i valori predefiniti (scelta consigliata). Fare clic su Avanti.
  6. Nella pagina della pianificazione, definire la frequenza di pianificazione e fare clic su Salva.
  7. (Facoltativo) Per eseguire una valutazione immediatamente dopo il salvataggio del criterio, selezionare Esegui la valutazione al salvataggio.
  8. Fare clic su Salva.
    Il criterio viene salvato. Se si seleziona Esegui la valutazione al salvataggio, la valutazione viene eseguita immediatamente dopo il salvataggio.

risultati

Il criterio di conformità viene salvato e utilizzato per eseguire una valutazione. È possibile modificare il criterio selezionandolo nella home page e facendo clic su Modifica criterio.