SaltStack SecOps Compliance

SaltStack SecOps Compliance è una soluzione di sicurezza e conformità dell'infrastruttura IT che combina sicurezza e operazioni IT in un'unica piattaforma. La sua libreria di sicurezza contiene gli standard di sicurezza più recenti basati sulle guide di protezione delle procedure consigliate del settore come CIS e altro ancora. Utilizza la libreria per valutare non solo la sicurezza dell'infrastruttura, ma anche per correggere immediatamente i sistemi non conformi.

Per utilizzare SaltStack SecOps Compliance, definire innanzitutto un criterio, quindi scansionare i sistemi in base al criterio. La scansione rileva i sistemi non conformi e consente di correggere i problemi istantaneamente. Inoltre, è possibile immettere le esenzioni e specificare le autorizzazioni degli utenti per garantire che tutti i percorsi per la correzione siano personalizzati in base alle esigenze della propria organizzazione.

Nota:

Questa sezione illustra come utilizzare SaltStack SecOps Compliance nell'interfaccia utente di SaltStack Config. Tuttavia, è anche possibile utilizzare SaltStack SecOps Compliance tramite l'API (RaaS). Vedere la documentazione dell'endpoint RPC dell'API (RaaS) oppure contattare un amministratore per assistenza.

SaltStack SecOps Compliance sfrutta le potenti funzionalità di gestione della configurazione e di esecuzione remota di Salt per garantire la conformità di tutte le risorse dell'infrastruttura con una gamma di benchmark di sicurezza a livello di settore. Si integra con SaltStack Config per applicare misure di sicurezza su larga scala, rispettando al contempo le esenzioni personalizzate in base alle esigenze dell'organizzazione.

Criteri

Per proteggere le risorse dell'infrastruttura con SaltStack SecOps Compliance, iniziare con la definizione dei criteri. SaltStack SecOps Compliance offre diversi benchmark di settore, inclusi i controlli per CIS e altro ancora. Per ulteriori informazioni sulla definizione dei criteri, vedere Creazione di un criterio.

Ogni benchmark include una raccolta di controlli di sicurezza. È possibile scegliere di applicare tutti i controlli disponibili per un determinato benchmark oppure utilizzare solo un sottoinsieme di controlli disponibili. L'utilizzo di un sottoinsieme di controlli è utile per personalizzare SaltStack SecOps Compliance in base alle esigenze specifiche dell'infrastruttura, ad esempio se la correzione di un determinato controllo potrebbe causare l'interruzione di una dipendenza nota. Per ulteriori informazioni su benchmark e controlli, vedere Criteri di conformità.

Valutazioni e correzione

SaltStack SecOps Compliance utilizza i criteri di conformità come base per valutare la sicurezza dell'infrastruttura. Seguendo ogni valutazione, SaltStack SecOps Compliance fornisce un report che evidenzia tutti i sistemi non conformi, insieme alla correzione consigliata. Vedere Esecuzione di una valutazione.

Nota: SaltStack SecOps Compliance non apporta modifiche durante la valutazione.

In seguito a una valutazione, è possibile correggere tutti i nodi non conformi. Per comodità, SaltStack SecOps Compliance consente di correggere tutto contemporaneamente o correggere solo un sottoinsieme di nodi o controlli. Per ulteriori informazioni sulla correzione, vedere Correzione di tutti i controlli.

Personalizzazione

Per personalizzare SaltStack SecOps Compliance in base alle esigenze dell'organizzazione, è possibile escludere alcuni controlli e nodi dalla correzione. È inoltre possibile inserire valori di variabili per applicare requisiti più rigidi rispetto agli standard di settore. Per ulteriori informazioni sulle esenzioni, vedere Aggiunta di esenzioni.

Un altro metodo di personalizzazione consiste nel configurare le autorizzazioni degli utenti in modo da correggere solo determinati utenti, consentendo ad altri di valutare o definire criteri. In questo modo, è possibile controllare tutte le azioni intraprese. Per ulteriori informazioni sulle autorizzazioni, vedere Ruoli e autorizzazioni.

Creazione di un criterio

Nella home page di SaltStack SecOps Compliance, fare clic su Crea criterio.
Immettere il nome del criterio e selezionare una destinazione a cui applicare il criterio, quindi fare clic su Avanti.
Nota:
Una destinazione è il gruppo di minion, appartenenti a uno o più Salt Master, a cui si applica il comando Salt di un processo. Un Salt Master può anche essere gestito come un minion e può essere una destinazione se esegue il servizio dei minion. I minion sono nodi che eseguono il servizio minion, che può ascoltare i comandi di un Salt Master ed eseguire le attività richieste. Per ulteriori informazioni, vedere Minion.
Nella scheda Benchmark, selezionare tutti i benchmark che si desidera includere nel criterio, quindi fare clic su Avanti.
Se non viene visualizzato alcun benchmark, potrebbe essere necessario scaricare i contenuti di conformità. Vedere Aggiornamento della libreria di sicurezza oppure contattare l'amministratore per assistenza.
Nota:
Quando si utilizzano i benchmark di Windows Server, assicurarsi di esaminare attentamente i contenuti inclusi nei benchmark selezionati. I contenuti CIS per determinati benchmark (indicati con una descrizione dei comandi) vengono distribuiti su tre benchmark diversi come indicato di seguito:
- Contenuti Master del dominio
- Contenuti del membro
- Contenuti del membro e del Master di dominio
Questo significa che se si desidera includere tutti i contenuti del membro, è necessario selezionare sia il benchmark per "Membro" che per "Membro e Master di dominio".
Nella scheda Controlli, selezionare tutti i controlli che si desidera includere nel criterio. I controlli disponibili sono determinati dai benchmark selezionati.
Per visualizzare ulteriori dettagli su un controllo, ad esempio la descrizione e la correzione associata, fare clic sull'icona delle doppie frecce per aprire un riquadro dei dettagli.
I controlli personalizzati includono un'icona dell'utente , a differenza dei controlli di SaltStack .
Per ulteriori informazioni sui controlli, vedere Criteri di conformità.
Per filtrare l'elenco, fare clic sul pulsante Filtro . È possibile rimuovere i filtri attivi facendo clic su Cancella filtri.

Nota:
I criteri che includono molti controlli possono richiedere lunghi tempi di elaborazione durante la valutazione. Ciò potrebbe anche causare il ritardo degli altri processi, ad esempio quelli in esecuzione, in SaltStack Config. Assicurarsi di includere solo i controlli necessari e valutare il tempo aggiuntivo richiesto per eseguire valutazioni di una certa consistenza.
Fare clic su Avanti.
Nella scheda Variabili, immettere o modificare le variabili in base alle proprie esigenze o accettare i valori predefiniti. quindi fare clic su Avanti.
Nota:
I valori immessi definiscono la modalità con cui SaltStack SecOps Compliance esegue i controlli selezionati. È consigliabile utilizzare i valori predefiniti. Per ulteriori informazioni sulle variabili, vedere Criteri di conformità.
Nella schermata Pianificazione, definire la frequenza di pianificazione e fare clic su Salva. Per ulteriori informazioni sulla definizione delle impostazioni di pianificazione, vedere Criteri di conformità.
(Facoltativo) Selezionare Esegui valutazione al salvataggio.
Fare clic su Salva.
Il criterio è stato salvato. Se si è scelto di eseguire una valutazione al salvataggio, la valutazione viene eseguita.

Modifica di un criterio

Nella home page di SaltStack SecOps Compliance, selezionare il criterio che si desidera modificare.
Nella schermata del criterio, fare clic su Modifica criterio nell'angolo superiore destro.
Modificare il criterio in base alle necessità e fare clic su Salva.

Aggiornamento della libreria di sicurezza

Fare clic su Amministrazione > SecOps nel menu laterale.
In Contenuti di conformità - SaltStack, fare clic su Controlla disponibilità aggiornamenti.

Esecuzione di una valutazione

Nota:

I criteri che includono molti controlli possono richiedere lunghi tempi di elaborazione durante la valutazione. Ciò potrebbe anche causare il ritardo degli altri processi, ad esempio quelli in esecuzione, in SaltStack Config. Assicurarsi di tenere in considerazione il tempo aggiuntivo richiesto per eseguire valutazioni di grandi dimensioni.

Nella home page di SaltStack SecOps Compliance, selezionare un criterio.
Nella home page del criterio, fare clic su Esegui valutazione. Viene visualizzata la schermata Attività.
Le valutazioni completate sono elencate nella schermata Attività insieme al relativo stato, ID processo (JID) e altre informazioni.

Nota:
Durante la valutazione, non vengono apportate modifiche. Sarà possibile risolvere eventuali problemi in un secondo momento. Vedere Correzione di tutti i controlli.

Visualizzazione dei risultati della valutazione

Nella home page di SaltStack SecOps Compliance, selezionare un criterio.
La pagina principale dei criteri mostra i risultati della valutazione più recente, organizzata per controllo.
Per filtrare l'elenco, fare clic sul pulsante Filtro . È possibile rimuovere i filtri attivi facendo clic su Cancella filtri.
È inoltre possibile selezionare l'intestazione di una colonna per ordinare i risultati. Ad esempio, è possibile ordinare prima la colonna Non conforme per visualizzare i nodi non conformi.
È possibile selezionare la scheda Minion per visualizzare i risultati della valutazione per minion.

Nota:
Prima di poter visualizzare i risultati della valutazione, è necessario eseguire la valutazione. Vedere Esecuzione di una valutazione.

Comprensione dei risultati della valutazione

Per un riferimento ai risultati della valutazione, vedere Risultati della valutazione.

Download del report della valutazione

Nella home page di SaltStack SecOps Compliance, selezionare un criterio per visualizzare i risultati della valutazione più recenti.
Nella home page del criterio, passare alla scheda Report e fare clic su Scarica.
Nell'elenco a discesa visualizzato, selezionare JSON.
Il browser Web inizia a scaricare il report.

Correzione di tutti i controlli

Una volta identificati i sistemi non conformi, il passaggio successivo è la correzione. È possibile scegliere di correggere singoli controlli o nodi (definiti anche minion) oppure, in alternativa, tutti i controlli in tutti i nodi. Tuttavia, quando si esegue Correggi tutto, tutti i controlli o i nodi esenti non vengono corretti.

Per correggere tutti i controlli in tutti i minion:

Nella home page di SaltStack SecOps Compliance, selezionare un criterio per visualizzare i risultati di valutazione più recenti.
Nella scheda Controlli, fare clic su Correggi tutto nell'angolo superiore destro.
Nella finestra di dialogo di conferma, fare clic su Correggi tutto.
SaltStack SecOps Compliance inizia a correggere tutti i controlli in tutti i nodi non conformi. È possibile monitorare lo stato della correzione nella scheda Attività.
Una volta completata la correzione, eseguire una nuova valutazione per verificare che i sistemi siano ora conformi.
Nota:
Per ottenere la completa conformità, potrebbe essere necessario ripetere il processo di correzione e scansione più volte, specialmente se si è eseguito Correggi tutto rispetto a molti controlli non conformi. Ciò è dovuto al fatto che alcuni controlli dipendono dal completamento di altri controlli. Ad esempio, un controllo potrebbe richiedere un pacchetto distribuito da un altro controllo prima che sia possibile procedere correttamente con la correzione.

Correzione tramite controllo

Nella schermata del criterio, selezionare un controllo per visualizzarne la descrizione.
Scorrere la descrizione del controllo verso il basso fino a visualizzare un elenco di risultati dell'ultima valutazione. I risultati vengono ordinati in base al minion.
Se l'intestazione di una colonna include l'icona del filtro , è possibile filtrare i risultati in base a tale tipo di colonna. Fare clic sull'icona e selezionare un'opzione di filtro dal menu o digitare il testo in base al quale si desidera filtrare. È possibile rimuovere i filtri attivi facendo clic su Cancella filtri.
Selezionare tutti i minion che si desidera correggere per il controllo attivo.
Fare clic su Correggi.

Correzione in base al minion

Nella schermata del criterio, passare alla scheda Minion e selezionare un minion.
Selezionare tutti i controlli che si desidera correggere per il minion attivo.
Se l'intestazione di una colonna include l'icona del filtro , è possibile filtrare i risultati in base a tale tipo di colonna. Fare clic sull'icona e selezionare un'opzione di filtro dal menu o digitare il testo in base al quale si desidera filtrare. È possibile rimuovere i filtri attivi facendo clic su Cancella filtri.
Fare clic su Correggi.

Aggiunta di esenzioni

Nella schermata del criterio, selezionare i controlli che si desidera escludere dalla correzione.
Fare clic su Aggiungi esenzione.
Immettere il motivo dell'esenzione e fare clic su Aggiungi esenzione per confermare. Se necessario, è sempre possibile rimuovere le esenzioni in un secondo momento.
Gli elementi esenti non verranno corretti. Se viene eseguita una correzione per un criterio che include l'elemento esente, la correzione per tale elemento viene ignorata.

Nota:
È possibile aggiungere un'esenzione prima o dopo l'esecuzione della valutazione. È inoltre possibile definire un criterio personalizzato che escluda i controlli in base alle esigenze. Vedere Creazione di un criterio.

Aggiunta di esenzioni per minion

Nella schermata del criterio, passare alla scheda Minion.
Selezionare i minion che si desidera escludere dalla correzione.
Fare clic su Aggiungi esenzione.
Immettere il motivo dell'esenzione e fare clic su Aggiungi esenzione per confermare. Se necessario, è sempre possibile rimuovere le esenzioni in un secondo momento.
Gli elementi esenti non verranno corretti. Se viene eseguita una correzione per un criterio che include l'elemento esente, la correzione per tale elemento viene ignorata.

Rimozione di un'esenzione

Nella schermata del criterio, passare alla scheda Esenzioni.
Scorrere la pagina verso l'alto e verso il basso per visualizzare l'elenco di tutte le esenzioni.
Nota:
Quando si apre la scheda delle esenzioni per la prima volta, è possibile che siano presenti altre esenzioni non visualizzate nella schermata. Continuare a scorrere fino alla parte inferiore della schermata per visualizzarle tutte.
Fare clic sul menu a discesa dell'esenzione da rimuovere.

Viene aperto l'elenco di tutti i minion interessati.
Fare clic su Rimuovi esenzione.
Nella finestra di dialogo di conferma, fare clic su Rimuovi esenzione.

Definizione delle autorizzazioni di SaltStack SecOps Compliance

Passare all'editor delle autorizzazioni per modificare le autorizzazioni di SaltStack SecOps Compliance. Per ulteriori informazioni sui ruoli e sulle autorizzazioni di SaltStack Config, vedere Ruoli e autorizzazioni.

Libreria dei contenuti di SaltStack SecOps Compliance

La libreria dei contenuti di SaltStack SecOps Compliance si compone di contenuti di sicurezza e conformità con procedure consigliate del settore preimpostate, tra cui:

Nota: La libreria di sicurezza viene aggiornata automaticamente con il variare degli standard di sicurezza.

Criteri di conformità

I criteri di conformità sono raccolte di controlli di sicurezza e specifiche per i nodi a cui viene applicato ciascun controllo, in SaltStack SecOps Compliance. I criteri possono anche includere pianificazioni, nonché specifiche per la gestione delle esenzioni.

Ciascun componente di un criterio di sicurezza è descritto più dettagliatamente di seguito.

Destinazione

Una destinazione è il gruppo di minion, appartenenti a uno o più Salt Master, a cui si applica il comando Salt di un processo. Un Salt Master può anche essere gestito come un minion e può essere una destinazione se esegue il servizio dei minion. Quando si sceglie una destinazione in SaltStack SecOps Compliance, si definiscono i nodi in cui si desidera eseguire i controlli di sicurezza. È possibile scegliere una destinazione esistente o crearne una nuova. Per ulteriori informazioni, vedere Minion.

Benchmark

I benchmark sono categorie dei controlli di sicurezza. I benchmark di SaltStack SecOps Compliance sono definiti da esperti di un certo prestigio, mentre i benchmark personalizzati possono essere definiti dagli standard della propria organizzazione. È possibile utilizzare i benchmark per consentire di creare una gamma di criteri diversi ottimizzati per gruppi di nodi differenti. Ad esempio, è possibile creare un criterio Oracle Linux che applica i controlli CIS ai propri minion Oracle Linux e un criterio Docker che applica i controlli CIS ai minion Docker.

Vedere Contenuti personalizzati di SaltStack SecOps Compliance per ulteriori informazioni sulla creazione di controlli e benchmark personalizzati.

SaltStack SecOps Compliance consente di semplificare il processo di definizione dei criteri di sicurezza raggruppando i controlli di sicurezza per benchmark.

Controlli

Un controllo è uno standard di sicurezza sottoposto a valutazione della conformità da parte di SaltStack SecOps Compliance. Nella libreria di SaltStack SecOps Compliance, i controlli vengono aggiornati frequentemente al variare degli standard di sicurezza. Oltre ai controlli inclusi nella libreria dei contenuti di SaltStack SecOps Compliance, è possibile creare controlli personalizzati. I controlli personalizzati includono un'icona dell'utente custom-checks-user-icon , a differenza dei controlli di SaltStack built-in-checks-shield-icon . Vedere Contenuti personalizzati di SaltStack SecOps Compliance per ulteriori informazioni sulla creazione di controlli e benchmark personalizzati.

Ogni controllo include i seguenti campi di informazioni.

Nota: Per ciascun controllo vengono definiti alcuni degli elementi riportati di seguito, mentre ne vengono definiti altri per uno o più benchmark.

Descrizione: Breve descrizione del controllo.
Azione: Breve descrizione dell'azione che verrà eseguita durante la correzione.
Interruzione: Utilizzata solo a scopo di test interni. Per ulteriori informazioni, contattare l'amministratore.
Descrizione globale: Descrizione dettagliata del controllo.
Osfinger: Elenco di valori del sistema operativo per cui è implementato il controllo. Osfinger è disponibile in grains.items per ciascun minion. Identifica il sistema operativo del minion e la versione principale. I grani sono un'interfaccia che ricava informazioni sul sistema sottostante. Vengono raccolti grani relativi a sistema operativo, nome del dominio, indirizzo IP, kernel, tipo di sistema operativo, memoria e molte altre proprietà di sistema. Per ulteriori informazioni sui grani, vedere Riferimento dei grandi di Salt.
Profilo: Elenco dei profili di configurazione per benchmark diversi. Questi profili di configurazione mirano ai diversi ruoli di una macchina all'interno di un ambiente (ad esempio, su un server o una workstation) e a diversi livelli di sicurezza in contrasto con l'uso pratico.
Logica: Descrizione della logica di implementazione del controllo. Sono inclusi i motivi per cui potrebbe essere necessario implementare il controllo.
Refs: Riferimenti incrociati di conformità tra benchmark.
Correggi: (Non incluso in tutti i controlli): valore che indica se SaltStack SecOps Compliance è in grado di correggere i nodi non conformi, poiché non tutti i controlli includono passaggi di correzione specifici e utilizzabili. Ad esempio, SaltStack SecOps Compliance non corregge CIS 1.1.6: Verificare che esista una partizione separata per /var poiché non esiste alcun metodo universale per la partizione di ogni sistema. False indica un controllo che non può essere corretto. Quando è True (predefinito), questo campo non viene visualizzato.
Correzione: Descrizione del modo in cui qualsiasi sistema non conforme sarà corretto, se applicabile. Si noti che alcuni controlli non includono passaggi di correzione specifici e utilizzabili. Vedere Correggi sopra.
Classificato: Benchmark CIS con valore ottenuto. Le raccomandazioni classificate influiscono sul punteggio del benchmark della destinazione, mentre le raccomandazioni che non vengono classificate non influiscono sulla classificazione. True indica classificato e False indica non classificato.
File di stato: Copia dello stato di Salt che sarà applicato per eseguire il controllo e, se applicabile, la correzione successiva.

Variabili

Le variabili in SaltStack SecOps Compliance vengono utilizzate per passare i valori negli stati di Salt che costituiscono i controlli di sicurezza. Per risultati ottimali, utilizzare i valori predefiniti forniti.

Per ulteriori informazioni sugli stati di Salt, vedere il tutorial degli stati di Salt.

Pianificazioni

Nota: Nell'editor della pianificazione, i termini "Processo" e "Valutazione" vengono utilizzati in modo intercambiabile. Quando si definisce una pianificazione per il criterio, si pianifica solo la valutazione, non la correzione.

Scegliere la frequenza di pianificazione tra Ricorrente, Ripeti data e ora, Una volta o Espressione cron. Sono disponibili opzioni aggiuntive, a seconda dell'attività pianificata e in base alla frequenza di pianificazione scelta.

Ricorrente: Impostare un intervallo per la ripetizione della pianificazione, con campi facoltativi per la data di inizio o di fine, l'esecuzione e il numero massimo di processi paralleli.
Ripeti data e ora: Scegliere di ripetere la pianificazione settimanalmente o giornalmente, con campi facoltativi per la data di inizio o di fine e il numero massimo di processi paralleli.
Una volta: Specificare una data e un'ora per l'esecuzione del processo.
Cron: Immettere un'espressione cron per definire una pianificazione personalizzata in base alla sintassi di Croniter. Vedere l' editor CronTab per le linee guida della sintassi. Per risultati ottimali, evitare di pianificare i processi a meno di 60 secondi di distanza l'uno dall'altro quando si definisce un'espressione cron personalizzata.

Nota: Quando si definisce una pianificazione della valutazione, è possibile scegliere tra le opzioni Non pianificata (su richiesta). Se si seleziona questa opzione, si sceglie di eseguire una valutazione una sola volta e non viene definita alcuna pianificazione.

Stato attività

Nella home page del criterio, la scheda Attività mostra un elenco di valutazioni e correzioni completate o in corso. Include gli stati seguenti.


Stato	Descrizione
In coda	L'operazione è pronta per l'esecuzione, ma i minion non hanno ancora selezionato l'attività per avviare l'operazione.
Completata	L'esecuzione dell'operazione è terminata.
Parziale	L'operazione è ancora in attesa di restituzione di alcuni minion, anche se il Salt Master ha segnalato che l'esecuzione dell'operazione è terminata. I minion sono nodi che eseguono il servizio minion, che può ascoltare i comandi di un Salt Master ed eseguire le attività richieste. Il Salt Master è un nodo centrale utilizzato per emettere comandi ai minion.

È possibile monitorare tutte le attività in SaltStack Config, incluse le valutazioni e le correzioni, nell'area di lavoro Attività principale di SaltStack Config. Vedere Attività.

Risultati della valutazione

Fare riferimento a quanto segue per comprendere i risultati della valutazione. Per ulteriori informazioni su come accedere ai risultati della valutazione, vedere Visualizzazione dei risultati della valutazione.

Stati restituiti

In seguito a una correzione, SaltStack SecOps Compliance etichetta ciascun sistema con uno dei seguenti stati restituiti.

Conforme: L'impostazione è nello stato previsto rispetto allo standard o al benchmark.
Non conforme: L'impostazione non è nello stato previsto rispetto allo standard o al benchmark. È consigliabile eseguire un'ulteriore indagine e una possibile correzione.
Non applicabile: L'impostazione non è applicabile a questo sistema, ad esempio se è in esecuzione un controllo CentOS su AIX.
Sconosciuto: La valutazione o le correzioni non sono state eseguite.
Errore: SaltStack SecOps Compliance ha riscontrato un errore durante l'esecuzione della valutazione o della correzione.