SaltStack SecOps Compliance でインフラストラクチャ資産のセキュリティを保護するには、まずポリシーを定義する必要があります。
SaltStack SecOps Compliance では、Center for Internet Security (CIS) などのチェックを含め、業界のさまざまなベンチマークを選択できます。各ベンチマークには、セキュリティ チェックのコレクションが含まれています。特定のベンチマークに対して使用可能なすべてのチェックを適用するか、使用可能なチェックのサブセットのみを適用することができます。特定のチェック内容を修正すると既知の依存関係が解除されるリスクがある場合などは、チェックのサブセットを使用することで、インフラストラクチャ固有のニーズに合わせて SaltStack SecOps Compliance をカスタマイズできます。
ポリシーを作成するときは、ポリシーを適用するターゲットと、システムに対して実行するベンチマークおよびチェックを選択する必要があります。
SDK に直接接続するには、vRealize Automation SaltStack Config SecOpsを参照してください。
[ターゲット]
ターゲットは 1 つ以上の Salt マスター上に構成されるミニオンのグループで、これに対してジョブの Salt コマンドが適用されます。Salt マスターもミニオンと同様に管理され、ミニオン サービスを実行している場合はターゲットにすることができます。ポリシーを作成してターゲットを選択することで、セキュリティ チェックが実行されるノードを定義します。既存のターゲットを選択するか、新しいターゲットを作成できます。
詳細については、ミニオンを参照してください。
[ベンチマーク]
SaltStack SecOps Compliance では、セキュリティ チェックをベンチマークごとにグループ化することで、セキュリティ ポリシーを定義するプロセスを簡素化します。
ベンチマークは、セキュリティ チェックのカテゴリです。SaltStack SecOps Compliance のベンチマークは信頼されたエキスパートによって定義されます。カスタム ベンチマークは組織の標準に基づいて定義されます。ベンチマークを使用すると、ノードのグループごとに最適化されたさまざまなポリシーを作成できます。たとえば、Oracle Linux のミニオンに CIS チェックを適用する Oracle Linux ポリシーや、Windows のミニオンに CIS チェックを適用する Windows ポリシーを作成できます。カスタム コンテンツの作成の詳細については、カスタム コンプライアンス コンポーネントの作成を参照してください。
- ドメイン マスター コンテンツ
- メンバー コンテンツ
- ドメイン マスターおよびメンバー コンテンツ
[チェック]
情報フィールド | 説明 |
---|---|
説明 | チェックの説明。 |
アクション | 修正中に実行されるアクションの説明。 |
ブレーク | 内部テストにのみ使用されます。詳細については、管理者に確認してください。 |
全体説明 | チェックの詳細な説明。 |
osfinger | チェックが実装されている osfinger 値のリスト。osfinger は、ミニオンのオペレーティング システムとメジャー リリース バージョンを識別するために、グレイン アイテム内でミニオンごとに検出されます。グレインは、オペレーティング システム、ドメイン名、IP アドレス、カーネル、OS タイプ、メモリ、その他のシステム プロパティについて収集されます。 |
プロファイル | 各ベンチマークの構成プロファイルのリスト。 |
根拠 | チェックを実装する根拠の説明。 |
Refs | ベンチマーク間の準拠の相互参照。 |
修正 | SaltStack SecOps Compliance が非準拠ノードを修正できるかどうかを示す値。一部のチェックには特定の実行可能な修正手順が含まれないためです。 |
修正方法 | 非準拠システムを修正する方法の説明(修正方法がある場合)。 |
Scored | CIS ベンチマークの Scored(スコア付き)値。スコア付きの推奨はターゲットのベンチマーク スコアに影響を与えますが、スコアなしの推奨はスコアに影響しません。true はスコア付きを示し、false はスコアなしを示します。 |
状態ファイル | チェックを実行するために適用される Salt 状態のコピーと、後続の修正(該当する場合)。 |
変数 | セキュリティ チェックを構成する Salt 状態に値を渡すために使用される SaltStack SecOps Compliance の変数。最適な結果を得るには、デフォルト値を使用します。詳細については、How do I use Salt Statesを参照してください。 |
スケジュール | スケジュールの頻度を [繰り返し]、[繰り返し日時]、[1 回]、または [Cron 式] から選択します。スケジューリングされたアクティビティおよび選択したスケジュールの頻度に応じて、追加のオプションを使用できます。
注: スケジュール エディタでは、「ジョブ」という用語と「評価」という用語が同じ意味に使用されます。ポリシーのスケジュールを定義する際には、修正ではなく評価のみをスケジューリングします。
注: 評価スケジュールを定義するときに、
[スケジュールなし(オンデマンド)] オプションを選択できます。このオプションを選択した場合は、スケジュールは定義されず、1 回の評価が実行されます。
|
手順
結果
準拠ポリシーが保存され、評価を実行する際に使用されます。ポリシーを編集するには、ホーム ページからポリシーを選択し、[ポリシーの編集] をクリックします。