SaltStack SecOps Compliance でインフラストラクチャ資産のセキュリティを保護するには、まずポリシーを定義する必要があります。

SaltStack SecOps Compliance では、Center for Internet Security (CIS) などのチェックを含め、業界のさまざまなベンチマークを選択できます。各ベンチマークには、セキュリティ チェックのコレクションが含まれています。特定のベンチマークに対して使用可能なすべてのチェックを適用するか、使用可能なチェックのサブセットのみを適用することができます。特定のチェック内容を修正すると既知の依存関係が解除されるリスクがある場合などは、チェックのサブセットを使用することで、インフラストラクチャ固有のニーズに合わせて SaltStack SecOps Compliance をカスタマイズできます。

ポリシーを作成するときは、ポリシーを適用するターゲットと、システムに対して実行するベンチマークおよびチェックを選択する必要があります。

SDK に直接接続するには、vRealize Automation SaltStack Config SecOpsを参照してください。

[ターゲット]

ターゲットは 1 つ以上の Salt マスター上に構成されるミニオンのグループで、これに対してジョブの Salt コマンドが適用されます。Salt マスターもミニオンと同様に管理され、ミニオン サービスを実行している場合はターゲットにすることができます。ポリシーを作成してターゲットを選択することで、セキュリティ チェックが実行されるノードを定義します。既存のターゲットを選択するか、新しいターゲットを作成できます。

詳細については、ミニオンを参照してください。

[ベンチマーク]

SaltStack SecOps Compliance では、セキュリティ チェックをベンチマークごとにグループ化することで、セキュリティ ポリシーを定義するプロセスを簡素化します。

ベンチマークは、セキュリティ チェックのカテゴリです。SaltStack SecOps Compliance のベンチマークは信頼されたエキスパートによって定義されます。カスタム ベンチマークは組織の標準に基づいて定義されます。ベンチマークを使用すると、ノードのグループごとに最適化されたさまざまなポリシーを作成できます。たとえば、Oracle Linux のミニオンに CIS チェックを適用する Oracle Linux ポリシーや、Windows のミニオンに CIS チェックを適用する Windows ポリシーを作成できます。カスタム コンテンツの作成の詳細については、カスタム コンプライアンス コンポーネントの作成を参照してください。

注: 特に Windows Server ベンチマークの場合は、特定のベンチマークに対する CIS コンテンツ(ツールチップ で表示)が、次の 3 つの異なるベンチマークに分散されています。
  • ドメイン マスター コンテンツ
  • メンバー コンテンツ
  • ドメイン マスターおよびメンバー コンテンツ
すべてのメンバー コンテンツを含める場合は、メンバーのベンチマークと、ドメイン マスターおよびメンバーのベンチマークの両方を選択する必要があります。

[チェック]

チェックは、 SaltStack SecOps Compliance で準拠を評価するセキュリティ標準です。 SaltStack SecOps Compliance ライブラリでは、セキュリティ標準の変更に応じて、チェックが頻繁に更新されます。 SaltStack SecOps Compliance のコンテンツ ライブラリに含まれるチェックに加えて、独自のカスタム チェックを作成できます。カスタム チェックは、組み込みチェック シールド アイコン ではなく、カスタム チェック ユーザー アイコン で示されます。カスタム コンテンツの作成の詳細については、 カスタム コンプライアンス コンポーネントの作成を参照してください。各チェックには、複数の情報フィールドが含まれます。
情報フィールド 説明
説明 チェックの説明。
アクション 修正中に実行されるアクションの説明。
ブレーク 内部テストにのみ使用されます。詳細については、管理者に確認してください。
全体説明 チェックの詳細な説明。
osfinger チェックが実装されている osfinger 値のリスト。osfinger は、ミニオンのオペレーティング システムとメジャー リリース バージョンを識別するために、グレイン アイテム内でミニオンごとに検出されます。グレインは、オペレーティング システム、ドメイン名、IP アドレス、カーネル、OS タイプ、メモリ、その他のシステム プロパティについて収集されます。
プロファイル 各ベンチマークの構成プロファイルのリスト。
根拠 チェックを実装する根拠の説明。
Refs ベンチマーク間の準拠の相互参照。
修正 SaltStack SecOps Compliance が非準拠ノードを修正できるかどうかを示す値。一部のチェックには特定の実行可能な修正手順が含まれないためです。
修正方法 非準拠システムを修正する方法の説明(修正方法がある場合)。
Scored CIS ベンチマークの Scored(スコア付き)値。スコア付きの推奨はターゲットのベンチマーク スコアに影響を与えますが、スコアなしの推奨はスコアに影響しません。true はスコア付きを示し、false はスコアなしを示します。
状態ファイル チェックを実行するために適用される Salt 状態のコピーと、後続の修正(該当する場合)。
変数 セキュリティ チェックを構成する Salt 状態に値を渡すために使用される SaltStack SecOps Compliance の変数。最適な結果を得るには、デフォルト値を使用します。詳細については、How do I use Salt Statesを参照してください。
スケジュール スケジュールの頻度を [繰り返し]、[繰り返し日時]、[1 回]、または [Cron 式] から選択します。スケジューリングされたアクティビティおよび選択したスケジュールの頻度に応じて、追加のオプションを使用できます。
  • [繰り返し] - スケジュールを繰り返す間隔を設定し、オプションのフィールドとして開始日または終了日、splay、および最大並列ジョブ数を設定します。
  • [繰り返し日時] - 週単位または日単位でスケジュールを繰り返し、オプションのフィールドとして開始日または終了日、および最大並列ジョブ数を設定します。
  • [1 回] - ジョブを 1 回実行する日時を設定します。
  • [Cron] - Cron 式を入力して、Croniter 構文に基づくカスタム スケジュールを定義します。構文のガイドラインについては、CronTab エディタを参照してください。カスタム Cron 式を定義するときに、ジョブのスケジュール間隔を 60 秒未満にしないようにします。
注: スケジュール エディタでは、「ジョブ」という用語と「評価」という用語が同じ意味に使用されます。ポリシーのスケジュールを定義する際には、修正ではなく評価のみをスケジューリングします。
注: 評価スケジュールを定義するときに、 [スケジュールなし(オンデマンド)] オプションを選択できます。このオプションを選択した場合は、スケジュールは定義されず、1 回の評価が実行されます。
注: チェックとミニオンを修正から除外するには、 [除外の追加] をクリックし、除外の理由を入力して、再度 [除外の追加] をクリックして確定します。除外されたアイテムについては、修正がスキップされます。

手順

  1. SaltStack SecOps Compliance のホーム ページで、[ポリシーの作成] をクリックします。
  2. ポリシー名を入力し、ポリシーを適用するターゲットを選択します。[次へ] をクリックします。
  3. [ベンチマーク] タブで、ポリシーに含めるすべてのベンチマークを選択し、[次へ] をクリックします。
    注: ベンチマークが使用不可の場合は、コンプライアンス コンテンツのダウンロードが必要な場合があります。セキュリティ ライブラリのコンテンツを更新してダウンロードするには、サイド メニューで [管理] > [SecOps] の順にクリックしてから、 [コンプライアンス コンテンツ - SaltStack] > [更新を確認] の順に選択します。
  4. [チェック] タブで、ポリシーに含めるすべてのチェックを選択します。使用可能なチェックは、手順 3 で選択したベンチマークによって決まります。[次へ] をクリックします。
  5. [変数] タブで、必要に応じて変数を入力または変更します。デフォルト値を受け入れるように選択することもできます(推奨)。[次へ] をクリックします。
  6. スケジュール画面でスケジュールの頻度を定義し、[保存] をクリックします。
  7. (オプション)ポリシーを保存した直後に評価を実行するには、[保存時に評価を実行] を選択します。
  8. [保存] をクリックします。
    ポリシーが保存されます。 [保存時に評価を実行] を選択した場合、評価は、保存を行った直後に実行されます。

結果

準拠ポリシーが保存され、評価を実行する際に使用されます。ポリシーを編集するには、ホーム ページからポリシーを選択し、[ポリシーの編集] をクリックします。