Om uw infrastructuurassets met Automation for Secure Hosts Compliance te beveiligen, moet u beginnen met het definiëren van beleidsregels.

Automation for Secure Hosts Compliance biedt verschillende benchmarks uit de sector waaruit u kunt kiezen, inclusief controles voor het Center for Internet Security (CIS) en meer. Elke benchmark bevat een verzameling beveiligingscontroles. U kunt ervoor kiezen om alle beschikbare controles voor een bepaalde benchmark toe te passen of u kunt slechts een subset met beschikbare controles gebruiken. Het gebruik van een subset controles is handig voor het aanpassen van Automation for Secure Hosts Compliance voor uw unieke infrastructuurbehoeften, bijvoorbeeld als het corrigeren van een bepaalde controle risico inhoudt voor het verbreken van een bekende afhankelijkheid.

Wanneer u uw beleid maakt, moet u een doel selecteren waarop u het beleid wilt toepassen, samen met welke benchmarks en controles moeten worden uitgevoerd op uw systeem.

Zie Automation for Secure Hosts om direct verbinding te maken met de SDK.

Doel

Een doel is de groep minions, verspreid over een of meer Salt-masters, waarop het Salt-commando van een opdracht van toepassing is. Een Salt-master wordt beheerd zoals een minion en kan een doel zijn als deze de minionservice uitvoert. Wanneer u een beleid maakt en een doel selecteert, definieert u de knooppunten waarop de beveiligingscontroles worden uitgevoerd. U kunt een bestaand doel kiezen of een nieuw doel maken.

Benchmarks

Automation for Secure Hosts Compliance vereenvoudigt het definiëren van uw beveiligingsbeleid door beveiligingscontroles per benchmark te groeperen.

Benchmarks zijn een categorie van beveiligingscontroles. Automation for Secure Hosts Compliance-benchmarks worden gedefinieerd door algemeen geaccepteerde experts, terwijl aangepaste benchmarks volgens de standaarden van uw organisatie worden gedefinieerd. U kunt benchmarks gebruiken om een reeks verschillende beleidsregels te maken die zijn geoptimaliseerd voor verschillende groepen knooppunten. U kunt bijvoorbeeld een Oracle Linux-beleid maken dat CIS-controles toepast op uw Oracle Linux-minions en een Windows-beleid dat CIS-controles toepast op uw Windows-minions. Zie Aangepaste beleidsonderdelen maken voor meer informatie over het maken van aangepaste inhoud.

Opmerking: In het bijzonder voor Windows Server-benchmarks wordt de CIS-inhoud voor bepaalde benchmarks (aangeduid met knopinfo ) verdeeld over drie verschillende benchmarks:
  • Inhoud van domeinmaster
  • Inhoud van lid
  • Inhoud van domeinmaster en lid
Als u alle inhoud van leden wilt opnemen, moet u zowel de benchmarks voor Lid als voor Domeinmaster en lid selecteren.

Controles

Een controle is een beveiligingsstandaard die door Automation for Secure Hosts Compliance wordt beoordeeld op conformiteit. De bibliotheek van Automation for Secure Hosts Compliance werkt controles regelmatig bij wanneer beveiligingsstandaarden veranderen. Naast de controles die in de inhoudsbibliotheek van Automation for Secure Hosts Compliance zijn opgenomen, kunt u uw eigen aangepaste controles maken. Aangepaste controles worden aangegeven door een gebruikerspictogram voor aangepaste controles , en niet met een schildpictogram voor ingebouwde controles . Zie Aangepaste beleidsonderdelen maken voor meer informatie over het maken van aangepaste inhoud. Elke controle heeft meerdere informatievelden.
Informatieveld Beschrijving
Beschrijving Beschrijving van de controle.
Actie Beschrijving van de actie die wordt uitgevoerd tijdens de correctie.
Verbreken (Break) Wordt alleen gebruikt voor interne tests. Neem contact op met uw beheerder voor meer informatie.
Algemene beschrijving Gedetailleerde beschrijving van de controle.
Osfinger Lijst met osfinger-waarden waarvoor de controle is geïmplementeerd. Osfinger vindt u in grainitems voor elke minion om de besturingssysteem- en hoofdreleaseversie van de minion te identificeren. Er worden grains verzameld voor het besturingssysteem, de domeinnaam, het IP-adres, de kernel, het type besturingssysteem, het geheugen en andere systeemeigenschappen.
Profiel Lijst met configuratieprofielen voor verschillende benchmarks.
Reden (Rationale) Beschrijving van de bedoeling voor het implementeren van de controle.
Verwijzingen (Refs) Kruisverwijzingen over conformiteit tussen benchmarks.
Corrigeren (Remediate) Waarden die aangeven of Automation for Secure Hosts Compliance niet-conforme knooppunten kan corrigeren, omdat niet alle controles specifieke, uitvoerbare correctiestappen omvatten.
Correcties Beschrijving van de manier waarop niet-conforme systemen worden gecorrigeerd, indien van toepassing.
Score (Scored) Waarde van score voor CIS-benchmark. Aanbevelingen voor score zijn van invloed op de benchmarkscore van het doel, terwijl aanbevelingen die geen score hebben gekregen geen invloed hebben op de score. Waar (true) geeft aan dat een score is ontvangen en onwaar (false) geeft aan dat er geen score is.
Statusbestand (State file) Kopie van de Salt-status die wordt toegepast om de controle uit te voeren en, indien van toepassing, de daaropvolgende correctie.
Variabelen Variabelen in Automation for Secure Hosts Compliance die worden gebruikt om waarden door te geven aan de Salt-statussen voor de beveiligingscontroles. Voor de beste resultaten gebruikt u de standaardwaarden. Zie Hoe gebruik ik Salt-statussen voor meer informatie.
Planningen (Schedules) Selecteer de frequentie voor de planning uit Terugkerend, Herhaaldatum en -tijd, Eén keer of Cron-expressie. Er zijn aanvullende opties beschikbaar, afhankelijk van de geplande activiteit en de frequentie van de planning die u kiest.
  • Terugkerend - Stel een interval in voor het herhalen van de planning, met optionele velden voor start- of einddatum, splay en maximum aantal parallelle opdrachten.
  • Herhaaldatum en -tijd - Kies ervoor om de planning wekelijks of dagelijks te herhalen, met optionele velden voor start- of einddatum en maximum aantal parallelle opdrachten.
  • Eén keer - Geef een datum en tijd op om de opdracht uit te voeren.
  • Cron - Voer een Cron-expressie in om een aangepaste planning te definiëren op basis van de Croniter-syntaxis. Zie de CronTab-editor voor syntaxisrichtlijnen. Vermijd dat u opdrachten plant op minder dan 60 seconden uit elkaar wanneer u een aangepaste Cron-expressie definieert.
Opmerking: In de editor Planning (Schedule) zijn de termen opdracht en beoordeling inwisselbaar. Wanneer u een planning voor het beleid definieert, plant u alleen de beoordeling en niet de correctie.
Opmerking: Wanneer u een beoordelingsplanning definieert, kunt u kiezen uit de optie Niet gepland (op aanvraag). Als u deze optie selecteert, kiest u ervoor om een eenmalige beoordeling uit te voeren en wordt er geen planning gedefinieerd.
Opmerking: U kunt controles en minions vrijstellen van correctie door op Uitzondering toevoegen te klikken, de reden voor de uitzonderingen in te voeren en nogmaals op Uitzondering toevoegen te klikken om te bevestigen. Correctie wordt overgeslagen voor vrijgestelde items.

Procedure

  1. Klik op de startpagina van Automation for Secure Hosts Compliance op Beleid maken.
  2. Voer de beleidsnaam in en selecteer een doel waarop u het beleid wilt toepassen. Klik op Volgende.
  3. Selecteer op het tabblad Benchmarks alle benchmarks die u in het beleid wilt opnemen en klik vervolgens op Volgende.
    Opmerking: Als er geen benchmarks beschikbaar zijn, moet u mogelijk conformiteitsinhoud downloaden. U kunt de inhoud bijwerken en downloaden in de beveiligingsbibliotheek door op Beheer > Beveiligde hosts in het zijmenu te klikken en vervolgens Conformiteitsinhoud - Beveiligde hosts > Zoeken naar updates te selecteren.
  4. Schakel op tabblad Controles alle controles in die u wilt opnemen in het beleid. De beschikbare controles worden bepaald door de benchmarks die u in stap 3 heeft geselecteerd. Klik op Volgende.
  5. Voer zo nodig variabelen in of wijzig ze zo nodig op het tabblad Variabelen. U kunt er ook voor kiezen om de standaardwaarden (aanbevolen) te accepteren. Klik op Volgende.
  6. Definieer de frequentie voor de planning op de pagina Planning en klik op Opslaan.
  7. (Optioneel) Om onmiddellijk na het opslaan van uw beleid een beoordeling uit te voeren, selecteert u Beoordeling uitvoeren bij opslaan.
  8. Klik op Opslaan.
    Het beleid is opgeslagen. Als u Beoordeling uitvoeren bij opslaan heeft geselecteerd, wordt de beoordeling direct na het opslaan uitgevoerd.

resultaten

Het conformiteitsbeleid wordt opgeslagen en gebruikt om een beoordeling uit te voeren. U kunt het beleid bewerken door het beleid te selecteren op de startpagina, en op Beleid bewerken te klikken.