vRealize Automation SaltStack SecOps is een add-on die twee beveiligingsbibliotheken biedt. Beide contentbibliotheken worden regelmatig bijgewerkt omdat beveiligingsstandaarden veranderen. U kunt instellen dat content automatisch wordt gedownload (of opgenomen) als beveiligingsstandaarden veranderen. Dit wordt aanbevolen voor de meeste standaardsystemen.

De volgende typen content worden geleverd als onderdeel van SaltStack SecOps:

  • Conformiteit - Geautomatiseerde detectie en correctie van conformiteit voor uw infrastructuur. De bibliotheek met conformiteitscontent bestaat uit beveiligings- en conformiteitscontent op basis van best practices uit de industrie, zoals CIS.
  • Kwetsbaarheid - Beheert kwetsbaarheden op alle systemen in uw omgeving. De contentbibliotheek bevat adviezen op basis van de nieuwste vermeldingen in Common Vulnerabilities and Exposures (CVE).

Als alternatief biedt de bibliotheek de optie om content handmatig te downloaden of om via een HTTP(s)-proxy toegang te krijgen tot content vanaf het RaaS-knooppunt. Handmatige opname is nuttig voor systemen met luchtmuur, terwijl downloaden via een proxy handig is om te voorkomen dat content direct van het internet wordt gedownload. Downloaden via een proxy zorgt ook voor meer controle en inzicht in wat en waar wordt gedownload.

Vereisten

Het configureren van SaltStack SecOps is een stap na installatie in een reeks stappen die in een specifieke volgorde moeten worden uitgevoerd. Voltooi eerst een van de installatiescenario's en lees vervolgens de volgende pagina's over stappen na installatie:

Python 3 rpm-bibliotheken installeren

SaltStack SecOps gebruikt de Python 3 rpm-bibliotheken om een betrouwbare vergelijking van pakketversies te maken. Voor deze programma's is de hogere nauwkeurigheid van deze bibliotheken nodig om te bepalen of versies conform zijn of om kwetsbaarheden te evalueren.

Op dit moment hebben minions die gebruikmaken van RedHat of CentOS 7 mogelijk de Python 3 rpm-bibliotheken nodig om nauwkeurige conformiteits- of kwetsbaarheidsbeoordelingen uit te voeren. Als u van plan bent beoordelingen uit te voeren op minions die deze versies van RedHat of CentOS gebruiken, moet u handmatig de Python 3 rpm-bibliotheek installeren op deze machines.

Opmerking:

Er zijn andere noodoplossingen beschikbaar. Als u een alternatieve noodoplossing nodig hebt, kunt u contact opnemen met de helpdesk.

De Python 3 rpm-bibliotheek installeren op de Salt-master die de masterplug-in gebruikt:

  1. Installeer de EPEL-opslagplaats met het volgende commando:
    yum install -y epel-release
  2. Installeer de Python 3 rpm-bibliotheek:
    yum install -y python3-rpm

Automatische contentopname voor standaardsystemen

Voor RaaS-systemen zonder luchtmuur wordt inhoud periodiek gedownload en opgenomen, zoals bepaald door de instellingen in het configuratiebestand. Automatische contentopname is al standaard geconfigureerd in SaltStack Config en er is geen verdere actie vereist.

Als u SaltStack Config handmatig hebt geïnstalleerd, volgt u deze stappen om de automatische contentopname van SaltStack SecOps te configureren:

  1. Voeg het volgende toe aan het configuratiebestand /etc/raas/raas voor de RaaS-service in het gedeelte sec. Pas het waar nodig aan:
    sec:
      stats_snapshot_interval: 3600
      username: secops
      content_url: https://enterprise.saltstack.com/secops_downloads
      ingest_saltstack_override: true
      ingest_custom_override: true
      locke_dir: locke
      post_ingest_cleanup: true
      download_enabled: true
      download_frequency: 86400
      compile_stats_interval: 10
      archive_interval: 300
      old_policy_file_lifespan: 2
      delete_old_policy_files_interval: 86400
      ingest_on_boot: true
      content_lock_timeout: 60
      content_lock_block_timeout: 120

    Zie Configuratieopties voor meer informatie over deze configuratie-instellingen.

  2. Sla het bestand op.
  3. Herstart de RaaS-service:
    systemctl restart raas

    Nadat de service is herstart, begint het downloaden van de SaltStack SecOps-content. Dit kan tot vijf minuten duren, afhankelijk van uw internetverbinding.

Content opnemen via http(s)-proxy

Voor opname via proxy moet u een override in de RaaS-service maken en nieuwe omgevingsvariabelen toevoegen voor httpproxy en httpsproxy.

Het RaaS-knooppunt configureren voor gebruik van https-proxy:

  1. Voltooi de vorige stappen om automatische opname in te schakelen.
  2. Bewerk de RaaS-service op de master in de commandoregel:
    systemctl edit raas
  3. Voeg de volgende regels toe aan het gegenereerde bestand.
    [Service]
    Environment="http_proxy=http://<hostname>:234"
    Environment="https_proxy=https://<hostname>:234"
    Environment="HTTP_PROXY=http://<hostname>:234"
    Environment="HTTPS_PROXY=http://<hostname>:234"
  4. Als voor uw proxy wachtwoordverificatie is vereist, moet u deze mogelijk instellen als onderdeel van de omgevingsvariabelen voor de proxy. Bijvoorbeeld:
    Environment="HTTP_PROXY=http://USER:PASSWORD@<hostname>:234"
  5. Als uw proxy gebruikmaakt van een interne certificaatautoriteit, moet u mogelijk ook de omgevingsvariabele REQUESTS_CA_BUNDLE instellen om ervoor te zorgen dat de proxy deze kan gebruiken. Bijvoorbeeld:
    Environment="REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt"
  6. Herstart de RaaS-service:
    systemctl restart raas

Nadat de service is herstart, begint het downloaden van de content. Dit kan tot 20 minuten duren.

Content handmatig opnemen

Systemen met luchtmuur moeten de content van SaltStack SecOps bijwerken vanaf een van de RaaS-knooppunten. Systemen met luchtmuur worden gedefinieerd door een configuratie-instelling van sec/download_enabled=False.

Opname voor systemen met luchtmuur configureren:

  1. Download de SaltStack Comply-content.
  2. Meld u aan bij het RaaS-knooppunt.
  3. Kopieer de tarball met de conformiteits- en kwetsbaarheidscontent naar het RaaS-knooppunt (tmp wordt aanbevolen).

    Deze content kan per e-mail of op een andere manier worden aangeleverd.

  4. Neem de tarball-content op.
    su - raas -c "raas ingest /path/to/locke.tar.gz.e"

    Resultaat:

    Extracting: /tmp/locke.tar.gz -> /tmp/extracted-1551290468.5497127
    
    Cleaning up: /tmp/extracted-1551290468.5497127
    
    Results:
    
    {'errors': [], 'success': True}

Splunk-integratie instellen

SaltStack Config integreert de kwetsbaarhedenbibliotheek met Splunk om uw digitale infrastructuur te helpen optimaliseren en beveiligen met de SaltStack Config-add-on voor Splunk Enterprise. De add-on is beschikbaar op Splunkbase en vereist SaltStack Config versie 6.3 of hoger.

De SaltStack Config-add-on in Splunk maakt gebruik van een metriekeneindpunt dat compatibel is met Promotheus en meer dan 25 unieke SaltStack Config-metrieken rapporteert. Deze metrieken geven inzicht in de status van uw infrastructuur. Toegang tot deze gegevens in Splunk is nuttig voor het bewaken van uitval, het identificeren van ongewone activiteit en meer. De add-on biedt u ook de mogelijkheid om geautomatiseerde acties uit te voeren op basis van een specifieke Splunk-gebeurtenis met behulp van SaltStack Config.

Voor instructies over het installeren en configureren van de add-on bekijkt u de volledige documentatie voor de add-on in de VMware Knowledge Base.

Voor meer informatie over het metriekeneindpunt van SaltStack Config bekijkt u de productdocumentatie voor SaltStack SecOps.

Configuratieopties

In de volgende tabel worden de configuratieopties beschreven die beschikbaar zijn voor conformiteitscontent:

Optie Beschrijving
stats_snapshot_interval Hoe vaak (in seconden) worden SaltStack Comply-statistieken verzameld
compile_stats_interval Hoe vaak (in seconden) worden SaltStack Comply-statistieken gecompileerd
username Gebruikersnaam die moet worden gebruikt bij het maken van verbinding met SaltStack Config om de meest recente content van SaltStack Comply te downloaden (standaard: secops)
content_url URL die wordt gebruikt om content van SaltStack Comply te downloaden (standaard: enterprise.saltstack.com/docs/downloads.html#saltstack-comply-and-protect-content)
ingest_override Wanneer u nieuwe content opneemt, overschrijft u bestaande benchmarks en controles (standaardwaarde: True)
locke_dir Pad waar content wordt verwacht voor opname (standaard: locke). Als u een relatief pad gebruikt (niet voorafgegaan door /), dan is dit ten opzichte van de RaaS-servicecachedirectory /var/lib/raas/cache
post_ingest_cleanup Verwijder de uitgevouwen content na opname uit het bestandssysteem (standaard: True)
download_enabled Of SaltStack Comply-contentdownloads wel of niet zijn toegestaan (standaard: True). Stel dit in op False met systemen met luchtmuur.
download_frequency Hoe vaak in seconden zal de RaaS-service proberen de SaltStack Comply-content te downloaden (standaard: 86400 voor 24 uur)
ingest_on_boot Moet de RaaS-service bij het opstarten proberen SaltStack Comply-content te downloaden? (standaard: True)
content_lock_timeout Hoe lang in seconden zullen de downloadvergrendelingen duren (standaard: 60)
content_lock_block_timeout Hoe lang in seconden zullen downloadvergrendelingen voor content blokkeren voordat het mislukt (standaard: 120)

In de volgende tabel worden de configuratieopties beschreven die beschikbaar zijn voor kwetsbaarhedencontent:

Optie Beschrijving
vman_dir Locatie waar SaltStack Protect-content is uitgevouwen vóór opname. Als het pad relatief is (niet voorafgegaan door /), dan is dit relatief ten opzichte van de RaaS-servicecachedirectory /var/lib/raas/cache
download_enabled Indien True, is het downloaden van SaltStack Protect-content ingeschakeld. Instellen op False voor systemen met luchtmuur
download_frequency De frequentie in seconden van geautomatiseerde downloads en opname van SaltStack Protect-content
username Gebruikersnaam die wordt gebruikt om aan te melden bij enterprise.saltstack.com om content op te halen
content_url URL vanwaar SaltStack Protect-content wordt gedownload
ingest_on_boot Indien True, wordt de SaltStack Protect-content gedownload en opgenomen kort nadat de RaaS-service is opgestart (standaard: True)
compile_stats_interval Hoe vaak (in seconden) SaltStack Protect-statistieken worden gecompileerd
stats_snapshot_interval Hoe vaak (in seconden) SaltStack Protect-statistieken worden verzameld
old_policy_file_lifespan Levensduur (in dagen) van oude beleidsbestanden die in het RaaS-bestandssysteem blijven
delete_old_policy_files_interval Hoe vaak (in seconden) oude SaltStack Protect-beleidsbestanden worden verwijderd uit het RaaS-bestandssysteem
tenable_asset_import_enabled Indien True, worden minion-grains in SaltStack Config naar Tenable.io verzonden voor overeenkomstige assets (standaard: True)
tenable_asset_import_grains

Lijst met minion-grains die moeten worden verzonden naar Tenable.io, als het importeren van Tenable-assets is ingeschakeld.

SaltStack Protect ondersteunt alleen fqdn, ipv4 ipv6 en hostname out-of-the-box. U kunt echter andere informatie verzenden door aangepaste grains te definiëren. Zie de documentatie voor Salt over grains voor meer informatie over grains, inclusief hoe u aangepaste grains schrijft.

Als u alleen een subset van sleutels hebt, worden alleen de sleutels in de subset gesynchroniseerd.

fqdn en ipv4 zullen worden verzonden, zelfs als u ze hier niet vermeldt.

Zie de documentatie over het importeren van assets met Tenable voor meer informatie.

Veelgestelde vragen

  • V: Hoe vaak wordt nieuwe content voor SaltStack Protect uitgebracht?
    • A: De huidige releasefrequentie is ongeveer één keer per kwartaal. Mogelijk wordt content in de toekomst vaker uitgebracht.
  • Kan ik eerder toegang krijgen tot nieuwe content als ik automatische opname van content in plaats van handmatige opname gebruik?
    • A: Dezelfde content is beschikbaar, ongeacht of u content handmatig of automatisch opneemt.

      Als u echter handmatige opname gebruikt, moet u de updatecontroles voor beveiligingscontent plannen en een proces ontwikkelen om bijgewerkte content handmatig op te nemen wanneer deze beschikbaar is.

Wat moet u nu doen

Nadat u SaltStack SecOps hebt geconfigureerd, zijn er mogelijk aanvullende stappen na installatie. Controleer de lijst met stappen na installatie om ervoor te zorgen dat u alle nodige stappen hebt voltooid.