Настраиваемое содержимое, связанное с соответствием нормативным требованиям, позволяет определить собственные стандарты безопасности, которые дополнят библиотеку сравнительных тестов и проверок безопасности, встроенную в Automation for Secure Hosts Compliance.

Настраиваемое содержимое можно использовать для адаптации политик Automation for Secure Hosts Compliance с учетом внутренних требований.

Automation for Secure Hosts Compliance содержит пакет Custom Content Software Development Kit (SDK), который можно использовать для создания, тестирования и формирования собственного настраиваемого содержимого системы безопасности. Настраиваемое содержимое системы безопасности можно импортировать для использования со встроенной библиотекой безопасности Automation for Secure Hosts Compliance при выполнении оценки и внесении исправлений. Благодаря возможности импорта настраиваемого содержимого также можно присваивать содержимому версию с помощью выбранной системы управления версиями, например Git.

Чтобы использовать настраиваемые проверки, сначала запустите пакет Custom Content SDK для Automation for Secure Hosts Compliance. SDK содержит примеры файлов, которые можно изменять для создания собственных настраиваемых проверок, а также сравнительные тесты. SDK также содержит среду тестирования на основе Docker, в которой можно тестировать новое содержимое.

После создания и тестирования настраиваемого содержимого можно сформировать файл содержимого и импортировать его в Automation for Secure Hosts Compliance, чтобы начать процесс оценки и исправления. Для настраиваемых проверок отображается значок пользователя custom-checks-user-icon , а для проверок Automation Config — значок built-in-checks-shield-icon . Automation for Secure Hosts Compliance отслеживает зависимости между политиками и настраиваемым содержимым и предоставляет список зависимостей, которые могут быть нарушены в случае удаления содержимого.

Необходимые условия

Процедура

  1. Из в командной строки перейдите в каталог, где находится файл, и выполните следующую команду.
    Операционная система Команда
    Mac OS или Linux ./secops_sdk init
    Windows secops_sdk.exe init
    Выходные данные не отображаются. Это ожидаемо. В каталоге содержатся следующие папки и файлы.
    • benchmarks — файлы метаданных настраиваемых сравнительных тестов (.meta)
    • salt/locke/custom — файлы состояния (.sls) и метаданных (.meta) настраиваемых проверок
    • sample_tests — примеры файлов для тестирования с помощью Docker
    • README.md — более подробные сведения о пакете SDK
  2. (Необязательно.) Зафиксируйте изменения в репозитории с контролем версий.
  3. Чтобы создать настраиваемые проверки, в пакете Custom Content SDK перейдите в раздел salt/locke/custom. Чтобы создать настраиваемые сравнительные тесты, перейдите к шагу 8.
    Примечание: Все настраиваемые проверки должны быть настроены как в файле состояния (.sls), так и в соответствующем файле метаданных (.meta).
  4. Создайте копию примера файла состояния (.sls) и соответствующего файла метаданных (.meta) и переименуйте оба файла, задав желаемое имя. Сохраните оба этих файла вместе в любом подкаталоге salt/locke/custom.
    Оба файла должны находиться в одном каталоге и иметь одинаковое имя, например: my_first_check.meta и my_first_check.sls.
  5. Отредактируйте содержимое файла метаданных для настройки проверки с учетом текущих потребностей.
    Примечание: Убедитесь, что файлы метаданных содержат ссылки на разные сравнительные тесты. При создании настраиваемого содержимого не забудьте включить все связанные сравнительные тесты в файл метаданных настраиваемой проверки.
  6. Отредактируйте содержимое файла состояния.
  7. Убедитесь, что оба файла сохранены в одном каталоге.
  8. Чтобы создать настраиваемые сравнительные тесты, в пакете Custom Content SDK перейдите в каталог benchmarks. Он содержит пример файла метаданных сравнительного теста (.meta).
  9. Сделайте копию файла Sample_benchmark.meta и переименуйте его, задав желаемое имя.
  10. Отредактируйте содержимое файла метаданных для настройки сравнительного теста с учетом текущих потребностей.

Результаты

Настраиваемые проверки и сравнительные тесты созданы. При необходимости можно удалить настраиваемую проверку или сравнительный тест, перейдя в раздел Соответствие нормативным требованиям > Проверки или Соответствие нормативным требованиям > Сравнительные тесты, щелкнув кнопку меню возле настраиваемого содержимого, а затем щелкнув Удалить.

Дальнейшие действия

После создания настраиваемого содержимого его можно протестировать, открыв командную строку, перейдя в каталог пакета Custom Content SDK sample_tests и выполнив следующие команды.

Команда Результат
1. ./build.sh Создание образа Docker для CentOS7 с системой Salt для тестирования.
2. ./up.sh Запуск тестового контейнера.
3. ./test.sh salt-call --local state.apply locke.custom.mounts.my_first_check test=True Запуск стандартных тестов для проверок, созданных в каталоге salt/locke/custom. Настраиваемые проверки можно инициировать так же, как обычные состояния Salt. Дополнительные сведения о состояниях Salt см. в разделе Использование состояний Salt.
4. ./down.sh После завершения тестирования выполните эту команду, чтобы завершить работу контейнера тестирования.

После тестирования настраиваемого содержимого можно создать библиотеку настраиваемого содержимого.