В SaltStack SecOps Compliance на выбор предоставляются разнообразные отраслевые сравнительные тесты, включая проверки Центра Интернет-безопасности (CIS). Каждый сравнительный тест включает в себя целую коллекцию проверок системы безопасности. Можно выбрать режим, в котором применяются все доступные проверки для заданного сравнительного теста, или использовать только подмножество доступных проверок. Подмножество проверок удобно использовать для настройки подсистемы SaltStack SecOps Compliance для потребностей инфраструктуры, например если выполнение заданной проверки связан с риском нарушения известной зависимости.

При создании политики необходимо выбрать ее целевой объект, а также сравнительные тесты и проверки, которые будут проводиться в системе.

Сведения о прямом подключении к пакету SDK см. в разделе vRealize Automation SaltStack Config SecOps.

Целевой объект

Целевым объектом является группа служебных серверов, относящихся к одному главному серверу Salt или нескольким, для которой выполняется команда Salt данного задания. Главным сервером Salt можно управлять, как служебным сервером. Он может быть целевым объектом, если на нем запущена служба служебного сервера. При создании политики и выборе целевого объекта необходимо определить узлы, для которых будут выполняться проверки безопасности. Можно выбрать существующий целевой объект или создать новый.

Сравнительные тесты

SaltStack SecOps Compliance упрощает процесс определения политики безопасности путем группирования проверок безопасности по сравнительным тестам.

Сравнительные тесты являются категорией проверок безопасности. Сравнительные тесты SaltStack SecOps Compliance составляются признанными экспертами, а настраиваемые сравнительные тесты могут быть определены на основе стандартов конкретной организации. Сравнительные тесты можно использовать при создании разных политик, оптимизированных для различных групп узлов. Например, можно создать политику Oracle Linux, которая будет применять проверки CIS к служебным серверам Oracle Linux, и политику Windows, которая будет применять проверки CIS к служебным серверам Windows. Дополнительные сведения о создании настраиваемого содержимого см. в разделе Создание настраиваемого содержимого, связанного с соответствием нормативным требованиям.

Примечание: В случае сравнительных тестов для Windows Server содержимое CIS для некоторых из них (с всплывающей подсказкой ) распределяется между тремя различными сравнительными тестами:

• Содержимое главного сервера домена
• Содержимое участников
• Содержимое главного сервера домена и участников

Если вы хотите включить все содержимое участников, необходимо выбрать сравнительные тесты как для категории «Участники», так и для категории «Главный сервер домена и участники».

Проверки

Проверка представляет собой стандарт обеспечения безопасности, который система SaltStack SecOps Compliance оценивает на предмет соответствия требованиям. Библиотека SaltStack SecOps Compliance регулярно обновляет проверки по мере изменения стандартов обеспечения безопасности. В дополнение к проверкам в составе библиотеки содержимого SaltStack SecOps Compliance можно создавать свои настраиваемые проверки. Настраиваемые проверки отмечены значком custom-checks-user-icon , а не значком built-in-checks-shield-icon . Дополнительные сведения о создании настраиваемого содержимого см. в разделе Создание настраиваемого содержимого, связанного с соответствием нормативным требованиям. Каждая проверка содержит несколько информационных полей.

Информационное поле	Описание
Описание	Описание проверки.
Действие	Описание действия, которое выполняется во время исправления.
Прерывание	Используется только для внутреннего тестирования. Дополнительные сведения можно получить у администратора.
Глобальное описание	Подробное описание проверки.
Osfinger	Список значений osfinger, для которых выполняется проверка. Параметр osfinger находится в параметрах grains каждого служебного сервера. Он используется для идентификации операционной системы служебного сервера и основной версии. Собираемые параметры grains относятся к таким свойствам системы, как операционная система, имя домена, IP-адрес, ядро, тип ОС, память и многие другие.
Профиль	Список профилей конфигурации для различных сравнительных тестов.
Обоснование	Текстовое обоснование для создания проверки.
Справочные материалы	Перекрестные ссылки соответствия требованиям между сравнительными тестами.
Исправление	Значения, которые указывают, может ли SaltStack SecOps Compliance исправить несоответствующие нормативным требованиям узлы, так как не все проверки содержат специализированные операции по исправлению с практическими инструкциями.
Исправление	Описание способа исправления любых несоответствующих нормативным требованиям систем, если применимо.
С балльной оценкой	Значение в баллах для сравнительного теста CIS. Рекомендации с балльной оценкой влияют на балльную оценку сравнительного теста целевого объекта, а рекомендации без балльной оценки не влияют. True означает «с балльной оценкой», а False — «без балльной оценки».
Файл состояния	Копия состояния Salt, которое будет применено для выполнения проверки и, если применимо, последующего исправления.
Переменные	Переменные в SaltStack SecOps Compliance, используемые для передачи значений в состояния Salt, которые служат основой для проверок безопасности. Для достижения наилучших результатов используйте значения по умолчанию. Дополнительные сведения см. в разделе Использование состояний Salt.
Расписания	Для указания частоты выполнения по расписанию выберите один из следующих параметров: «Повторяется», «Дата и время повтора», «Однократно» или «Выражение Cron». Имеются дополнительные варианты, которые зависят от запланированного действия и указанной частоты выполнения по расписанию. Повторяется — указание интервала для повтора расписания с необязательными полями даты начала или завершения, области расширения и максимального количества параллельных заданий. Дата и время повтора — повторение расписания (еженедельно или ежедневно) с необязательными полями даты начала или завершения и максимального количества параллельных заданий. Однократно — указание даты и времени однократного запуска задания. Cron — ввод выражения Cron для определения настраиваемого расписания на основе синтаксиса Croniter. Описание синтаксиса см. в разделе Редактор CronTab. При определении настраиваемого выражения Cron не планируйте задания, которые отличаются по времени запуска менее чем на 60 секунд. Примечание: В редакторе расписаний термины «задание» и «оценка» являются взаимозаменяемыми. При определении расписания для политики в расписание включается только процесс оценки (исправление не включается). Примечание: При определении расписания оценки можно использовать параметр Не запланировано (по требованию). В случае использования этого параметра предусматривается выполнение однократной оценки и расписание не устанавливается.