Для защиты ресурсов инфраструктуры с помощью SaltStack SecOps Compliance необходимо в первую очередь определить политики.

В SaltStack SecOps Compliance на выбор предоставляются разнообразные отраслевые сравнительные тесты, включая проверки Центра Интернет-безопасности (CIS). Каждый сравнительный тест включает в себя целую коллекцию проверок системы безопасности. Можно выбрать режим, в котором применяются все доступные проверки для заданного сравнительного теста, или использовать только подмножество доступных проверок. Подмножество проверок удобно использовать для настройки подсистемы SaltStack SecOps Compliance для потребностей инфраструктуры, например если выполнение заданной проверки связан с риском нарушения известной зависимости.

При создании политики необходимо выбрать ее целевой объект, а также сравнительные тесты и проверки, которые будут проводиться в системе.

Сведения о прямом подключении к пакету SDK см. в разделе vRealize Automation SaltStack Config SecOps.

Целевой объект

Целевым объектом является группа служебных серверов, относящихся к одному главному серверу Salt или нескольким, для которой выполняется команда Salt данного задания. Главным сервером Salt можно управлять, как служебным сервером. Он может быть целевым объектом, если на нем запущена служба служебного сервера. При создании политики и выборе целевого объекта необходимо определить узлы, для которых будут выполняться проверки безопасности. Можно выбрать существующий целевой объект или создать новый.

Сравнительные тесты

SaltStack SecOps Compliance упрощает процесс определения политики безопасности путем группирования проверок безопасности по сравнительным тестам.

Сравнительные тесты являются категорией проверок безопасности. Сравнительные тесты SaltStack SecOps Compliance составляются признанными экспертами, а настраиваемые сравнительные тесты могут быть определены на основе стандартов конкретной организации. Сравнительные тесты можно использовать при создании разных политик, оптимизированных для различных групп узлов. Например, можно создать политику Oracle Linux, которая будет применять проверки CIS к служебным серверам Oracle Linux, и политику Windows, которая будет применять проверки CIS к служебным серверам Windows. Дополнительные сведения о создании настраиваемого содержимого см. в разделе Создание настраиваемого содержимого, связанного с соответствием нормативным требованиям.

Примечание: В случае сравнительных тестов для Windows Server содержимое CIS для некоторых из них (с всплывающей подсказкой ) распределяется между тремя различными сравнительными тестами:
  • Содержимое главного сервера домена
  • Содержимое участников
  • Содержимое главного сервера домена и участников
Если вы хотите включить все содержимое участников, необходимо выбрать сравнительные тесты как для категории «Участники», так и для категории «Главный сервер домена и участники».

Проверки

Проверка представляет собой стандарт обеспечения безопасности, который система SaltStack SecOps Compliance оценивает на предмет соответствия требованиям. Библиотека SaltStack SecOps Compliance регулярно обновляет проверки по мере изменения стандартов обеспечения безопасности. В дополнение к проверкам в составе библиотеки содержимого SaltStack SecOps Compliance можно создавать свои настраиваемые проверки. Настраиваемые проверки отмечены значком custom-checks-user-icon , а не значком built-in-checks-shield-icon . Дополнительные сведения о создании настраиваемого содержимого см. в разделе Создание настраиваемого содержимого, связанного с соответствием нормативным требованиям. Каждая проверка содержит несколько информационных полей.
Информационное поле Описание
Описание Описание проверки.
Действие Описание действия, которое выполняется во время исправления.
Прерывание Используется только для внутреннего тестирования. Дополнительные сведения можно получить у администратора.
Глобальное описание Подробное описание проверки.
Osfinger Список значений osfinger, для которых выполняется проверка. Параметр osfinger находится в параметрах grains каждого служебного сервера. Он используется для идентификации операционной системы служебного сервера и основной версии. Собираемые параметры grains относятся к таким свойствам системы, как операционная система, имя домена, IP-адрес, ядро, тип ОС, память и многие другие.
Профиль Список профилей конфигурации для различных сравнительных тестов.
Обоснование Текстовое обоснование для создания проверки.
Справочные материалы Перекрестные ссылки соответствия требованиям между сравнительными тестами.
Исправление Значения, которые указывают, может ли SaltStack SecOps Compliance исправить несоответствующие нормативным требованиям узлы, так как не все проверки содержат специализированные операции по исправлению с практическими инструкциями.
Исправление Описание способа исправления любых несоответствующих нормативным требованиям систем, если применимо.
С балльной оценкой Значение в баллах для сравнительного теста CIS. Рекомендации с балльной оценкой влияют на балльную оценку сравнительного теста целевого объекта, а рекомендации без балльной оценки не влияют. True означает «с балльной оценкой», а False — «без балльной оценки».
Файл состояния Копия состояния Salt, которое будет применено для выполнения проверки и, если применимо, последующего исправления.
Переменные Переменные в SaltStack SecOps Compliance, используемые для передачи значений в состояния Salt, которые служат основой для проверок безопасности. Для достижения наилучших результатов используйте значения по умолчанию. Дополнительные сведения см. в разделе Использование состояний Salt.
Расписания Для указания частоты выполнения по расписанию выберите один из следующих параметров: «Повторяется», «Дата и время повтора», «Однократно» или «Выражение Cron». Имеются дополнительные варианты, которые зависят от запланированного действия и указанной частоты выполнения по расписанию.
  • Повторяется — указание интервала для повтора расписания с необязательными полями даты начала или завершения, области расширения и максимального количества параллельных заданий.
  • Дата и время повтора — повторение расписания (еженедельно или ежедневно) с необязательными полями даты начала или завершения и максимального количества параллельных заданий.
  • Однократно — указание даты и времени однократного запуска задания.
  • Cron — ввод выражения Cron для определения настраиваемого расписания на основе синтаксиса Croniter. Описание синтаксиса см. в разделе Редактор CronTab. При определении настраиваемого выражения Cron не планируйте задания, которые отличаются по времени запуска менее чем на 60 секунд.
Примечание: В редакторе расписаний термины «задание» и «оценка» являются взаимозаменяемыми. При определении расписания для политики в расписание включается только процесс оценки (исправление не включается).
Примечание: При определении расписания оценки можно использовать параметр Не запланировано (по требованию). В случае использования этого параметра предусматривается выполнение однократной оценки и расписание не устанавливается.
Примечание: Проверки и служебные серверы можно исключить из исправлений. Для этого щелкните Добавить исключение, введите причину исключения и еще раз щелкните Добавить исключение, чтобы подтвердить. Для элементов, добавленных в исключения, исправление будет пропущено.

Процедура

  1. На главной странице SaltStack SecOps Compliance щелкните Создать политику.
  2. Введите имя политики и выберите целевой объект, к которому она будет применена. Нажмите кнопку Далее.
  3. На вкладке «Сравнительные тесты» выберите все сравнительные тесты, которые нужно включить в политику, а затем щелкните Далее.
    Примечание: Если сравнительные тесты недоступны, возможно, следует загрузить содержимое, связанное соответствием нормативным требованиям. Чтобы обновить библиотеку безопасности и загрузить в нее содержимое, щелкните Администрирование > SecOps в боковом меню и выберите Содержимое, связанное с соответствием нормативным требованиям — SaltStack > Проверка обновлений.
  4. На вкладке «Проверки» выберите все проверки, которые необходимо включить в политику. Доступные проверки определяются сравнительными тестами, выбранными на шаге 3. Нажмите кнопку Далее.
  5. На вкладке «Переменные» введите или измените переменные по необходимости. Можно также принять значения по умолчанию (рекомендуется). Нажмите кнопку Далее.
  6. На странице расписания задайте частоту выполнения по расписанию и нажмите Сохранить.
  7. (Необязательно) Чтобы выполнить оценку сразу после сохранения политики, выберите Выполнить оценку при сохранении.
  8. Нажмите Сохранить.
    Политика сохранена. Если выбран параметр Выполнить оценку при сохранении, оценка выполняется сразу после сохранения.

Результаты

Политика соответствия сохранена и используется для выполнения оценки. Политику можно изменить, выбрав ее на главной странице и щелкнув Изменить политику.