Для защиты ресурсов инфраструктуры с помощью SaltStack SecOps Compliance необходимо в первую очередь определить политики.
В SaltStack SecOps Compliance на выбор предоставляются разнообразные отраслевые сравнительные тесты, включая проверки Центра Интернет-безопасности (CIS). Каждый сравнительный тест включает в себя целую коллекцию проверок системы безопасности. Можно выбрать режим, в котором применяются все доступные проверки для заданного сравнительного теста, или использовать только подмножество доступных проверок. Подмножество проверок удобно использовать для настройки подсистемы SaltStack SecOps Compliance для потребностей инфраструктуры, например если выполнение заданной проверки связан с риском нарушения известной зависимости.
При создании политики необходимо выбрать ее целевой объект, а также сравнительные тесты и проверки, которые будут проводиться в системе.
Сведения о прямом подключении к пакету SDK см. в разделе vRealize Automation SaltStack Config SecOps.
Целевой объект
Целевым объектом является группа служебных серверов, относящихся к одному главному серверу Salt или нескольким, для которой выполняется команда Salt данного задания. Главным сервером Salt можно управлять, как служебным сервером. Он может быть целевым объектом, если на нем запущена служба служебного сервера. При создании политики и выборе целевого объекта необходимо определить узлы, для которых будут выполняться проверки безопасности. Можно выбрать существующий целевой объект или создать новый.
Сравнительные тесты
SaltStack SecOps Compliance упрощает процесс определения политики безопасности путем группирования проверок безопасности по сравнительным тестам.
Сравнительные тесты являются категорией проверок безопасности. Сравнительные тесты SaltStack SecOps Compliance составляются признанными экспертами, а настраиваемые сравнительные тесты могут быть определены на основе стандартов конкретной организации. Сравнительные тесты можно использовать при создании разных политик, оптимизированных для различных групп узлов. Например, можно создать политику Oracle Linux, которая будет применять проверки CIS к служебным серверам Oracle Linux, и политику Windows, которая будет применять проверки CIS к служебным серверам Windows. Дополнительные сведения о создании настраиваемого содержимого см. в разделе Создание настраиваемого содержимого, связанного с соответствием нормативным требованиям.
- Содержимое главного сервера домена
- Содержимое участников
- Содержимое главного сервера домена и участников
Проверки
Информационное поле | Описание |
---|---|
Описание | Описание проверки. |
Действие | Описание действия, которое выполняется во время исправления. |
Прерывание | Используется только для внутреннего тестирования. Дополнительные сведения можно получить у администратора. |
Глобальное описание | Подробное описание проверки. |
Osfinger | Список значений osfinger, для которых выполняется проверка. Параметр osfinger находится в параметрах grains каждого служебного сервера. Он используется для идентификации операционной системы служебного сервера и основной версии. Собираемые параметры grains относятся к таким свойствам системы, как операционная система, имя домена, IP-адрес, ядро, тип ОС, память и многие другие. |
Профиль | Список профилей конфигурации для различных сравнительных тестов. |
Обоснование | Текстовое обоснование для создания проверки. |
Справочные материалы | Перекрестные ссылки соответствия требованиям между сравнительными тестами. |
Исправление | Значения, которые указывают, может ли SaltStack SecOps Compliance исправить несоответствующие нормативным требованиям узлы, так как не все проверки содержат специализированные операции по исправлению с практическими инструкциями. |
Исправление | Описание способа исправления любых несоответствующих нормативным требованиям систем, если применимо. |
С балльной оценкой | Значение в баллах для сравнительного теста CIS. Рекомендации с балльной оценкой влияют на балльную оценку сравнительного теста целевого объекта, а рекомендации без балльной оценки не влияют. True означает «с балльной оценкой», а False — «без балльной оценки». |
Файл состояния | Копия состояния Salt, которое будет применено для выполнения проверки и, если применимо, последующего исправления. |
Переменные | Переменные в SaltStack SecOps Compliance, используемые для передачи значений в состояния Salt, которые служат основой для проверок безопасности. Для достижения наилучших результатов используйте значения по умолчанию. Дополнительные сведения см. в разделе Использование состояний Salt. |
Расписания | Для указания частоты выполнения по расписанию выберите один из следующих параметров: «Повторяется», «Дата и время повтора», «Однократно» или «Выражение Cron». Имеются дополнительные варианты, которые зависят от запланированного действия и указанной частоты выполнения по расписанию.
Примечание: В редакторе расписаний термины «задание» и «оценка» являются взаимозаменяемыми. При определении расписания для политики в расписание включается только процесс оценки (исправление не включается).
Примечание: При определении расписания оценки можно использовать параметр
Не запланировано (по требованию). В случае использования этого параметра предусматривается выполнение однократной оценки и расписание не устанавливается.
|
Процедура
Результаты
Политика соответствия сохранена и используется для выполнения оценки. Политику можно изменить, выбрав ее на главной странице и щелкнув Изменить политику.