SaltStack SecOps Compliance — это система обеспечения безопасности ИТ-инфраструктуры и соответствия стандартам, которая объединяет функции безопасности с ИТ-процессами на одной платформе. Ее библиотека безопасности содержит новейшие стандарты обеспечения безопасности, основанные на отраслевых рекомендациях по укреплению безопасности, например CIS и др. Данная система использует библиотеку не только для оценки уровня безопасности инфраструктуры, но и для немедленного исправления систем, которые не соответствуют требованиям.

Для использования SaltStack SecOps Compliance сначала определите политику, а затем сканируйте системы с учетом данной политики. Процесс сканирования обнаруживает не соответствующие требованиям системы и позволяет немедленно устранить проблемы. Кроме того, можно вводить исключения и задавать разрешения для пользователей, которые гарантируют, что все способы исправления корректно настроены для организации.

Примечание:

В этом разделе описывается способ использования SaltStack SecOps Compliance в пользовательском интерфейсе SaltStack Config. Однако SaltStack SecOps Compliance можно также использовать через API-интерфейс (RaaS). См. документацию по конечным точкам RPC в API-интерфейсе (RaaS) или обратитесь к администратору за помощью.

В SaltStack SecOps Compliance используются уникальные эффективные возможности управления конфигурацией и удаленного выполнения, позволяющие обеспечивать соответствие ресурсов инфраструктуры существующим нормативным требованиям благодаря применению разнообразных отраслевых сравнительных тестов безопасности. Данная подсистема интегрирована с SaltStack Config. Она позволяет применять меры безопасности с поддержкой масштабирования и одновременно учитывать настраиваемые исключения в соответствии с потребностями организации.

Политики

Для защиты ресурсов инфраструктуры с помощью SaltStack SecOps Compliance нужно в первую очередь определить политики. SaltStack SecOps Compliance предоставляет разнообразные отраслевые сравнительные тесты, включая проверки CIS и прочее. Дополнительные сведения об определении политик см. в разделе Создание политики.

Каждый сравнительный тест включает в себя целую коллекцию проверок системы безопасности. Можно выбрать режим, в котором применяются все доступные проверки для заданного сравнительного теста, или использовать только подмножество доступных проверок. Подмножество проверок удобно использовать для настройки подсистемы SaltStack SecOps Compliance для потребностей инфраструктуры, например если выполнение заданной проверки связан с риском нарушения известной зависимости. Дополнительные сведения о сравнительных тестах и проверках см. в разделе Политики соответствия требованиям.

Оценки и исправление

SaltStack SecOps Compliance использует политику соответствия в качестве основы для оценки уровня безопасности инфраструктуры. После каждой операции оценки SaltStack SecOps Compliance предоставляет отчет, где указываются все системы, не соответствующие требованиям, а также рекомендуемые исправления. См. раздел Выполнение оценки.

Примечание: SaltStack SecOps Compliance не вносит изменения во время оценки.

На основе результатов оценки можно исправить все не соответствующие требованиям узлы. Для удобства SaltStack SecOps Compliance позволяет устранить все проблемы сразу или исправить только подмножество узлов или проверок. Дополнительные сведения о процессе исправления см. в разделе Исправление всех проверок.

Настройка

Для настройки SaltStack SecOps Compliance с учетом потребностей организации некоторые проверки и узлы можно исключить из процесса исправления. Также можно указать значения переменных, чтобы задать более жесткие требования, чем определено в отраслевых стандартах. Дополнительные сведения об исключениях см. в разделе Добавление исключений.

Другим методом настройки является настройка разрешений, благодаря которым только определенные пользователи получают право вносить исправления, а другие могут выполнять оценку или определять политики. Это позволяет обеспечивать полный контроль над всеми выполняемыми действиями. Дополнительные сведения о разрешениях см. в разделе Роли и разрешения.

Создание политики

  1. На главной странице SaltStack SecOps Compliance щелкните Создать политику.
  2. Введите имя политики и выберите целевой объект, к которому нужно ее применить. Затем нажмите Далее.
    Примечание:

    Целевым объектом является группа служебных серверов, относящихся к одному главному серверу Salt или нескольким, для которой выполняется команда Salt данного задания. Главным сервером Salt также можно управлять как служебным сервером. Он может быть целевым объектом, если на нем выполняется служба Minion. Служебные серверы (minion) — это узлы, работающие под управлением службы Minion. Они могут прослушивать команды, поступающие с главного сервера (master) Salt, и выполнять запрашиваемые задачи. Дополнительные сведения см. в разделе Служебные серверы.

  3. На вкладке Сравнительные тесты выберите все сравнительные тесты, которые нужно включить в политику, а затем нажмите Далее.

    Если сравнительные тесты не отображаются, возможно, следует загрузить содержимое, связанное с обеспечением соответствия требованиям. См. Обновление библиотеки безопасности или обратитесь к администратору за помощью.

    Примечание:

    При работе со сравнительными тестами Windows Server внимательно проверьте содержимое, включенное в выбранные сравнительные тесты. Содержимое CIS для некоторых сравнительных тестов (отмеченное символом tooltip-icon) распределяется по трем разным сравнительным тестам следующим образом.

    • Содержимое главного сервера домена
    • Содержимое участников
    • Содержимое главного сервера домена и участников

    Это означает, что, если вы хотите включить все содержимое участников, необходимо выбрать сравнительные тесты как для категории «Участники», так и для категории «Главный сервер домена и участники».

  4. На вкладке Проверки выберите все проверки, которые необходимо включить в политику. Доступные проверки определяются выбранными сравнительными тестами.

    Чтобы отобразить дополнительные сведения о проверке, например описание и соответствующую процедуру исправления, щелкните значок с двойной стрелкой double-arrows-icon для открытия панели сведений.

    Для настраиваемых проверок отображается значок пользователя custom-checks-user-icon, а для проверок SaltStack — значок built-in-checks-shield-icon.

    Дополнительные сведения о проверках см. в разделе Политики соответствия требованиям.

    Для фильтрации списка нажмите кнопку Фильтр filter-icon. Чтобы удалить активные фильтры, нажмите кнопку Сбросить фильтры.

    Примечание:

    Если политика содержит много проверок, то в ходе оценки она может обрабатываться довольно долго. При этом может возникнуть задержка других процессов, например выполнения заданий, в SaltStack Config. Убедитесь, что включили только нужные вам проверки, и обратите внимание, что на выполнение масштабных операций оценки может потребоваться дополнительное время.

  5. Нажмите кнопку Далее.
  6. На вкладке Переменные введите или измените переменные нужным образом или примите значения по умолчанию. Затем нажмите Далее.
    Примечание:

    Вводимые значения определяют, как SaltStack SecOps Compliance будет выполнять выбранные проверки. Рекомендуется использовать значения по умолчанию. Дополнительные сведения о переменных см. в разделе Политики соответствия требованиям.

  7. На экране Расписание определите частоту выполнения по расписанию и нажмите Сохранить. Дополнительные сведения о настройке параметров расписания см. в разделе Политики соответствия требованиям.
  8. (Необязательно.) Выберите Выполнить оценку при сохранении.
  9. Нажмите Сохранить.

    Политика сохранена. Если выбрано выполнение оценки при сохранении, в этот момент запускается оценка.

Редактирование политики

  1. На главной странице SaltStack SecOps Compliance выберите политику, которую необходимо отредактировать.
  2. На экране политики щелкните Редактировать политику в верхнем правом углу.
  3. Внесите нужные изменения и нажмите кнопку Сохранить.

Обновление библиотеки безопасности

  1. Выберите Администрирование > SecOps в боковом меню.
  2. Выберите Содержимое для соответствия требованиям — SaltStack, щелкните Проверить наличие обновлений.

Выполнение оценки

Примечание:

Если политика содержит много проверок, то в ходе оценки она может обрабатываться довольно долго. При этом может возникнуть задержка других процессов, например выполнения заданий, в SaltStack Config. Обязательно учитывайте дополнительное время, необходимое для крупномасштабной оценки.

  1. На главной странице SaltStack SecOps Compliance выберите политику.
  2. На главной странице политики нажмите Выполнить оценку. Появится экран Действие.

    На экране Действие отображаются завершенные оценки, а также их состояние, идентификатор задания (JID) и другие сведения.

    Примечание:

    Во время оценки никакие изменения не вносятся. Все проблемы можно будет устранить позже. См. раздел Обработка всех проверок.

Просмотр результатов оценки

  1. На главной странице SaltStack SecOps Compliance выберите политику.
  2. На главной странице политики отображаются результаты последней оценки, которая была предусмотрена проверкой.

    Для фильтрации списка нажмите кнопку Фильтр filter-icon. Чтобы удалить активные фильтры, нажмите кнопку Сбросить фильтры.

    Также можно выбрать заголовок столбца для сортировки результатов. Например, можно отсортировать столбец «Не соответствуют», чтобы в нем сначала отображались не соответствующие требованиям узлы.

    Можно перейти на вкладку Служебные серверы, чтобы увидеть результаты оценки служебных серверов.

    Примечание:

    Прежде чем просмотреть результаты оценки, необходимо выполнить оценку. См. раздел Выполнение оценки.

Общие сведения о результатах оценки

Справочные сведения о результатах оценки см. в разделе Результаты оценки.

Загрузка отчета по результатам оценки

  1. На главной странице SaltStack SecOps Compliance выберите политику для просмотра результатов последней оценки.
  2. На главной странице политики перейдите на вкладку Отчет и нажмите Загрузить.
  3. В раскрывающемся меню выберите JSON.

    Веб-браузер начинает загружать отчет.

Обработка всех проверок

После выявления не соответствующих требованиям систем их необходимо исправить. Можно исправлять проблемы, выявленные в ходе отдельных проверок или на отдельных узлах (называемых служебными серверами), либо обрабатывать результаты всех проверок на всех узлах. Однако если запустить команду Устранить все, исключенные проверки или узлы не будут обработаны.

Чтобы исправить результаты всех проверок на всех служебных серверах, выполните следующее.

  1. На главной странице SaltStack SecOps Compliance выберите политику для просмотра результатов последней оценки.
  2. На вкладке Проверки щелкните Устранить все в верхнем правом углу.
  3. В диалоговом окне подтверждения щелкните Устранить все.

    SaltStack SecOps Compliance начинает процедуру исправления всех проверок на всех не соответствующих требованиям узлах. Состояние процесса исправления можно отслеживать на вкладке Действие.

  4. После завершения процесса исправления запустите новую оценку и убедитесь, что системы соответствуют требованиям.
    Примечание:

    Чтобы обеспечить полное соответствие требованиям, может потребоваться повторить процесс исправления и сканирования несколько раз, особенно в том случае, если была выполнена команда Устранить все для большого количества проверок с результатами, не соответствующими требованиям. Это объясняется тем, что некоторые проверки зависят от завершения других проверок. Например, для корректного исправления какой-то одной проверки может требоваться пакет, развернутый другой проверкой.

Исправление проверки

  1. На экране политики выберите проверку, чтобы открыть ее описание.
  2. Прокрутите вниз описание проверки, чтобы увидеть список результатов последней оценки. Результаты упорядочены по служебным серверам.

    Если в заголовке столбца имеется значок фильтра filter-icon, результаты можно отфильтровать по этому столбцу. Щелкните значок и выберите в меню параметр фильтра или введите текст. Чтобы удалить активные фильтры, нажмите кнопку Сбросить фильтры.

  3. Выберите все служебные серверы, которые нужно исправить для активной проверки.
  4. Щелкните Устранить.

Обработка отдельного служебного сервера

  1. На экране политики перейдите на вкладку Служебные серверы и выберите служебный сервер.
  2. Выберите все проверки, которые необходимо исправить для данного служебного сервера.

    Если в заголовке столбца имеется значок фильтра filter-icon, результаты можно отфильтровать по этому столбцу. Щелкните значок и выберите в меню параметр фильтра или введите текст. Чтобы удалить активные фильтры, нажмите кнопку Сбросить фильтры.

  3. Щелкните Устранить.

Добавление исключений

  1. На экране политики выберите проверки, которые необходимо исключить из процесса исправления.
  2. Нажмите кнопку Добавить исключение.
  3. Введите причину исключения и для подтверждения нажмите кнопку Добавить исключение. Впоследствии эти исключения при необходимости можно удалить.

    Исключенные элементы не будут исправляться. Если исправление выполняется в соответствии с политикой, в которую входит исключенный элемент, этот элемент не исправляется.

    Примечание:

    Исключение можно добавить до выполнения оценки или после него. Также можно определить настроенную политику, которая исключает проверки на основе текущих потребностей. См. раздел Создание политики.

Добавление исключений для отдельных служебных серверов

  1. На экране политики перейдите на вкладку Служебные серверы.
  2. Выберите служебные серверы, которые нужно исключить из процесса исправления.
  3. Нажмите кнопку Добавить исключение.
  4. Введите причину исключения и для подтверждения нажмите кнопку Добавить исключение. Впоследствии эти исключения при необходимости можно удалить.

    Исключенные элементы не будут исправляться. Если исправление выполняется в соответствии с политикой, в которую входит исключенный элемент, этот элемент не исправляется.

Удаление исключения

  1. На экране политики перейдите на вкладку Исключения.
  2. Прокрутите страницу вверх и вниз, чтобы просмотреть весь список исключений.
    Примечание:

    При первом открытии вкладки Исключения исключения могут отображаться на экране не все. Чтобы увидеть все исключения, прокрутите экран вниз до конца.

  3. Щелкните раскрывающееся меню исключения, которое нужно удалить.
    exemption-minion-dropdown

    Появляется список всех связанных с ним служебных серверов.

  4. Нажмите кнопку Удалить исключение.
    exemption-minion-dropdown-open
  5. В диалоговом окне подтверждения нажмите кнопку Удалить исключение.

Определение разрешений в SaltStack SecOps Compliance

Чтобы изменить разрешения в SaltStack SecOps Compliance, перейдите в редактор разрешений. Дополнительные сведения о ролях и разрешениях в SaltStack Config см. в разделе Роли и разрешения.

Библиотека содержимого в SaltStack SecOps Compliance

Библиотека содержимого в SaltStack SecOps Compliance содержит предварительно созданное содержимое по обеспечению безопасности и соответствия требованиям, которое основано на отраслевых рекомендациях и включает в себя следующее.

  • CIS
Примечание: Библиотека безопасности обновляется автоматически по мере изменения стандартов обеспечения безопасности.

Политики соответствия требованиям

Политики соответствия требованиям — это наборы проверок безопасности и описания распределения проверок по узлам в SaltStack SecOps Compliance. Политики также могут содержать расписания и спецификации для обработки исключений.

Ниже приведено подробное описание всех компонентов политики безопасности.

Целевой объект

Целевым объектом является группа служебных серверов, относящихся к одному главному серверу Salt или нескольким, для которой выполняется команда Salt данного задания. Главным сервером Salt также можно управлять как служебным сервером. Он может быть целевым объектом, если на нем выполняется служба Minion. При выборе целевого объекта в SaltStack SecOps Compliance необходимо определить узлы, для которых нужно выполнить проверки системы безопасности. Можно выбрать существующий целевой объект или создать новый. Дополнительные сведения см. в разделе Служебные серверы.

Сравнительные тесты

Сравнительные тесты относятся к проверкам системы безопасности. Сравнительные тесты SaltStack SecOps Compliance составляются признанными экспертами, а настраиваемые сравнительные тесты могут быть определены на основе стандартов конкретной организации. Сравнительные тесты можно использовать при создании разных политик, оптимизированных для различных групп узлов. Например, можно создать политику Oracle Linux, которая будет применять проверки CIS к служебным серверам Oracle Linux, и политику Docker, которая будет применять проверки CIS к служебным серверам Docker.

Дополнительные сведения о создании настраиваемых проверок и сравнительных тестов см. в разделе Настраиваемое содержимое SaltStack SecOps Compliance.

SaltStack SecOps Compliance позволяет упростить процесс определения политики безопасности путем группирования проверок системы безопасности применительно к сравнительному тесту.

Проверки

Проверка представляет собой стандарт обеспечения безопасности, который система SaltStack SecOps Compliance оценивает на предмет соответствия требованиям. Библиотека SaltStack SecOps Compliance регулярно обновляет проверки по мере изменения стандартов обеспечения безопасности. В дополнение к проверкам в составе библиотеки содержимого SaltStack SecOps Compliance можно создавать свои настраиваемые проверки. Для настраиваемых проверок отображается значок пользователя custom-checks-user-icon, а для проверок SaltStack — значок built-in-checks-shield-icon. Дополнительные сведения о создании настраиваемых проверок и сравнительных тестов см. в разделе Настраиваемое содержимое SaltStack SecOps Compliance.

Каждая проверка содержит следующие информационные поля.

Примечание: Некоторые из следующих полей определены для каждой проверки, в то время как другие поля определены для одного сравнительного теста или нескольких.
Описание
Краткое описание проверки.
Действие
Краткое описание действия, которое будет выполняться при исправлении.
Прерывание
Используется только для внутреннего тестирования. Дополнительные сведения можно получить у администратора.
Глобальное описание
Подробное описание проверки.
Osfinger
Список значений osfinger, для которых выполняется проверка. osfinger находится в объекте grains.items каждого служебного сервера. Он идентифицирует операционную систему служебного сервера и новую версию выпуска. Параметры grain представляют собой интерфейс, который выводит сведения о базовой системе. Собираемые параметры grains относятся к таким свойствам системы, как операционная система, имя домена, IP-адрес, ядро, тип ОС, память и многие другие. Дополнительные сведения о параметрах grain см. в документе Справочник по параметрам grain в Salt.
Профиль
Список профилей конфигурации для различных сравнительных тестов. Эти профили конфигурации созданы для различных ролей компьютера в среде (например, на сервере или рабочей станции) и разных уровней безопасности в отличие от обычных принципов использования.
Обоснование
Текстовое обоснование для создания проверки. Оно содержит причины создания проверки.
Справочные материалы
Перекрестные ссылки соответствия требованиям между сравнительными тестами.
Исправление
(Содержится не во всех проверках). Значение, которое указывает, может ли SaltStack SecOps Compliance исправить не соответствующие рекомендациям узлы, так как не все проверки содержат специализированные операции по исправлению с практическими инструкциями. Например, SaltStack SecOps Compliance не обрабатывает CIS 1.1.6: убедитесь в наличии отдельного раздела для /var, так как универсального метода для повторного сегментирования систем не существует. False означает, что проверку нельзя обработать. Если значение — True (значение по умолчанию), это поле не отображается.
Исправление
Описание способа исправления любых не соответствующих рекомендациям систем, если применимо. Следует отметить, что некоторые проверки не содержат специализированные операции по исправлению с практическими инструкциями. См. «Исправить» выше.
С балльной оценкой
Значение в баллах для сравнительного теста CIS. Рекомендации с балльной оценкой влияют на балльную оценку сравнительного теста целевого объекта, а рекомендации без балльной оценки не влияют. True означает «с балльной оценкой», а False — «без балльной оценки».
Файл состояния
Копия состояния Salt, которое будет применено для выполнения проверки и, если применимо, последующего исправления.

Переменные

Переменные в SaltStack SecOps Compliance используются для передачи значений в состояния Salt, которые служат основой для проверок системы безопасности. Для получения оптимальных результатов используйте предоставленные значения по умолчанию.

Дополнительные сведения о состояниях Salt см. в учебнике по состояниям Salt.

Расписания

Примечание: В редакторе расписаний термины «задание» и «оценка» являются взаимозаменяемыми. При определении расписания для политики в расписание включается только процесс оценки (исправление не включается).

Для указания частоты выполнения по расписанию используйте Повторяется, Дата и время повтора, Однократно или Выражение Cron. Имеются дополнительные варианты, которые зависят от запланированного действия и указанной частоты выполнения по расписанию.

Повторяется
Укажите интервал для повтора расписания с дополнительными полями даты начала или завершения, области расширения и максимального количества параллельных заданий.
Дата и время повтора
Укажите режим повтора расписания (eженедельно или eжедневно) с дополнительными полями даты начала или завершения и максимального количества параллельных заданий.
Однократно
Укажите дату и время запуска задания.
Cron
Введите выражение Cron, чтобы определить настраиваемое расписание на основании синтаксиса Croniter. Описание синтаксиса см. в разделе Редактор CronTab. Для получения оптимальных результатов при определении настраиваемого выражения Cron не планируйте задания, которые отличаются по времени запуска менее чем на 60 секунд.
Примечание: При определении расписания оценки можно использовать дополнительный параметр Не запланировано (по требованию). В случае использования этого параметра предусматривается выполнение однократной оценки и расписание не устанавливается.

Состояние действия

На главной странице политики на вкладке «Действие» отображается список завершенных или выполняющихся оценок и исправлений. Здесь могут отображаться следующие состояния.

Состояние Описание
В очереди Операция готова к запуску, но служебные серверы еще не приняли задачу, чтобы начать операцию.
Завершено Выполнение операции завершено.
Частично Операция по-прежнему ожидает ответа некоторых служебных серверов, хотя главный сервер Salt сообщил, что выполнение операции завершено. Служебные серверы (minion) — это узлы, работающие под управлением службы Minion. Они могут прослушивать команды, поступающие с главного сервера (master) Salt, и выполнять запрашиваемые задачи. Главный сервер Salt представляет собой центральный узел, используемый для отправки команд на служебные серверы.

Все действия в SaltStack Config, включая оценки и исправления, можно отслеживать в SaltStack Config в главной рабочей области «Действие». См. раздел Действие.

Результаты оценки

Ниже приведены полезные общие сведения о результатах оценки. Дополнительные сведения о способе доступа к результатам оценки см. в разделе Просмотр результатов оценки.

Возвращаемые состояния

После исправления система SaltStack SecOps Compliance присваивает каждой системе одно из следующих возвращаемых состояний.

Соответствует
Параметр находится в состоянии, предусмотренном стандартом или сравнительным тестом.
Не соответствует
Параметр не находится в состоянии, предусмотренном стандартом или сравнительным тестом. Рекомендуется выполнить последующий анализ и возможное исправление.
Неприменимо
Параметр неприменим к этой системе, например, если выполняется проверка CentOS в AIX.
Неизвестно
Оценка или исправления не выполнялись.
Ошибка
В SaltStack SecOps Compliance произошла ошибка при выполнении оценки или исправления.