若要使用 Automation for Secure Hosts Compliance 保護基礎結構資產安全,必須從定義原則開始。
Automation for Secure Hosts Compliance 提供不同的產業基準供您選擇,包括網際網路安全中心 (CIS) 等的檢查。每個基準包括一系列安全性檢查。可以選擇套用適用於指定基準的所有可用檢查,或僅使用部分可用檢查。使用部分檢查有助於根據您的基礎結構需求自訂 Automation for Secure Hosts Compliance,例如,修復指定檢查會造成中斷已知相依性的風險。
建立原則時,必須選取要套用原則的目標,以及要針對系統執行的基準和檢查。
若要直接連線到 SDK,請參閱 Automation for Secure Hosts。
目標
目標是指一或多個 Salt 主節點中的一組部屬節點,將為其套用工作的 Salt 命令。Salt 主節點的管理方式與部屬節點類似,如果正在執行部屬節點服務,也可以成為目標。建立原則並選取目標時,您將定義執行安全性檢查的節點。您可以選擇現有目標或建立新目標。
基準
Automation for Secure Hosts Compliance 透過按基準對安全性檢查進行分組,進而簡化定義安全性原則的過程。
基準是安全性檢查的類別。Automation for Secure Hosts Compliance 基準由公認的專家定義,而自訂基準將按照您自己的組織標準進行定義。可以使用基準協助建立一系列針對不同節點群組最佳化的不同原則。例如,您可以建立將 CIS 檢查套用至 Oracle Linux 部屬節點的 Oracle Linux 原則,以及將 CIS 檢查套用至 Windows 部屬節點的 Windows 原則。如需有關建立自訂內容的詳細資訊,請參閱建立自訂合規性元件。
註明) 散佈在三個不同的基準中:
- 網域主節點內容
- 成員內容
- 網域主節點和成員內容
檢查
(custom-checks-user-icon) 指示,而不是
(built-in-checks-shield-icon)。如需有關建立自訂內容的詳細資訊,請參閱
建立自訂合規性元件。每項檢查包括多個資訊欄位。
| 資訊欄位 | 說明 |
|---|---|
| 說明 | 檢查的說明。 |
| 動作 | 修復期間執行的動作的說明。 |
| 中斷 | 僅用於內部測試。如需詳細資訊,請連絡管理員。 |
| 全域說明 | 檢查的詳細說明。 |
| Osfinger | 對其執行檢查的 osfinger 值清單。Osfinger 位於每個部屬節點的粒紋項目中,用於識別部屬節點的作業系統和主要發行版本。系統會針對作業系統、網域名稱、IP 位址、核心、作業系統類型、記憶體和其他系統內容收集粒紋。 |
| 設定檔 | 不同基準的組態設定檔清單。 |
| 基本原理 | 執行檢查的基本原理說明。 |
| 參考 | 基準之間的合規性交互參照。 |
| 修復 | 指示 Automation for Secure Hosts Compliance 是否能夠修復不合規節點的值,因為並非所有檢查都包括特定的可操作修復步驟。 |
| 修復 | 如何修復任何不合規系統的說明 (如適用)。 |
| 評分 | CIS 基準評分值。評分的建議會影響目標的基準分數,而未評分的建議則不會影響該分數。True 表示已評分,False 表示未評分。 |
| 狀態檔案 | 將套用以執行檢查和後續修復 (如果適用) 的 Salt 狀態複本。 |
| 變數 | Automation for Secure Hosts Compliance 中的變數可用於將值傳遞至構成安全性檢查的 Salt 狀態。為獲得最佳效果,請使用預設值。如需詳細資訊,請參閱〈如何使用 Salt 狀態〉。 |
| 排程 | 從 [週期性]、[重複日期和時間]、[一次] 或 [Cron 運算式] 中選取排程頻率。還將提供其他選項,具體取決於排定的活動和所選排程頻率。
備註: 在排程編輯器中,「工作」和「評估」詞彙可互換使用。針對原則定義排程時,將僅排程評估,而不排程修復。
備註: 定義評估排程時,可以選擇
未排程 (隨選) 選項。如果選取此選項,則可以選擇執行一次性評估,而不定義任何排程。
|
程序
- 在 Automation for Secure Hosts Compliance 首頁上,按一下建立原則。
結果
合規性原則已儲存並用於執行評估。您可以透過從首頁中選取原則,然後按一下編輯原則來編輯原則。
