若要使用 SaltStack SecOps Compliance 保護基礎結構資產安全,必須從定義原則開始。

SaltStack SecOps Compliance 提供不同的產業基準供您選擇,包括網際網路安全中心 (CIS) 等的檢查。每個基準包括一系列安全性檢查。可以選擇套用適用於指定基準的所有可用檢查,或僅使用部分可用檢查。使用部分檢查有助於根據您的基礎結構需求自訂 SaltStack SecOps Compliance,例如,修復指定檢查會造成中斷已知相依性的風險。

建立原則時,必須選取要套用原則的目標,以及要針對系統執行的基準和檢查。

若要直接連線至 SDK,請參閱 vRealize Automation SaltStack Config SecOps

目標

目標是指一或多個 Salt 主節點中的一組部屬節點,將為其套用工作的 Salt 命令。Salt 主節點的管理方式與部屬節點類似,如果正在執行部屬節點服務,也可以成為目標。建立原則並選取目標時,您將定義執行安全性檢查的節點。您可以選擇現有目標或建立新目標。

基準

SaltStack SecOps Compliance 透過按基準對安全性檢查進行分組,進而簡化定義安全性原則的過程。

基準是安全性檢查的類別。SaltStack SecOps Compliance 基準由公認的專家定義,而自訂基準將按照您自己的組織標準進行定義。可以使用基準協助建立一系列針對不同節點群組最佳化的不同原則。例如,您可以建立將 CIS 檢查套用至 Oracle Linux 部屬節點的 Oracle Linux 原則,以及將 CIS 檢查套用至 Windows 部屬節點的 Windows 原則。如需有關建立自訂內容的詳細資訊,請參閱建立自訂合規性元件

備註: 特別是對於 Windows Server 基準,某些基準的 CIS 內容 (以工具提示 註明) 散佈在三個不同的基準中:
  • 網域主節點內容
  • 成員內容
  • 網域主節點和成員內容
若要包括所有成員內容,則必須同時選取「成員」和「網域主節點和成員」的基準。

檢查

檢查是 SaltStack SecOps Compliance 評估合規性的安全標準。 SaltStack SecOps Compliance 程式庫會隨著安全標準的變更進行頻繁更新。除了 SaltStack SecOps Compliance 內容程式庫中包括的檢查之外,您還可以建立自己的自訂檢查。自訂檢查由 (custom-checks-user-icon) 指示,而不是 (built-in-checks-shield-icon)。如需有關建立自訂內容的詳細資訊,請參閱 建立自訂合規性元件。每項檢查包括多個資訊欄位。
資訊欄位 說明
說明 檢查的說明。
動作 修復期間執行的動作的說明。
中斷 僅用於內部測試。如需詳細資訊,請連絡管理員。
全域說明 檢查的詳細說明。
Osfinger 對其執行檢查的 osfinger 值清單。Osfinger 位於每個部屬節點的粒紋項目中,用於識別部屬節點的作業系統和主要發行版本。系統會針對作業系統、網域名稱、IP 位址、核心、作業系統類型、記憶體和其他系統內容收集粒紋。
設定檔 不同基準的組態設定檔清單。
基本原理 執行檢查的基本原理說明。
參考 基準之間的合規性交互參照。
修復 指示 SaltStack SecOps Compliance 是否能夠修復不合規節點的值,因為並非所有檢查都包括特定的可操作修復步驟。
修復 如何修復任何不合規系統的說明 (如適用)。
評分 CIS 基準評分值。評分的建議會影響目標的基準分數,而未評分的建議則不會影響該分數。True 表示已評分,False 表示未評分。
狀態檔案 將套用以執行檢查和後續修復 (如果適用) 的 Salt 狀態複本。
變數 SaltStack SecOps Compliance 中的變數可用於將值傳遞至構成安全性檢查的 Salt 狀態。為獲得最佳效果,請使用預設值。如需詳細資訊,請參閱〈如何使用 Salt 狀態〉
排程 從 [週期性]、[重複日期和時間]、[一次] 或 [Cron 運算式] 中選取排程頻率。還將提供其他選項,具體取決於排定的活動和所選排程頻率。
  • 週期性 - 設定重複排程的間隔,其中包括開始日期或結束日期、展開樹和並行工作數目上限等選填欄位。
  • 重複日期和時間 - 每週或每天重複排程,其中包括開始日期或結束日期以及並行工作數目上限等選填欄位。
  • 一次 - 設定一次執行工作的日期和時間。
  • Cron - 輸入 cron 運算式,以根據 Croniter 語法定義自訂排程。有關語法準則,請參閱 CronTab 編輯器。在定義自訂 cron 運算式時,請避免將工作間隔排程在 60 秒以內。
備註: 在排程編輯器中,「工作」和「評估」詞彙可互換使用。針對原則定義排程時,將僅排程評估,而不排程修復。
備註: 定義評估排程時,可以選擇 未排程 (隨選) 選項。如果選取此選項,則可以選擇執行一次性評估,而不定義任何排程。
備註: 透過按一下 新增免除,輸入免除原因,然後再次按一下 新增免除進行確認,可以免除檢查和部屬節點的修復。將略過對免除項目的修復。

程序

  1. SaltStack SecOps Compliance 首頁上,按一下建立原則
  2. 輸入原則名稱,然後選取要套用原則的目標。按下一步
  3. 在 [基準] 索引標籤上,選取要包括在原則中的所有基準,然後按下一步
    備註: 如果沒有可用的基準,則可能需要下載合規性內容。您可以透過按一下側邊功能表上的 管理 > SecOps,然後選取 合規性內容 - SaltStack > 檢查更新來更新內容並將其下載到安全性程式庫。
  4. 在 [檢查] 索引標籤中,選取要包括在原則中的所有檢查。可用的檢查由您在步驟 3 中選取的基準確定。按下一步
  5. 在 [變數] 索引標籤上,根據需要輸入或修改變數。您也可以選擇接受預設值 (建議)。按下一步
  6. 在排程頁面上,定義排程頻率,然後按一下儲存
  7. (可選) 若要在儲存原則後立即執行評估,請選取儲存時執行評估
  8. 按一下儲存
    將儲存原則。如果選取了 儲存時執行評估,則會在儲存後立即執行評估。

結果

合規性原則已儲存並用於執行評估。您可以透過從首頁中選取原則,然後按一下編輯原則來編輯原則。