SaltStack SecOps Compliance 是 IT 基礎結構安全性和合規性解決方案,它將安全性與 IT 作業全部結合在單一平台中。其安全性程式庫包含以業界最佳做法強化指南為基礎的最新安全標準,例如 CIS 等。它使用程式庫不僅可以評估基礎結構安全性,還可以立即修復不合規的系統。

若要使用 SaltStack SecOps Compliance,請先定義一個原則,然後對照該原則掃描系統。掃描會偵測不合規的系統並允許您立即修復問題。此外,還可以輸入免除並指定使用者權限,以確保已根據組織需求自訂所有修復路徑。

備註:

本節說明了如何在 SaltStack Config 使用者介面中使用 SaltStack SecOps Compliance。但是,也可以透過 API (RaaS) 使用 SaltStack SecOps Compliance。請參閱 API (RaaS) RPC 端點說明文件,或連絡管理員以尋求協助。

SaltStack SecOps Compliance 利用 Salt 強大的組態管理和遠端執行功能,使您的所有基礎結構資產均符合一系列業界範圍的安全性基準。它與 SaltStack Config 整合以大規模地套用安全性措施,同時根據組織需求遵守自訂免除。

原則

若要使用 SaltStack SecOps Compliance 保護基礎結構資產安全,請從定義原則開始。SaltStack SecOps Compliance 提供不同的產業基準供您選擇,包括 CIS 等的檢查。如需有關定義原則的詳細資訊,請參閱〈建置原則〉

每個基準包括一系列安全性檢查。可以選擇套用適用於指定基準的所有可用檢查,或僅使用部分可用檢查。使用部分檢查有助於根據您的基礎結構需求自訂 SaltStack SecOps Compliance,例如,修復指定檢查會造成中斷已知相依性的風險。如需有關基準和檢查的詳細資訊,請參閱合規性原則

評估和修復

SaltStack SecOps Compliance 使用合規性原則作為評估基礎結構安全性的基礎。每次評估後,SaltStack SecOps Compliance 會提供一份報告,其中反白顯示了任何不合規的系統以及建議的修復。請參閱〈執行評估〉

備註: SaltStack SecOps Compliance 不會在評估期間進行任何變更。

評估後,可以修復任何不合規的節點。為了方便起見,SaltStack SecOps Compliance 允許一次修復節點或檢查,或僅修復部分節點或檢查。如需有關修復的詳細資訊,請參閱〈修復所有檢查〉

自訂

若要根據組織需求自訂 SaltStack SecOps Compliance,可使某些檢查和節點免於修復。也可以插入變數值,以強制執行比業界標準更嚴格的需求。如需有關免除的詳細資訊,請參閱〈新增免除〉

另一個自訂方法是將使用者權限設定為僅允許特定使用者進行修復,同時允許其他使用者評估或定義原則。這樣一來,便可以對採取的每個動作進行完全控制。如需有關權限的詳細資訊,請參閱〈角色和權限〉

建置原則

  1. SaltStack SecOps Compliance 首頁中,按一下建立原則
  2. 輸入原則名稱,然後選取要將原則套用到的目標。然後,按下一步
    備註:

    目標是指一或多個 Salt 主節點中的一組部屬節點,將為其套用工作的 Salt 命令。Salt 主節點也可以像部屬節點一樣進行管理,如果正在執行部屬節點服務,也可以成為目標。部屬節點是執行部屬節點服務的節點,可以接聽 Salt 主節點的命令並執行請求的工作。如需詳細資訊,請參閱〈部屬節點〉

  3. 基準索引標籤中,選取要包括在原則中的所有基準,然後按下一步

    如果未顯示任何基準,則可能需要下載合規性內容。請參閱更新安全性程式庫,或連絡管理員以尋求協助。

    備註:

    使用 Windows Server 基準時,請務必密切查看所選基準中包括的內容。某些基準的 CIS 內容 (以工具提示 tooltip-icon 註明) 會按如下方式散佈在三個不同的基準中:

    • 網域主節點內容
    • 成員內容
    • 網域主節點和成員內容

    這意味著,若要包括所有成員內容,則必須同時選取「成員」和「網域主節點和成員」的基準。

  4. 檢查索引標籤中,選取要包括在原則中的所有檢查。可用的檢查取決於所選基準。

    若要查看有關檢查的更多詳細資料 (例如說明和相關聯的修復),請按一下雙箭頭圖示 double-arrows-icon 以開啟詳細資料窗格。

    與 SaltStack 檢查 built-in-checks-shield-icon 不同,自訂檢查包括使用者圖示 custom-checks-user-icon

    如需有關瞭解檢查的詳細資訊,請參閱合規性原則

    若要篩選清單,請按一下篩選器按鈕 filter-icon。可以透過按一下清除篩選器來移除作用中篩選器。

    備註:

    包括許多檢查的原則可能會導致評估期間的處理時間過長。此外,還可能會延遲 SaltStack Config 中的其他程序,例如執行中的工作。請務必僅包括您需要的檢查,並且考慮到執行大規模評估所需的額外時間。

  5. 下一步
  6. 變數索引標籤中,根據需求輸入或修改變數,或接受預設值。然後,按下一步
    備註:

    輸入的值將定義 SaltStack SecOps Compliance 執行所選檢查的方式。建議使用預設值。如需有關變數的詳細資訊,請參閱合規性原則

  7. 排程畫面中,定義排程頻率,然後按一下儲存。如需有關定義排程設定的詳細資訊,請參閱合規性原則
  8. (可選) 選取儲存時執行評估
  9. 按一下儲存

    此原則現已儲存。如果選擇在儲存時執行評估,則評估目前正在執行中。

編輯原則

  1. SaltStack SecOps Compliance 首頁中,選取要編輯的原則。
  2. 在原則畫面中,按一下右上角的編輯原則
  3. 視需要編輯原則,然後按一下儲存

更新安全性程式庫

  1. 按一下側邊功能表上的管理 > SecOps
  2. 合規性內容 - SaltStack 下,按一下檢查更新

執行評估

備註:

包括許多檢查的原則可能會導致評估期間的處理時間過長。此外,還可能會延遲 SaltStack Config 中的其他程序,例如執行中的工作。請務必考慮到執行大規模評估所需的額外時間。

  1. SaltStack SecOps Compliance 首頁中,選取原則。
  2. 在原則首頁中,按一下執行評估。此時將開啟活動畫面。

    將在活動畫面中列出已完成的評估及其狀態、工作識別碼 (JID) 和其他資訊。

    備註:

    在評估期間不會進行任何變更。可以稍後修復任何問題。請參閱〈修復所有檢查〉

檢視評估結果

  1. SaltStack SecOps Compliance 首頁中,選取原則。
  2. 原則首頁會顯示最新評估的結果,並按檢查進行組織整理。

    若要篩選清單,請按一下篩選器按鈕 filter-icon。可以透過按一下清除篩選器來移除作用中篩選器。

    此外,還可以選取資料行標題以對結果進行排序,例如,可以排序 [不合規] 資料行,以先檢視不合規的節點。

    可以選取部屬節點索引標籤,依部屬節點檢視評估結果。

    備註:

    必須先執行評估,然後才能檢視評估結果。請參閱〈執行評估〉

瞭解評估結果

有關評估結果參考,請參閱評估結果

下載評估報告

  1. SaltStack SecOps Compliance 首頁中,選取一個原則以檢視最新評估結果。
  2. 在原則首頁中,移至報告索引標籤,然後按一下下載
  3. 在產生的下拉式功能表中,選取 JSON

    您的網頁瀏覽器隨即開始下載報告。

修復所有檢查

識別出不合規的系統後,下一步是進行修復。可以選擇修復個別檢查或節點 (稱為部屬節點),也可以選擇對所有節點修復所有檢查。但是,執行全部修復時,不會修復任何免除的檢查或節點。

對所有部屬節點修復所有檢查:

  1. SaltStack SecOps Compliance 首頁中,選取一個原則以檢視最新評估結果。
  2. 檢查索引標籤中,按一下右上角的全部修復
  3. 在確認對話方塊中,按一下全部修復

    SaltStack SecOps Compliance 隨即開始對所有不合規的節點修復所有檢查。可以在活動索引標籤中追蹤修復的狀態。

  4. 修復完成後,執行新評估以確認系統現在是否合規。
    備註:

    若要實現完全合規性,可能需要重複執行修復和掃描程序多次,尤其是在針對許多不合規的檢查執行了全部修復的情況下。這是因為某些檢查取決於其他檢查的完成情況。例如,一項檢查可能需要使用由另一項檢查部署的套件,才能進行正確修復。

依檢查修復

  1. 在原則畫面中,選取一項檢查以開啟檢查說明。
  2. 向下捲動,跳過檢查說明,前往上次評估的結果清單。結果依部屬節點進行排序。

    如果資料行標頭包含篩選器圖示 filter-icon,可依該資料行類型篩選結果。按一下圖示,然後從功能表中選取篩選器選項,或輸入要作為篩選依據的文字。可以透過按一下清除篩選器來移除作用中篩選器。

  3. 選取要針對作用中檢查進行修復的所有部屬節點。
  4. 按一下修復

依部屬節點進行修復

  1. 在原則畫面中,移至部屬節點索引標籤,然後選取部屬節點。
  2. 選取要針對作用中部屬節點進行修復的所有檢查。

    如果資料行標頭包含篩選器圖示 filter-icon,可依該資料行類型篩選結果。按一下圖示,然後從功能表中選取篩選器選項,或輸入要作為篩選依據的文字。可以透過按一下清除篩選器來移除作用中篩選器。

  3. 按一下修復

新增免除

  1. 在原則畫面中,選取要免於修復的檢查。
  2. 按一下新增免除
  3. 輸入免除原因,然後按一下新增免除以進行確認。如果需要,稍後可以隨時移除免除。

    將不會修復已免除的項目。如果根據包含已免除項目的原則執行修復,該項目會略過修復。

    備註:

    可以在執行評估前後新增免除。也可以定義自訂原則,以根據您的需求排除檢查。請參閱〈建置原則〉

依部屬節點新增免除

  1. 在原則畫面中,移至部屬節點索引標籤。
  2. 選取要免於修復的部屬節點。
  3. 按一下新增免除
  4. 輸入免除原因,然後按一下新增免除以進行確認。如果需要,稍後可以隨時移除免除。

    將不會修復已免除的項目。如果根據包含已免除項目的原則執行修復,該項目會略過修復。

移除免除

  1. 在原則畫面中,移至免除索引標籤。
  2. 上下捲動頁面以檢視所有免除的清單。
    備註:

    第一次開啟免除索引標籤時,畫面之外可能存在更多免除。繼續捲動至畫面底部以檢視所有免除。

  3. 按一下要移除之免除所對應的下拉式功能表。
    exemption-minion-dropdown

    這將會開啟所有受影響部屬節點的清單。

  4. 按一下移除免除
    exemption-minion-dropdown-open
  5. 在確認對話方塊中,按一下移除免除

定義 SaltStack SecOps Compliance 權限

前往權限編輯器修改 SaltStack SecOps Compliance 權限。如需有關 SaltStack Config 角色和權限的詳細資訊,請參閱〈角色和權限〉

SaltStack SecOps Compliance 內容程式庫

SaltStack SecOps Compliance 內容程式庫包含預先建置的業界最佳做法安全性和合規性內容,其中包括:

  • CIS
備註: 安全性程式庫會隨著安全標準的變更進行自動更新。

合規性原則

合規性原則是 SaltStack SecOps Compliance 中的安全性檢查以及節點套用每項檢查所依據的規格的集合。原則還可以包括排程以及處理免除的規格。

下面詳細說明了安全性原則的每個元件。

目標

目標是指一或多個 Salt 主節點中的一組部屬節點,將為其套用工作的 Salt 命令。Salt 主節點也可以像部屬節點一樣進行管理,如果正在執行部屬節點服務,也可以成為目標。在 SaltStack SecOps Compliance 中選擇目標時,需要定義要對其執行安全性檢查的節點。您可以選擇現有目標或建立新目標。如需詳細資訊,請參閱〈部屬節點〉

基準

基準是安全性檢查的類別。SaltStack SecOps Compliance 基準由公認的專家定義,而自訂基準可以按照您自己的組織標準進行定義。可以使用基準協助建立一系列針對不同節點群組最佳化的不同原則。例如,您可以建立將 CIS 檢查套用至 Oracle Linux 部屬節點的 Oracle Linux 原則,以及將 CIS 檢查套用至 Docker 部屬節點的 Docker 原則。

如需有關建立自訂檢查和基準的詳細資訊,請參閱〈SaltStack SecOps Compliance 自訂內容〉

SaltStack SecOps Compliance 透過按基準對安全性檢查進行分組,有助於簡化定義安全性原則的過程。

檢查

檢查是 SaltStack SecOps Compliance 評估合規性的安全標準。SaltStack SecOps Compliance 程式庫會隨著安全標準的變更進行頻繁更新。除了 SaltStack SecOps Compliance 內容程式庫中包括的檢查之外,您還可以建立自己的自訂檢查。與 SaltStack 檢查 built-in-checks-shield-icon 不同,自訂檢查包括使用者圖示 custom-checks-user-icon。如需有關建立自訂檢查和基準的詳細資訊,請參閱〈SaltStack SecOps Compliance 自訂內容〉

每項檢查均包括以下資訊欄位。

備註: 以下部分項目是針對每項檢查進行定義,而其他項目則針對一或多個基準進行定義。
說明
檢查的簡短說明。
動作
將在修復後採取之動作的簡短說明。
中斷
僅用於內部測試目的。如需詳細資訊,請連絡管理員。
全域說明
檢查的詳細說明。
Osfinger
對其執行檢查的 osfinger 值清單。將在每個部屬節點的 grains.items 中找到 osfinger。用於識別部屬節點的作業系統和主要發行版本。粒紋是一個介面,可以衍生出基礎系統的相關資訊。系統會針對作業系統、網域名稱、IP 位址、核心、作業系統類型、記憶體和許多其他系統內容收集粒紋。如需有關粒紋的詳細資訊,請參閱 Salt 粒紋參考
設定檔
不同基準的組態設定檔清單。這些組態設定檔針對機器在環境 (例如伺服器或工作站) 中的不同角色以及對比實際使用情況的不同安全性層級。
基本原理
執行檢查的基本原理說明。這包括可能想要執行檢查的原因。
參考
基準之間的合規性交互參照。
修復
(未包括在所有檢查中) - 指示 SaltStack SecOps Compliance 是否能夠修復不合規節點的值,因為並非所有檢查都包括特定的可操作修復步驟。例如, SaltStack SecOps Compliance 不會修復 CIS 1.1.6:請確保 /var 存在單獨的磁碟分割,因為不存在用於對每個系統進行重新分割的通用方法。False 表示無法修復檢查。若為 True (預設值),則不會顯示此欄位。
修復
將如何修復任何不合規系統的說明 (如適用)。請注意,某些檢查不包括特定的可操作修復步驟。請參閱上方的「修復」。
評分
CIS 基準評分值。評分的建議會影響目標的基準分數,而未評分的建議則不會影響該分數。True 表示已評分,False 表示未評分。
狀態檔案
將套用以執行檢查和後續修復 (如果適用) 的 Salt 狀態複本。

變數

SaltStack SecOps Compliance 中的變數可用於將值傳遞至構成安全性檢查的 Salt 狀態。為獲得最佳效果,請使用提供的預設值。

如需有關 Salt 狀態的詳細資訊,請參閱 Salt 狀態教學課程

排程

備註: 在排程編輯器中,「工作」和「評估」詞彙可互換使用。針對原則定義排程時,將僅排程評估,而不排程修復。

週期性重複日期和時間一次 cron 運算式中選擇排程頻率。還將提供其他選項,具體取決於排定的活動和所選排程頻率。

週期性
設定重複排程的間隔,其中包括開始日期或結束日期、展開樹和並行工作數目上限等選填欄位。
重複日期和時間
選擇每週或每天重複排程,其中包括開始日期或結束日期以及並行工作數目上限等選填欄位。
一次
指定執行工作的日期和時間。
Cron
輸入 cron 運算式,以根據 Croniter 語法定義自訂排程。有關語法準則,請參閱 CronTab 編輯器。為獲得最佳效果,請在定義自訂 cron 運算式時避免將工作間隔排程在 60 秒以內。
備註: 定義評估排程時,可以從其他 未排程 (隨選) 選項中進行選擇。如果選取此選項,則可以選擇執行一次性評估,而不定義任何排程。

活動狀態

在原則首頁中,[活動] 索引標籤會顯示已完成或進行中的評估和修復的清單。其中包括以下狀態。

狀態 說明
已排入佇列 作業已準備好執行,但部屬節點尚未提取開始作業的工作。
已完成 作業已完成執行。
部分 作業仍在等待某些部屬節點傳回,儘管 Salt 主節點已經報告該作業已完成執行。部屬節點是執行部屬節點服務的節點,可以接聽 Salt 主節點的命令並執行請求的工作。Salt 主節點是用於向部屬節點發出命令的中央節點。

可以在 SaltStack Config 主要 [活動] 工作區中追蹤 SaltStack Config 中的所有活動,包括評估和修復。請參閱〈活動〉

評估結果

請參閱以下內容以瞭解評估結果。如需有關如何存取評估結果的詳細資訊,請參閱檢視評估結果

傳回狀態

修復後,SaltStack SecOps Compliance 將使用以下其中一個傳回狀態標記各個系統。

合規
相較於標準或基準,設定處於預期狀態。
不合規
相較於標準或基準,設定未處於預期狀態。建議執行進一步調查及可能的修復。
不適用
此設定不適用於此系統,例如,在 AIX 上執行 CentOS 檢查的情況。
未知
尚未執行評估或修復。
錯誤
SaltStack SecOps Compliance 在執行評估或修復時遇到錯誤。