VERWENDEN UND VERWALTEN VON SALTSTACK SECOPS - SEPTEMBER 2021 VMWARE VREALIZE AUTOMATION SALTSTACK CONFIG 8.5 - VMWARE ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Verwenden und Verwalten von SaltStack SecOps 09. September 2021 VMware vRealize Automation SaltStack Config 8.5
Verwenden und Verwalten von SaltStack SecOps
Die aktuellste technische Dokumentation finden Sie auf der VMware-Website unter:
https://docs.vmware.com/de/
VMware, Inc. VMware Global, Inc.
3401 Hillview Ave. Zweigniederlassung Deutschland
Palo Alto, CA 94304 Willy-Brandt-Platz 2
www.vmware.com 81829 München
Germany
Tel.: +49 (0) 89 3706 17 000
Fax: +49 (0) 89 3706 17 333
www.vmware.com/de
©
Copyright 2021 VMware, Inc. Alle Rechte vorbehalten. Urheberrechts- und Markenhinweise.
VMware, Inc. 2
Inhalt
1 Definition von SaltStack SecOps 4
Voraussetzungen 7
2 Konfigurieren von SaltStack SecOps 8
3 Unterstützte Sicherheits- und Übereinstimmungs-Benchmarks 16
4 Vorgehensweise zum Verwenden von SaltStack SecOps Compliance 17
Vorgehensweise zum Erstellen einer Konformitätsrichtlinie 18
Erstellen und Testen benutzerdefinierter Konformitätskomponenten 23
Erstellen einer benutzerdefinierten Inhaltsbibliothek 26
Vorgehensweise zum Ausführen einer Übereinstimmungsbewertung 28
Vorgehensweise zum Anzeigen und Standardisieren der Bewertungsergebnisse 30
5 Vorgehensweise zum Verwenden von SaltStack SecOps Vulnerability 32
Verwenden der Schwachstellenbibliothek 33
Vorgehensweise zum Erstellen einer Schwachstellenrichtlinie 35
Vorgehensweise zum Ausführen einer Schwachstellenbewertung 38
Anwendungsbeispiel: Vorgehensweise zum Importieren von Sicherheitsüberprüfungen eines
Drittanbieters als Alternative zum Ausführen einer Bewertung 39
Vorgehensweise zum Standardisieren von Empfehlungen 44
Vorgehensweise zum Neustarten eines Minions im Rahmen der Standardisierung 46
6 Fehlerbehebung 49
VMware, Inc. 3
Definition von SaltStack SecOps
1
Bei SaltStack SecOps handelt es sich um eine Anwendung zur Übereinstimmungs- und
Schwachstellenverwaltung, mit der die Sicherheitsstandardisierung automatisiert werden kann.
Mit SaltStack SecOps können Sie Ihr System auf Übereinstimmung mit verschiedenen Sicherheits-
Benchmarks überprüfen, Systemschwachstellen erkennen und die Ergebnisse standardisieren.
SaltStack SecOps enthält sowohl SaltStack SecOps Compliance- als auch SaltStack SecOps
Vulnerability-Dienste.
SaltStack SecOps Compliance überprüft Ihr System auf Übereinstimmung mit unterstützten
Sicherheits-Benchmarks aus akkreditierten Einrichtungen (z. B. CentOS Linux Level 1 und 2 Senior
und Workstation) und ermöglicht Ihnen, nicht übereinstimmende Knoten zu standardisieren. Zwei
Konformitätsbibliotheken sind enthalten:
n Konformitätsinhaltsbibliothek – Integrierte Sicherheitsinhalte
n Benutzerdefinierte Konformitätsinhaltsbibliothek: Von Ihrer Organisation definierte und
hochgeladene benutzerdefinierte Prüfungen und Benchmarks.
SaltStack SecOps Vulnerability durchsucht Ihr System nach allgemeinen Schwachstellen
und CVEs (Common Vulnerabilities and Exposures) und standardisiert dann alle erkannten
Empfehlungen. SaltStack SecOps Vulnerability enthält eine integrierte Schwachstellenbibliothek
für Empfehlungen.
VMware, Inc. 4
Verwenden und Verwalten von SaltStack SecOps Inhaltsbibliotheken werden regelmäßig aktualisiert, wenn sich die Sicherheitsstandards ändern. Sie können Inhalte auch so konfigurieren, dass sie automatisch heruntergeladen werden, sobald Updates verfügbar sind, oder Sie können Inhalte manuell herunterladen. Zum manuellen Suchen nach Updates und Herunterladen von Inhalten klicken Sie auf Verwaltung > SecOps > und dann auf Nach Updates suchen oder Paket hochladen unterhalb der gewünschten Inhaltsbibliothek. VMware, Inc. 5
Verwenden und Verwalten von SaltStack SecOps Hinweis Bevor Sie SaltStack SecOps verwenden können, muss SaltStack Config installiert und konfiguriert werden. SaltStack SecOps benötigt jedoch eine gesonderte Produktlizenz aus SaltStack Config. Weitere Informationen erhalten Sie bei einem Vertriebsmitarbeiter. Dieses Kapitel enthält die folgenden Themen: VMware, Inc. 6
Verwenden und Verwalten von SaltStack SecOps
n Voraussetzungen
Voraussetzungen
Vor der Verwendung von SaltStack SecOps müssen Sie sicherstellen, dass diese
Voraussetzungen erfüllt sind.
Anwenden einer DLF-Lizenz
Wenn Sie SaltStack SecOps ohne vRealize Suite Lifecycle Manager installieren, müssen Sie
zusätzlich zu Ihrer SaltStack SecOps-Lizenz eine DLF-Lizenz anwenden.
1 Erstellen Sie eine Datei mit der Bezeichnung „vra_license“ in /etc/raas.
2 Bearbeiten Sie die Datei /etc/rass/vra_license und fügen Sie Ihren SecOps-Schlüssel
hinzu.
3 Speichern Sie die Datei „vra_license“.
4 Ausführen von chown rass:raas vra_license
5 Führen Sie systemct1 restart raas aus.
VMware, Inc. 7
Konfigurieren von SaltStack
SecOps 2
vRealize Automation SaltStack SecOps ist ein Add-On für SaltStack Config, das zwei
Sicherheitsbibliotheken bereitstellt. Beide Inhaltsbibliotheken werden regelmäßig aktualisiert,
wenn sich die Sicherheitsstandards ändern. Sie können Inhalte so konfigurieren, dass sie
automatisch heruntergeladen (oder erfasst) werden, wenn sich die Sicherheitsstandards ändern.
Dies wird für die meisten Standardsysteme empfohlen.
Die folgenden Inhaltstypen werden als Teil von SaltStack SecOps bereitgestellt:
n Konformität – Automatische Konformitätserkennung und -wartung für Ihre Infrastruktur. Die
Konformitätsinhaltsbibliothek besteht aus bewährten Sicherheits- und Konformitätsinhalten
der Branche, wie z. B. CIS.
n Schwachstellen – Verwaltet Schwachstellen auf allen Systemen in Ihrer Umgebung. Die
dazugehörige Inhaltsbibliothek enthält Empfehlungen, die auf den neuesten CVE-Einträgen
(Common Vulnerabilities and Exposures, Häufige Schwachstellen und Anfälligkeiten) basieren.
Alternativ bietet die Bibliothek die Möglichkeit, Inhalte manuell herunterzuladen oder auf Inhalte
aus dem RaaS-Knoten über einen HTTP(S)-Proxy zuzugreifen. Die manuelle Erfassung ist für
Air Gap-Systeme sinnvoll, während der Download über einen Proxy nützlich ist, um das direkte
Herunterladen von Inhalten aus dem Internet zu vermeiden. Das Herunterladen über einen Proxy
bietet auch mehr Kontrolle und Einblick darüber, was und wo heruntergeladen wird.
Bevor Sie beginnen
Die Konfiguration von SaltStack SecOps ist ein Schritt nach der Installation in einer Abfolge von
mehreren Schritten, die in einer bestimmten Reihenfolge ausgeführt werden müssen. Führen Sie
zunächst eines der Installationsszenarien durch und lesen Sie sich dann die folgenden Seiten für
die Vorgehensweise nach der Installation durch:
n Installieren des Lizenzschlüssels
n Installieren und Konfigurieren des Master-Plug-Ins
n Überprüfen der RaaS-Konfigurationsdatei
n Erste Anmeldung und Ändern der Standardanmeldedaten
n Akzeptieren des Salt-Master-Schlüssels und Sichern der Daten
n Einrichten von SSL-Zertifikaten
VMware, Inc. 8
Verwenden und Verwalten von SaltStack SecOps
Installieren von Python 3-RPM-Bibliotheken
SaltStack SecOps verwendet die Python 3-RPM-Bibliotheken, um Paketversionen zuverlässig zu
vergleichen. Diese Programme benötigen die von diesen Bibliotheken bereitgestellte größere
Genauigkeit, um Versionskonformität zu ermitteln oder Schwachstellen zu bewerten.
Derzeit benötigen alle Minions, die RedHat oder CentOS 7 verwenden, möglicherweise
die Python 3-RPM-Bibliotheken, um genaue Konformitäts- oder Schwachstellenbewertungen
durchführen zu können. Wenn Sie Bewertungen zu Minions ausführen möchten, die diese
Versionen von RedHat oder CentOS verwenden, müssen Sie die Python 3-RPM-Bibliothek manuell
auf diesen Maschinen installieren.
Hinweis Es stehen weitere Problemumgehungen zur Verfügung. Wenn Sie eine alternative
Problemumgehung benötigen, wenden Sie sich bitte an den Support.
So installieren Sie die Python 3-RPM-Bibliothek auf dem Salt-Master, auf dem das Master-Plug-In
ausgeführt wird:
1 Installieren Sie das EPEL-Repository mit dem folgenden Befehl:
yum install -y epel-release
2 Installieren Sie die Python 3-RPM-Bibliothek:
yum install -y python3-rpm
Automatische Inhaltsaufnahme für Standardsysteme
Bei RaaS-Systemen, die keine Air Gap-Systeme sind, werden Inhalte in regelmäßigen Abständen
heruntergeladen und erfasst, wie durch die Einstellungen in der Konfigurationsdatei festgelegt.
Standardmäßig ist die automatische Inhaltserfassung bereits in SaltStack Config konfiguriert, und
es sind keine weiteren Aktionen erforderlich.
Wenn Sie SaltStack Config manuell installiert haben, führen Sie die folgenden Schritte aus, um die
automatische Erfassung von SaltStack SecOps-Inhalten zu konfigurieren:
1 Fügen Sie Folgendes zur RaaS-Dienstkonfigurationsdatei /etc/raas/raas in Abschnitt sec
hinzu und passen Sie es nach Bedarf an:
sec:
stats_snapshot_interval: 3600
username: secops
content_url: https://enterprise.saltstack.com/secops_downloads
ingest_saltstack_override: true
ingest_custom_override: true
locke_dir: locke
post_ingest_cleanup: true
download_enabled: true
download_frequency: 86400
compile_stats_interval: 10
VMware, Inc. 9
Verwenden und Verwalten von SaltStack SecOps
archive_interval: 300
old_policy_file_lifespan: 2
delete_old_policy_files_interval: 86400
ingest_on_boot: true
content_lock_timeout: 60
content_lock_block_timeout: 120
2 Speichern Sie die Datei.
3 Starten Sie den RaaS-Dienst neu:
systemctl restart raas
Nach dem Neustart des Dienstes wird der SaltStack SecOps-Inhalt heruntergeladen. Dies
kann je nach Internetverbindung bis zu fünf Minuten dauern.
Aufnehmen von Inhalten über HTTP(S)-Proxy
Für die Erfassung über einen Proxy müssen Sie eine Außerkraftsetzung für den RaaS-Dienst
erstellen und neue Umgebungsvariablen für httpproxy und httpsproxy hinzufügen.
So konfigurieren Sie den RaaS-Knoten für die Verwendung des HTTPS-Proxys:
1 Führen Sie die vorherigen Schritte aus, um die automatische Erfassung zu aktivieren.
2 Bearbeiten Sie auf dem Master in der Befehlszeile den RaaS-Dienst:
systemctl edit raas
3 Fügen Sie der generierten Datei die folgenden Zeilen hinzu:
[Service]
Environment="http_proxy=http://:234"
Environment="https_proxy=https://:234"
Environment="HTTP_PROXY=http://:234"
Environment="HTTPS_PROXY=http://:234"
4 Wenn für Ihren Proxy eine Kennwortauthentifizierung erforderlich ist, müssen Sie dies
möglicherweise als Teil der Proxy-Umgebungsvariablen festlegen. Beispiel:
Environment="HTTP_PROXY=http://USER:PASSWORD@:234"
5 Wenn Ihr Proxy eine interne Zertifizierungsstelle verwendet, müssen Sie möglicherweise auch
die REQUESTS_CA_BUNDLE-Umgebungsvariable festlegen, um sicherzustellen, dass der Proxy sie
verwenden kann. Beispiel:
Environment="REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt"
6 Starten Sie den RaaS-Dienst neu:
systemctl restart raas
VMware, Inc. 10Verwenden und Verwalten von SaltStack SecOps
Nach dem Neustart des Dienstes wird der Inhalt heruntergeladen. Dies kann bis zu 20 Minuten
dauern.
Manuelle Inhaltserfassung für SaltStack SecOps Compliance
Wenn es sich bei Ihrer Umgebung um eine Air-Gapped-Umgebung handelt, d. h., wenn sie
keine Verbindung zu einer externen Site herstellen kann, um Updates herunterzuladen, müssen
Sie SaltStack SecOps Compliance-Inhalte manuell aktualisieren, indem Sie die TAR-Datei von
Customer Connect herunterladen und an Ihren RaaS-Knoten übertragen.
Wenn es sich bei Ihrem System um ein Air-Gapped-System handelt, ändern Sie außerdem die
Einstellung für die Download-Konfiguration in der RaaS-Konfigurationsdatei zu „False“:
sec:
download_enabled: False
Die RaaS-Konfigurationsdatei befindet sich in /etc/raas/raas. Möglicherweise müssen Sie
den RaaS-Dienst auch neu starten, nachdem Sie die folgenden Konfigurationseinstellungen
angewendet haben:
systemctl restart raas
So erfassen Sie die SaltStack SecOps Compliance-TAR-Datei manuell:
1 Laden Sie den SaltStack SecOps Compliance-Inhalt herunter.
2 Melden Sie sich bei einem RaaS-Knoten an.
3 Kopieren Sie die Konformitätsinhalt-TAR-Datei auf den RaaS-Knoten im tmp-Ordner herunter.
Dieser Inhalt kann per E-Mail oder auf andere Weise bereitgestellt werden.
4 Erfassen Sie die Inhalte der TAR-Datei.
su - raas -c "raas ingest /path/to/locke.tar.gz.e"
Es wird Folgendes zurückgegeben:
Extracting: /tmp/locke.tar.gz -> /tmp/extracted-1551290468.5497127
Cleaning up: /tmp/extracted-1551290468.5497127
Results:
{'errors': [], 'success': True}
VMware, Inc. 11Verwenden und Verwalten von SaltStack SecOps
Manuelle Inhaltserfassung für SaltStack SecOps
Vulnerability
Wenn es sich bei Ihrer Umgebung um eine Air-Gapped-Umgebung handelt, d. h., wenn sie
keine Verbindung zu einer externen Site herstellen kann, um Updates herunterzuladen, müssen
Sie SaltStack SecOps Vulnerability-Inhalte manuell aktualisieren, indem Sie die TAR-Datei von
Customer Connect herunterladen und an Ihren RaaS-Knoten übertragen.
Wenn es sich bei Ihrem System um ein Air-Gapped-System handelt, ändern Sie außerdem die
Einstellung für die Download-Konfiguration in der RaaS-Konfigurationsdatei zu „False“:
sec:
download_enabled: False
Die RaaS-Konfigurationsdatei befindet sich in /etc/raas/raas. Möglicherweise müssen Sie
den RaaS-Dienst auch neu starten, nachdem Sie die folgenden Konfigurationseinstellungen
angewendet haben:
systemctl restart raas
So erfassen Sie die SaltStack SecOps Vulnerability-TAR-Datei manuell:
1 Laden Sie den SaltStack SecOps Vulnerability-Inhalt herunter.
2 Melden Sie sich bei einem RaaS-Knoten an.
3 Kopieren Sie die Schwachstelleninhalt-TAR-Datei auf den RaaS-Knoten im tmp-Ordner.
Dieser Inhalt kann per E-Mail oder auf andere Weise bereitgestellt werden.
4 Erfassen Sie die Inhalte der TAR-Datei und ersetzen Sie den Namen der TAR-Datei in diesem
Befehl durch den genauen Dateinamen der TAR-Datei.
su - raas -c "raas vman_ingest /tmp/vman_date_example123.tar.gz.e"
Es wird Folgendes zurückgegeben:
'adv': {'error': 0, 'success': 60334},
'adv_cve_xref': {'error': 0, 'success': 243781},
'cve': {'error': 0, 'success': 162251},
'pkgfile': {'error': 0, 'success': 42},
'py': {'error': 0, 'success': 7},
'sls': {'error': 0, 'success': 3}
VMware, Inc. 12Verwenden und Verwalten von SaltStack SecOps
Fehlerbehebung bei der manuellen Erfassung
Wenn Sie versuchen, die manuellen Erfassungsbefehle entweder für SaltStack SecOps
Compliance- oder für SaltStack SecOps Vulnerability-Inhalte auszuführen, wird möglicherweise
eine Fehlermeldung ähnlich der folgenden angezeigt:
/home/centos/locke_date_example123.tar.gz.e not found or not readable
Diese Fehlermeldung wird manchmal angezeigt, wenn Sie die TAR-Datei nicht im tmp-Ordner
ablegen. Wenn Sie die TAR-Datei im tmp-Ordner ablegen, wird das Problem behoben.
Einrichten der Splunk-Integration
SaltStack Config integriert die Schwachstellenbibliothek in Splunk, damit Sie Ihre digitale
Infrastruktur mit dem SaltStack Config-Add-On für Splunk Enterprise optimieren und sichern
können. Das Add-On ist auf Splunkbase verfügbar und erfordert SaltStack Config Version 6.3
oder höher.
Das SaltStack Config-Add-On in Splunk nutzt einen Prometheus-kompatiblen Metrik-Endpoint,
der über 25 eindeutige SaltStack Config-Metriken meldet. Diese Metriken bieten Einblick in
den Systemzustand Ihrer Infrastruktur. Der Zugriff auf diese in Splunk ist nützlich, um Ausfälle
zu überwachen, abnormale Aktivitäten zu identifizieren und andere Funktionen auszuführen.
Darüber hinaus haben Sie die Möglichkeit, automatisierte Aktionen basierend auf einem
bestimmten Splunk-Ereignis mit SaltStack Config durchzuführen.
Anweisungen zum Installieren und Konfigurieren des Add-Ons finden Sie in der vollständigen
Add-On-Dokumentation in der VMware Knowledge Base.
Weitere Informationen zum Endpoint der SaltStack Config-Metriken finden Sie in der
Produktdokumentation für SaltStack SecOps.
Konfigurationsoptionen
In der folgenden Tabelle werden die verfügbaren Konfigurationsoptionen für Konformitätsinhalte
beschrieben:
Option Beschreibung
stats_snapshot_interval Häufigkeit der Erfassung von SaltStack SecOps Compliance-Statistiken (in Sekunden)
compile_stats_interval Häufigkeit der Komplierung von SaltStack SecOps Compliance-Statistiken (in
Sekunden)
username Benutzername, der beim Herstellen einer Verbindung mit SaltStack Config verwendet
werden soll, um den neuesten SaltStack SecOps Compliance-Inhalt herunterzuladen
(Standard: secops)
content_url URL zum Herunterladen des SaltStack SecOps Compliance-Inhalts
ingest_override Beim Erfassen neuer Inhalte vorhandene Benchmarks und Prüfungen überschreiben
(Standard: True)
VMware, Inc. 13Verwenden und Verwalten von SaltStack SecOps
Option Beschreibung
locke_dir Pfad, in dem die Erfassung erwartet, neue Inhalte zu finden (Standard: locke). Wenn
Sie einen relativen Pfad (kein vorangestellter /) verwenden, ist dieser relativ zum
Cacheverzeichnis /var/lib/raas/cache des RaaS-Dienstes.
post_ingest_cleanup Entfernt die erweiterten Inhalte nach der Erfassung aus dem Dateisystem (Standard:
True)
download_enabled Legt fest, ob Downloads von SaltStack SecOps Compliance-Inhalten zulässig sind
(Standard: True). Legen Sie dies für Air Gap-Systeme auf False fest.
download_frequency Häufigkeit der Versuche des RaaS-Dienstes, SaltStack SecOps Compliance-Inhalte
herunterzuladen (in Sekunden) (Standard: 86400 für 24 Stunden)
ingest_on_boot Soll der RaaS-Dienst versuchen, SaltStack SecOps Compliance-Inhalte beim Start
herunterzuladen? (Standard: True)
content_lock_timeout Dauer der Inhaltsdownloadsperren (in Sekunden) (Standard: 60)
content_lock_block_timeout Dauer des Blockierens von Inhaltsdownloadsperren, bevor sie fehlschlagen (in
Sekunden) (Standard: 120)
In der folgenden Tabelle werden die Konfigurationsoptionen beschrieben, die für Inhalte mit
Schwachstellen verfügbar sind:
Option Beschreibung
vman_dir Speicherort, in dem SaltStack SecOps Vulnerability-Inhalte vor der Erfassung
erweitert werden. Wenn der Pfad relativ ist (kein vorangestellter /), ist er relativ
zum Cacheverzeichnis /var/lib/raas/cache des RaaS-Dienstes.
download_enabled Wenn True, ist das Herunterladen von SaltStack SecOps Vulnerability-Inhalten
aktiviert. Legen Sie dies auf False für Air Gap-Systeme fest.
download_frequency Häufigkeit der automatisierten Downloads und der automatisierten Erfassung
von SaltStack SecOps Vulnerability-Inhalten (in Sekunden)
username Benutzername, der zur Anmeldung bei enterprise.saltstack.com zum Abrufen
von Inhalten verwendet wurde
content_url URL, von der SaltStack SecOps Vulnerability-Inhalte heruntergeladen werden
ingest_on_boot Wenn True, wird der SaltStack SecOps Vulnerability-Inhalt heruntergeladen und
erfasst, sobald der RaaS-Dienst gestartet wird (Standard: True)
compile_stats_interval Häufigkeit der Komplierung von SaltStack SecOps Vulnerability-Statistiken (in
Sekunden)
stats_snapshot_interval Häufigkeit der Erfassung von SaltStack SecOps Vulnerability-Statistiken (in
Sekunden)
old_policy_file_lifespan Lebensdauer (in Tagen) alter Richtliniendateien, die im RaaS-Dateisystem
verbleiben
delete_old_policy_files_interval Häufigkeit der Löschung alter SaltStack SecOps Vulnerability-Richtliniendateien
aus dem RaaS-Dateisystem (in Sekunden)
VMware, Inc. 14Verwenden und Verwalten von SaltStack SecOps
Option Beschreibung
tenable_asset_import_enabled Wenn True, werden Minion-Körner („Grains“) in SaltStack Config an Tenable.io
zum Abgleichen von Assets gesendet (Standard: True)
tenable_asset_import_grains Liste der Minion-Körner, die an Tenable.io gesendet werden, wenn der Tenable-
Asset-Import aktiviert ist.
SaltStack SecOps Vulnerability unterstützt standardmäßig nur fqdn, ipv4,
ipv6 und hostname. Sie können jedoch andere Informationen senden, indem
Sie benutzerdefinierte Körner definieren. Weitere Informationen zu Körnern,
einschließlich Informationen zum Schreiben benutzerdefinierter Körner, finden
Sie in der Salt-Dokumentation zum Thema „Körner“ („Grains“).
Wenn Sie nur eine Teilmenge der Schlüssel in Ihren Körnungsdaten haben,
werden nur diejenigen in der Teilmenge synchronisiert.
fqdn und ipv4 werden auch dann gesendet, wenn sie hier nicht aufgeführt sind.
Weitere Informationen finden Sie in der Dokumentation Tenable Import assets.
Häufig gestellte Fragen
n F: Wie oft werden neue SaltStack Vulnerability-Inhalte veröffentlicht?
n A: Inhalte werden derzeit etwa einmal pro Quartal veröffentlicht. Sie werden in Zukunft
jedoch möglicherweise häufiger veröffentlicht.
n Kann ich schneller auf neue Inhalte zugreifen, wenn ich die automatische Inhaltserfassung
anstelle der manuellen Erfassung verwende?
n A: Derselbe Inhalt ist verfügbar, unabhängig davon, ob Sie Inhalte manuell oder
automatisch erfassen.
Wenn Sie jedoch die manuelle Erfassung verwenden, müssen Sie einplanen, nach
Sicherheitsinhaltsaktualisierungen zu suchen und einen Prozess zur manuellen Erfassung
aktualisierter Inhalte entwickeln, wenn diese verfügbar sind.
Nächste Schritte
Nach der Konfiguration von SaltStack SecOps gibt es möglicherweise zusätzliche Schritte nach
der Installation. Überprüfen Sie die Liste der Schritte nach der Installation, um sicherzustellen,
dass Sie alle erforderlichen Schritte abgeschlossen haben.
VMware, Inc. 15Unterstützte Sicherheits- und Übereinstimmungs-Benchmarks 3 SaltStack SecOps bietet Unterstützung für eine Vielzahl von Sicherheits- und Übereinstimmungs- Benchmarks. Eine Liste der unterstützten Sicherheits- und Übereinstimmungs-Benchmarks sowie Anweisungen zum Abonnieren zukünftiger Updates finden Sie unter Unterstützte Sicherheits- und Übereinstimmungs-Benchmarks. VMware, Inc. 16
Vorgehensweise zum Verwenden von SaltStack SecOps Compliance 4 SaltStack SecOps Compliance ist eine Lösung für die Sicherheit und Konformität der IT- Infrastruktur, die Sicherheit und IT-Betrieb in einer einzigen Plattform verbindet. SaltStack SecOps Compliance nutzt die leistungsstarken Konfigurationsverwaltungs- und Remoteausführungsfunktionen von SaltStack Config, um all Ihre Infrastrukturobjekte mit einer Reihe von branchenweiten Sicherheitsbenchmarks in Einklang zu bringen. Es wird in SaltStack Config integriert, um Sicherheitsmaßnahmen in großem Umfang anzuwenden und dabei benutzerdefinierte Ausnahmen basierend auf den Anforderungen Ihrer Organisation zu berücksichtigen. Die integrierte Konformitätsbibliothek enthält die neuesten Sicherheitsstandards. Diese basieren auf branchenüblichen Leitlinien und Best Practices. SaltStack SecOps Compliance verwendet die Bibliothek, um die Sicherheit Ihrer Infrastruktur zu bewerten und nicht übereinstimmende Systeme sofort zu standardisieren. Gelegentlich müssen Sie die Sicherheitsbibliothek aktualisieren und Inhalte herunterladen. Sie können Inhalte aktualisieren und in die Sicherheitsbibliothek herunterladen, indem Sie im seitlichen Menü auf Verwaltung > SecOps klicken und dann Konformitätsinhalte – SaltStack > Nach Updates suchen auswählen. VMware, Inc. 17
Verwenden und Verwalten von SaltStack SecOps Zur Verwendung von SaltStack SecOps Compliance definieren Sie zuerst eine Konformitätsrichtlinie und prüfen dann die Systeme im Hinblick auf die Richtlinie. Die Prüfung erkennt nicht übereinstimmende Systeme und ermöglicht Ihnen die sofortige Behebung etwaiger Probleme. Darüber hinaus können Sie Ausnahmen eingeben und Benutzerberechtigungen festlegen, um sicherzustellen, dass alle Wege zur Standardisierung an die Anforderungen Ihrer Organisation angepasst werden. Dieses Kapitel enthält die folgenden Themen: n Vorgehensweise zum Erstellen einer Konformitätsrichtlinie n Vorgehensweise zum Ausführen einer Übereinstimmungsbewertung n Vorgehensweise zum Anzeigen und Standardisieren der Bewertungsergebnisse Vorgehensweise zum Erstellen einer Konformitätsrichtlinie Um Ihre Infrastrukturobjekte mit SaltStack SecOps Compliance zu schützen, müssen Sie zunächst Richtlinien definieren. SaltStack SecOps Compliance enthält verschiedene Branchen-Benchmarks zur Auswahl, darunter Prüfungen des Center for Internet Security (CIS) usw. Jeder Benchmark enthält eine Sammlung von Sicherheitsprüfungen. Sie können alle verfügbaren Prüfungen für einen bestimmten Benchmark anwenden oder nur eine Teilmenge der verfügbaren Prüfungen verwenden. Die Verwendung einer Teilmenge von Prüfungen ist nützlich, um SaltStack SecOps Compliance an Ihre speziellen Infrastrukturanforderungen anzupassen, z. B. wenn die Standardisierung einer bestimmten Prüfung das Risiko birgt, eine bekannte Abhängigkeit aufzulösen. Beim Erstellen der Richtlinie müssen Sie neben dem Ziel, auf das die Richtlinie angewendet werden soll, auch die Benchmarks und Prüfungen auswählen, die für Ihr System ausgeführt werden sollen. Informationen zum direkten Herstellen einer Verbindung mit dem SDK finden Sie unter vRealize Automation SaltStack Config SecOps. Ziel VMware, Inc. 18
Verwenden und Verwalten von SaltStack SecOps Ein Ziel ist die Gruppe von Minions, die auf einen oder mehrere Salt-Master verteilt sein können, auf die der Salt-Befehl eines Auftrags angewendet wird. Ein Salt-Master wird wie ein Minion verwaltet und kann als Ziel fungieren, wenn der Minion-Dienst ausgeführt wird. Wenn Sie eine Richtlinie erstellen und ein Ziel auswählen, definieren Sie die Knoten, für die die Sicherheitsprüfungen ausgeführt werden. Sie können ein vorhandenes Ziel auswählen oder ein neues Ziel erstellen. Weitere Informationen finden Sie unter Minions. Benchmarks SaltStack SecOps Compliance vereinfacht den Prozess zum Definieren der Sicherheitsrichtlinie durch Gruppierung von Sicherheitsprüfungen nach Benchmarks. Bei Benchmarks handelt es sich um Kategorien von Sicherheitsprüfungen. Die Benchmarks in SaltStack SecOps Compliance werden von allgemein anerkannten Experten definiert, während benutzerdefinierte Benchmarks durch die Standards Ihrer Organisation festgelegt werden. Sie können Benchmarks verwenden, um eine Reihe unterschiedlicher Richtlinien zu erstellen, die für verschiedene Knotengruppen optimiert sind. Beispielsweise können Sie eine Oracle Linux- Richtlinie, die CIS-Prüfungen auf Ihre Oracle Linux-Minions anwendet, und eine Windows-Richtlinie erstellen, die CIS-Prüfungen auf Ihre Windows-Minions anwendet. Weitere Informationen zum Erstellen benutzerdefinierter Inhalte finden Sie unter Erstellen und Testen benutzerdefinierter Konformitätskomponenten. Hinweis Der CIS-Inhalt für bestimmte Benchmarks (mit einer QuickInfo notiert) verteilt sich insbesondere für Windows Server-Benchmarks wie folgt auf drei verschiedene Benchmarks: n Domänenmaster-Inhalte n Mitgliederinhalte n Domänenmaster- und Mitgliederinhalte Wenn Sie alle Mitgliederinhalte hinzufügen möchten, müssen Sie die Benchmarks für „Mitglied“ sowie Benchmarks für „Domänenmaster“ und „Mitglied“ auswählen. Prüfungen Eine Prüfung ist ein Sicherheitsstandard, und SaltStack SecOps Compliance bewertet die Konformität damit. Die SaltStack SecOps Compliance-Bibliothek aktualisiert die Prüfungen häufig, wenn sich die Sicherheitsstandards ändern. Zusätzlich zu den in der Inhaltsbibliothek von SaltStack SecOps Compliance enthaltenen Prüfungen können Sie eigene benutzerdefinierte Prüfungen erstellen. Benutzerdefinierte Prüfungen werden durch das Symbol (custom-checks- user-icon) und nicht durch das Symbol (built-in-checks-shield-icon) angegeben. Weitere Informationen zum Erstellen benutzerdefinierter Inhalte finden Sie unter Erstellen und Testen benutzerdefinierter Konformitätskomponenten. Jede Prüfung enthält mehrere Informationsfelder. VMware, Inc. 19
Verwenden und Verwalten von SaltStack SecOps
Informationsfeld Beschreibung
Beschreibung Beschreibung der Prüfung.
Aktion Beschreibung der Aktion, die während der
Standardisierung durchgeführt wird.
Auflösen Wird nur für interne Tests verwendet. Weitere
Informationen erhalten Sie bei Ihrem Administrator.
Globale Beschreibung Detaillierte Beschreibung der Prüfung.
Osfinger Liste der osfinger-Werte, für die die Prüfung
implementiert ist. Osfinger wird in Körnungselementen für
jedes Minion gefunden, um das Betriebssystem und die
Hauptversion des Minions anzugeben. Körner werden für
das Betriebssystem, den Domänennamen, die IP-Adresse,
den Kernel, den Betriebssystemtyp, den Arbeitsspeicher
und andere Systemeigenschaften erfasst.
Profil Liste der Konfigurationsprofile für verschiedene
Benchmarks.
Begründung Beschreibung der Gründe für die Implementierung der
Prüfung.
Refs Konformitätsquerverweise zwischen Benchmarks.
Standardisieren Werte, die angeben, ob SaltStack SecOps Compliance
nicht konforme Knoten standardisieren kann,
da nicht alle Prüfungen spezifische, umsetzbare
Standardisierungsschritte enthalten.
Standardisierung Beschreibung der Vorgehensweise zum Standardisieren
aller nicht kompatiblen Systeme, falls anwendbar.
Erzielte Bewertung Punktwert für die CIS-Benchmark. Bewertete
Empfehlungen wirken sich auf die Benchmark-Bewertung
des Ziels aus, während Empfehlungen ohne Bewertung
keine Auswirkungen auf die Punktbewertung haben.
„True“ gibt „Bewertet“ und „False“ gibt „Nicht bewertet“
an.
Zustandsdatei Kopie des Salt-Zustands, der zum Durchführen
der Prüfung und gegebenenfalls zur nachfolgenden
Standardisierung angewendet wird.
VMware, Inc. 20Verwenden und Verwalten von SaltStack SecOps
Informationsfeld Beschreibung
Variablen Variablen in SaltStack SecOps Compliance, die zur
Übergabe von Werten an die Salt-Zustände, aus denen
Sicherheitsprüfungen bestehen, verwendet werden. Die
besten Ergebnisse erzielen Sie mit den Standardwerten.
Weitere Informationen finden Sie unter Vorgehensweise
zum Verwenden von Salt-Zuständen.
Zeitpläne Wählen Sie zur Angabe der Häufigkeit des Zeitplans
eine der folgenden Optionen aus: „Regelmäßig alle“,
„Regelmäßig am/um“, „Einmal“ oder „Cron-Ausdruck“. Je
nach geplanter Aktivität und der von Ihnen geplanten
Häufigkeit sind zusätzliche Optionen verfügbar.
n Regelmäßig alle – Legen Sie ein Intervall für die
Wiederholung des Zeitplans mit optionalen Feldern
für Start- oder Enddatum, Splay und maximale Anzahl
paralleler Aufträge fest.
n Regelmäßig am/um – Wiederholen Sie den Zeitplan
wöchentlich oder täglich mithilfe optionaler Felder für
das Start- oder Enddatum und die maximale Anzahl
paralleler Aufträge.
n Einmal – Geben Sie Datum und Uhrzeit für die
einmalige Ausführung des Auftrags an.
n Cron – Geben Sie einen Cron-Ausdruck ein,
um auf der Grundlage der Croniter-Syntax
einen benutzerdefinierten Zeitplan zu definieren.
Syntaxrichtlinien finden Sie im CronTab-Editor.
Vermeiden Sie die Planung von Aufträgen im Abstand
von weniger als 60 Sekunden, wenn Sie einen
benutzerdefinierten Cron-Ausdruck definieren.
Hinweis Im Zeitplan-Editor werden die Begriffe „Auftrag“
und „Bewertung“ synonym verwendet. Wenn Sie einen
Zeitplan für die Richtlinie definieren, planen Sie nur die
Bewertung – nicht die Standardisierung.
Hinweis Bei der Definition eines Bewertungszeitplans
können Sie die Option Kein Zeitplan (Ausführung bei
Bedarf) auswählen. Wenn Sie diese Option auswählen,
können Sie eine einmalige Bewertung ausführen, und es
ist kein Zeitplan definiert.
Hinweis Sie können Prüfungen und Minions aus der Standardisierung ausnehmen, indem
Sie auf Ausnahme hinzufügen klicken, den Grund für die Ausnahme eingeben und zu
Bestätigungszwecken erneut auf Ausnahme hinzufügen klicken. Die Standardisierung wird für
ausgenommene Elemente übersprungen.
VMware, Inc. 21Verwenden und Verwalten von SaltStack SecOps
Verfahren
1 Klicken Sie auf der Startseite von SaltStack SecOps Compliance auf Richtlinie erstellen.
2 Geben Sie den Namen der Richtlinie ein und wählen Sie ein Ziel aus, um die Richtlinie
anzuwenden. Klicken Sie auf Weiter.
3 Wählen Sie auf der Registerkarte „Benchmarks“ alle Benchmarks aus, die Sie in die Richtlinie
aufnehmen möchten, und klicken Sie dann auf Weiter.
Hinweis Wenn keine Benchmarks verfügbar sind, müssen Sie möglicherweise
Konformitätsinhalte herunterladen. Sie können Inhalte aktualisieren und in die
Sicherheitsbibliothek herunterladen, indem Sie im seitlichen Menü auf Verwaltung > SecOps
klicken und dann Konformitätsinhalte – SaltStack > Nach Updates suchen auswählen.
4 Wählen Sie auf der Registerkarte Prüfungen alle Prüfungen aus, die Sie in die Richtlinie
aufnehmen möchten. Die verfügbaren Prüfungen werden durch die in Schritt 3 ausgewählten
Benchmarks bestimmt. Klicken Sie auf Weiter.
5 Geben Sie auf der Registerkarte „Variablen“ nach Bedarf Variablen ein oder ändern Sie sie.
Sie können auch die Standardwerte übernehmen (empfohlen). Klicken Sie auf Weiter.
6 Definieren Sie auf der Seite „Zeitplan“ die Häufigkeit des Zeitplans und klicken Sie auf
Speichern.
7 (Optional) Zur sofortigen Ausführung einer Bewertung nach dem Speichern der Richtlinie
wählen Sie Bewertung beim Speichern ausführen aus.
VMware, Inc. 22Verwenden und Verwalten von SaltStack SecOps
8 Klicken Sie auf Speichern.
Die Richtlinie wird gespeichert. Bei Auswahl von Bewertung beim Speichern ausführen wird
die Bewertung sofort nach dem Speichern ausgeführt.
Ergebnisse
Die Konformitätsrichtlinie wird gespeichert und zum Ausführen einer Bewertung verwendet. Sie
können die Richtlinie bearbeiten, indem Sie die Richtlinie auf der Startseite auswählen und auf
Richtlinie bearbeiten klicken.
Erstellen und Testen benutzerdefinierter Konformitätskomponenten
Mit benutzerdefinierten Konformitätsinhalten können Sie eigene Sicherheitsstandards zur
Ergänzung der in SaltStack SecOps Compliance integrierten Bibliothek der Sicherheits-
Benchmarks und Prüfungen definieren.
Benutzerdefinierte Inhalte sind nützlich, um SaltStack SecOps Compliance-Richtlinien so zu
verbessern, dass sie Ihren internen Anforderungen entsprechen.
SaltStack SecOps Compliance enthält ein SDK für benutzerdefinierte Inhalte (Custom Content
Software Development Kit), mit dem Sie eigene benutzerdefinierte Sicherheitsinhalte erstellen
und testen können. Sie können Ihre benutzerdefinierten Sicherheitsinhalte zur Verwendung
zusammen mit der integrierten Sicherheitsbibliothek von SaltStack SecOps Compliance für die
Bewertung und Standardisierung importieren. Beim Importieren benutzerdefinierter Inhalte haben
Sie außerdem die Möglichkeit, Ihre Inhalte mit einem Versionskontrollsystem Ihrer Wahl zu
versionieren, wie z. B. Git.
Zur Verwendung benutzerdefinierter Prüfungen müssen Sie zuerst das Custom Content SDK
von SaltStack SecOps Compliance initialisieren. Das SDK enthält Beispieldateien, die Sie ändern
können, um Ihre eigenen benutzerdefinierten Prüfungen und Benchmarks zu erstellen. Das SDK
enthält auch eine Docker-basierte Testumgebung, in der Sie Ihre neuen Inhalte testen können.
VMware, Inc. 23Verwenden und Verwalten von SaltStack SecOps
Nachdem Ihre benutzerdefinierten Inhalte erstellt und getestet wurden, können Sie eine
Inhaltsdatei erstellen und in SaltStack SecOps Compliance importieren, um mit der Bewertung
und Standardisierung zu beginnen. Benutzerdefinierte Prüfungen enthalten ein Benutzersymbol
(custom-checks-user-icon ) im Gegensatz zu SaltStack-Prüfungen (checks built-in-checks-
shield-icon ). SaltStack SecOps Compliance verfolgt Abhängigkeiten zwischen Richtlinien und
Ihren benutzerdefinierten Inhalten und stellt eine Liste der Abhängigkeiten bereit, die beim
Löschen der Inhalte möglicherweise aufgelöst werden.
Voraussetzungen
n Laden Sie das Custom Content SDK von SaltStack SecOps Compliance herunter.
n Installieren Sie Docker. Weitere Informationen finden Sie unter Abrufen von Docker.
Verfahren
1 Navigieren Sie über die Befehlszeile zum Verzeichnis mit der Datei und führen Sie den Befehl
aus:
Betriebssystem Befehl
Mac OS oder Linux ./secops_sdk init
Windows secops_sdk.exe init
Erwartungsgemäß wird keine Ausgabe angezeigt. Ihr Verzeichnis enthält die folgenden
Ordner und Dateien:
n Benchmarks – Enthält benutzerdefinierte Benchmark-Metadateien (.meta)
n Salt/locke/custom – Enthält benutzerdefinierte Prüfstatus- (.sls) und Metadateien (.meta)
n Sample_tests – Enthält Beispieldateien für Tests mit Docker
n README.md – Enthält genauere Informationen zum SDK
2 (Optional) Bestätigen Sie Änderungen an einem versionskontrollierten Repository.
3 Navigieren Sie zum Erstellen benutzerdefinierter Prüfungen im Custom Content SDK zu salt/
locke/custom. Zum Erstellen benutzerdefinierter Benchmarks fahren Sie mit Schritt 8 fort.
Hinweis Alle benutzerdefinierten Prüfungen müssen sowohl in einer Zustandsdatei (.sls) als
auch in einer entsprechenden Metadatei (.meta) konfiguriert werden.
4 Erstellen Sie eine Kopie für eine Beispielzustandsdatei (.sls) und die entsprechende Metadatei
(.meta) und benennen Sie beide unter Verwendung des gewünschten benutzerdefinierten
Namens um. Speichern Sie beide Dateien zusammen in einem Unterverzeichnis von salt/
locke/custom.
Beide Dateien müssen sich im selben Verzeichnis befinden und mit demselben Namen
beginnen, wie z. B.: my_first_check.meta und my_first_check.sls.
VMware, Inc. 24Verwenden und Verwalten von SaltStack SecOps
5 Bearbeiten Sie die Inhalte der Metadatei, um die Prüfung Ihren Anforderungen entsprechend
anzupassen.
Hinweis Die Metadaten der Prüfung enthalten Referenzen zu verschiedenen Benchmarks.
Achten Sie beim Erstellen von benutzerdefinierten Inhalten darauf, dass alle zugehörigen
Benchmarks in der Metadatei für Prüfungen enthalten sind.
6 Bearbeiten Sie den Inhalt der Zustandsdatei.
7 Stellen Sie sicher, dass beide Dateien im selben Verzeichnis gespeichert werden.
8 Navigieren Sie zum Erstellen benutzerdefinierter Benchmarks im Custom Content SDK zum
Verzeichnis Benchmarks. Dieses Verzeichnis enthält ein Beispiel für die Benchmark-Metadatei
(.meta).
9 Erstellen Sie eine Kopie von Sample_benchmark.meta und benennen Sie die Datei unter
Verwendung des gewünschten benutzerdefinierten Namens um.
10 Bearbeiten Sie die Inhalte der Metadatei, um die Benchmark Ihren Anforderungen
entsprechend anzupassen.
Ergebnisse
Ihre benutzerdefinierten Prüfungen und Benchmarks werden erstellt. Sie können eine
benutzerdefinierte Prüfung oder Benchmark gegebenenfalls löschen, indem Sie zu SecOps
> Prüfungen oder SecOps > Benchmarks navigieren, auf das Menüsymbol neben dem
benutzerdefinierten Inhalt und anschließend auf Löschen klicken.
Nächste Schritte
Nach dem Erstellen des benutzerdefinierten Inhalts können Sie diesen testen, indem Sie die
Befehlszeile öffnen, zum Custom Content SDK-Verzeichnis sample_tests navigieren und die
folgenden Befehle ausführen:
Befehl Ergebnis
1. ./build.sh Erstellt zum Testen ein Docker-Image von CentOS7 mit
Salt.
2. ./up.sh Startet den Testcontainer.
3. ./test.sh salt-call --local state.apply Führt Beispieltests für Prüfungen aus, die Sie im
locke.custom.mounts.my_first_check test=True Verzeichnis salt/locke/custom erstellt haben. Sie
können benutzerdefinierte Prüfungen wie normale
Salt-Zustände initiieren. Weitere Informationen zu Salt-
Zuständen finden Sie in der Vorgehensweise zum
Verwenden von Salt-Zuständen.
4. ./down.sh Führen Sie nach Abschluss des Tests diesen Befehl aus,
um den Testcontainer herunterzufahren.
Nach dem Testen der benutzerdefinierten Inhalte können Sie Erstellen einer benutzerdefinierten
Inhaltsbibliothek.
VMware, Inc. 25Verwenden und Verwalten von SaltStack SecOps
Erstellen einer benutzerdefinierten Inhaltsbibliothek
Nach dem Erstellen der benutzerdefinierten Prüfungen und Benchmarks können Sie eine
benutzerdefinierte Inhaltsbibliothek anlegen.
Voraussetzungen
Erstellen und Testen benutzerdefinierter Konformitätskomponenten
Verfahren
1 Öffnen Sie die Befehlszeile und navigieren Sie zum Stammverzeichnis „Custom Content SDK“.
2 Führen Sie zum Erstellen der benutzerdefinierten Inhaltsbibliothek den Befehl ./secops_sdk
build -a aus.
Nach dem Ausführen des Befehls enthält das Stammverzeichnis des SDK das
Unterverzeichnis _dist und zwei Dateien vom Typ tar.gz, die Sie zum Importieren der
benutzerdefinierten Inhalte verwenden können.
3 Klicken Sie zum Importieren der Inhalte im seitlichen Menü auf Verwaltung > SecOps.
4 Klicken Sie unter Konformitätsinhalte – SaltStack auf Nach Updates suchen.
VMware, Inc. 26Verwenden und Verwalten von SaltStack SecOps 5 Klicken Sie auf Paket hochladen und wählen Sie die Datei tar.gz aus. VMware, Inc. 27
Verwenden und Verwalten von SaltStack SecOps
Hinweis Um die Navigation Ihrer benutzerdefinierten Prüfungen zu vereinfachen, verwenden
Sie die Datei mit einem Zeitstempel im Dateinamen. Sie können Inhalte auch mithilfe
der API (RaaS) oder alternativ während der Installation über die Befehlszeile importieren.
Weitere Informationen finden Sie unter „Sec API-Schnittstelle“ oder in der Dokumentation zur
SaltStack Config-Installation.
Ergebnisse
Ihre benutzerdefinierten Inhalte sind in SaltStack SecOps Compliance verfügbar, um Richtlinien zu
erstellen, Bewertungen auszuführen und die Systeme zu standardisieren.
Vorgehensweise zum Ausführen einer
Übereinstimmungsbewertung
Nach dem Erstellen einer Übereinstimmungsrichtlinie können Sie eine
Übereinstimmungsbewertung durchführen.
Wenn Sie eine Übereinstimmungsbewertung ausführen, wird Ihr System anhand der
integrierten Konformitätsinhaltsbibliothek und (falls zutreffend) anhand der benutzerdefinierten
Konformitätsinhaltsbibliothek auf Übereinstimmung überprüft. Diese Bibliotheken enthalten
Prüfungen und Benchmarks und werden bei einer Änderung des Sicherheitsstatus regelmäßig
aktualisiert. Weitere Informationen zur benutzerdefinierten Inhaltsbibliothek finden Sie unter
Erstellen und Testen benutzerdefinierter Konformitätskomponenten.
Nach der Ausführung der Bewertung können Sie Ihre Ergebnisse anzeigen und alle Knoten
standardisieren, die nicht übereinstimmen.
Nach der Ausführung einer Bewertung werden die Bewertungsergebnisse angegeben und auf
der Startseite der Richtlinie wie folgt angezeigt:
n Übereinstimmung – Die Einstellung befindet sich gemäß einem Vergleich mit dem
Standardwert oder der Benchmark im beabsichtigten Zustand.
n Keine Übereinstimmung – Die Einstellung befindet sich gemäß einem Vergleich mit dem
Standardwert oder der Benchmark nicht im beabsichtigten Zustand. Weitere Untersuchungen
und mögliche Standardisierungen werden empfohlen.
n Nicht anwendbar – Die Einstellung gilt nicht für dieses System. Wenn beispielsweise eine
CentOS-Prüfung auf AIX ausgeführt wird.
n Unbekannt – Bewertung oder Standardisierung wurde nicht ausgeführt.
n Fehler – Beim Ausführen der Bewertung oder Standardisierung hat SaltStack SecOps
Compliance einen Fehler festgestellt.
Hinweis Richtlinien, die viele Prüfungen enthalten, benötigten unter Umständen mehr
Verarbeitungszeit für die Bewertung, wodurch sich andere Prozesse in SaltStack Config
verzögern können. Es wird empfohlen, die Verarbeitungszeit vor dem Initiieren einer Bewertung
zu planen.
VMware, Inc. 28Verwenden und Verwalten von SaltStack SecOps
Voraussetzungen
Vor dem Ausführen einer Bewertung müssen Sie eine Übereinstimmungsrichtlinie
erstellen. Weitere Informationen finden Sie unter Vorgehensweise zum Erstellen einer
Konformitätsrichtlinie.
Verfahren
1 Wählen Sie auf der Startseite SaltStack SecOps Compliance eine Richtlinie aus.
2 Klicken Sie auf der Startseite „Richtlinie“ auf Bewertung ausführen und dann im
Bestätigungsfenster erneut auf Bewertung ausführen.
Das Fenster „Aktivität“ wird geöffnet. Abgeschlossene Bewertungen sind zusammen mit
ihrem Status, ihrer Auftrags-ID und anderen Informationen im Fenster „Aktivität“ aufgeführt.
3 Nach Abschluss der Bewertung wählen Sie zum Anzeigen der Bewertungsdetails die Richtlinie
auf der Startseite SaltStack SecOps Compliance aus.
Auf der Startseite von „Richtlinien“ werden die Ergebnisse der neuesten Bewertung nach
Prüfungen geordnet angezeigt. Sie können die Liste filtern oder Spaltenüberschriften
auswählen, um Ihre Ergebnisse zu sortieren. Zum Anzeigen von Bewertungsergebnissen nach
Minion wählen Sie Minion aus.
Ergebnisse
Die Bewertung ist abgeschlossen, und Sie können Ihre Ergebnisse überprüfen. Zum
Herunterladen des Bewertungsberichts wählen Sie die Richtlinie aus und klicken auf die
Registerkarte Bericht > Herunterladen > JSON.
Nächste Schritte
Nach der Überprüfung Ihrer Bewertungsergebnisse können Sie Vorgehensweise zum Anzeigen
und Standardisieren der Bewertungsergebnisse.
VMware, Inc. 29Verwenden und Verwalten von SaltStack SecOps
Vorgehensweise zum Anzeigen und Standardisieren der
Bewertungsergebnisse
Nach dem Ausführen einer Bewertung und Überprüfen der Bewertungsergebnisse können Sie
alle nicht übereinstimmenden Elemente standardisieren.
Auf der Startseite „Richtlinien“ wird auf der Registerkarte „Aktivität“ eine Liste der
abgeschlossenen und der laufenden Bewertungen und Standardisierungen sowie der
zugehörigen Statusangaben angezeigt:
Status Beschreibung
In der Warteschlange Der Vorgang kann ausgeführt werden, wurde aber von
den Minions noch nicht gestartet.
Abgeschlossen Der Vorgang ist abgeschlossen.
Teilweise Der Vorgang wartet noch auf die Rückkehr bestimmter
Minions, obwohl er bereits abgeschlossen ist.
Wenn während einer Übereinstimmungsbewertung nicht konforme Systeme erkannt wurden,
können Sie sie standardisieren, um eine Übereinstimmung herbeizuführen. Sie können die
Standardisierung für einzelne Prüfungen oder Knoten (Minions) oder alternativ für alle Prüfungen
auf allen Knoten durchführen.
Hinweis Wenn Sie jedoch „Alle standardisieren“ auswählen, werden ausgeschlossene Prüfungen
oder Knoten bei der Standardisierung nicht berücksichtigt.
Sie können Prüf- und Minion-Ausnahmen hinzufügen, indem Sie die Prüfung auf der Startseite
„Richtlinien“ oder das Minion auf der Registerkarte Minions auswählen und auf Ausnahme
hinzufügen klicken. Klicken Sie zum Entfernen einer Ausnahme auf die Registerkarte Ausnahmen,
klicken Sie auf den Dropdown-Pfeil neben der zu entfernenden Ausnahme und dann auf
Ausnahme entfernen.
Voraussetzungen
Vor dem Standardisieren der Ergebnisse müssen Sie zunächst eine Übereinstimmungsbewertung
ausführen. Weitere Informationen finden Sie unter Vorgehensweise zum Ausführen einer
Übereinstimmungsbewertung.
VMware, Inc. 30Verwenden und Verwalten von SaltStack SecOps
Verfahren
1 Wählen Sie auf der Startseite von SaltStack SecOps Compliance eine Richtlinie aus, um die
aktuellen Bewertungsergebnisse anzuzeigen.
2 Folgende Optionen stehen zur Verfügung: „Alle standardisieren“, „Nach Prüfung
standardisieren“ oder „Nach Minion standardisieren“.
a So standardisieren Sie alle: Klicken Sie auf der Registerkarte Prüfungen auf Alle
standardisieren.
b So standardisieren Sie nach Prüfung: Wählen Sie eine Prüfung aus, um die
Prüfungsbeschreibung zu öffnen, führen Sie einen Bildlauf zur Ergebnisliste Ihrer letzten
Bewertung durch, wählen Sie alle zu standardisierenden Minions aus und klicken Sie auf
Standardisieren.
c So standardisieren Sie nach Minion: Klicken Sie auf der Startseite „Richtlinien“ auf die
Registerkarte Minions, wählen Sie ein Minion aus und klicken Sie auf Standardisieren.
Ergebnisse
Nicht übereinstimmende Ergebnisse werden standardisiert und in Übereinstimmung gebracht.
VMware, Inc. 31Vorgehensweise zum Verwenden
von SaltStack SecOps
Vulnerability
5
Bei SaltStack SecOps Vulnerability handelt es sich um eine Lösung zur Behebung von
Schwachstellen. Mit ihr können die Sicherheits- und IT-Teams den Schwachstellenstatus Ihrer
Systeme im Verhältnis zu den neuesten Sicherheitsempfehlungen bewerten, einschließlich der
Bewertungen, die auf die aktuellen CVE-Einträge (Common Vulnerabilities and Exposures,
Häufige Schwachstellen und Anfälligkeiten) verweisen.
Nach dem Prüfen und Erkennen von Empfehlungen kann SaltStack SecOps Vulnerability für jede
Empfehlung, die über ein verfügbares Reparaturpaket verfügt, eine Standardisierung ausführen.
Sie können optional bestimmte Empfehlungen oder Objekte ausschließen, um Ihre Vulnerability
Management-Strategie um andere vorhandene Sicherheitskontrollen herum anzupassen.
SaltStack SecOps Vulnerability unterstützt außerdem den Import von Sicherheitsprüfungen von
Drittanbietern und das Standardisieren dieser Empfehlungen auf betroffenen Objekten, falls eine
Standardisierung verfügbar ist. Dies umfasst derzeit importierte Prüfungen von Tenable, Rapid7,
Qualys und Kenna Security mit einem integrierten API-Konnektor für den Import aus Tenable.io.
SaltStack SecOps Vulnerability bietet verschiedene Optionen zum Melden von Schwachstellen,
einschließlich einer schnellen, druckbaren Dashboard-Ansicht zur Bewertung des
Schwachstellentrends im Zeitverlauf.
VMware, Inc. 32Verwenden und Verwalten von SaltStack SecOps
Nach einer Prüfung können Sie auf eine herunterladbare Liste aller erkannten Schwachstellen
zugreifen. Darin werden auch der jeweilige Name der Empfehlung, der Schweregrad, die
Schwachstellenbewertung und die betroffenen Objekte angegeben. Als SaltStack Config-
Add-On geht SaltStack SecOps Vulnerability über die Bewertung hinaus und nutzt Salt,
um Schwachstellen aktiv zu beheben und gleichzeitig vollständige Kontrolle über den
Standardisierungszeitpunkt und die zu standardisierenden Elemente bereitzustellen.
Dieses Kapitel enthält die folgenden Themen:
n Verwenden der Schwachstellenbibliothek
n Vorgehensweise zum Erstellen einer Schwachstellenrichtlinie
n Vorgehensweise zum Ausführen einer Schwachstellenbewertung
n Anwendungsbeispiel: Vorgehensweise zum Importieren von Sicherheitsüberprüfungen eines
Drittanbieters als Alternative zum Ausführen einer Bewertung
n Vorgehensweise zum Standardisieren von Empfehlungen
Verwenden der Schwachstellenbibliothek
SaltStack Config nutzt einen automatisierten Prozess, um nach den neuesten
Sicherheitsempfehlungen sowie Softwarepaketen oder -versionen zu suchen und Knoten zu
reparieren, die von diesen Schwachstellen betroffen sind. Diese Inhalte werden kontinuierlich in
der Schwachstellenbibliothek erstellt und aktualisiert.
Wenn eine neue Empfehlung oder Standardisierung verfügbar ist, bündelt SaltStack Config
die Bibliothek zu einer TAR-Datei und stellt sie SaltStack SecOps Vulnerability-Kunden zum
Download zur Verfügung. Standardmäßig sucht SaltStack Config täglich nach neuen Inhalten.
Die TAR-Datei der Schwachstellenbibliothek wird verschlüsselt, bevor sie für SaltStack SecOps
Vulnerability-Kunden zur Verfügung gestellt wird. Dies dient der Datenintegrität. Eine SaltStack
SecOps Vulnerability-Lizenz wird mit den erforderlichen Schlüsseln zum Entschlüsseln der TAR-
Datei nach dem Herunterladen zur Verfügung gestellt. Wenn SaltStack SecOps Vulnerability
eine neue TAR-Datei erfasst, kann es 15 bis 20 Minuten dauern, bis die neuesten Inhalte
abgerufen werden. Dies kann die Leistung beeinträchtigen. Wenn Sie den Standardprozess zum
Aktualisieren der Schwachstellenbibliothek verwenden, sollte diese Leistungsverzögerung beim
ersten Herunterladen dieser Inhalte nach der Installation und Aktivierung von SaltStack SecOps
Vulnerability auftreten. Wenn dann eine neue TAR-Datei zum Download zur Verfügung steht,
wird sie erfasst und aktualisiert. Während der Erfassung kann es jedoch je nach Zeitpunkt
des Updates erneut zu einer Verzögerung von 15 bis 20 Minuten kommen. Sie können diese
Verzögerung verringern, indem Sie die Schwachstellenbibliothek manuell aktualisieren. Zum
manuellen Aktualisieren des Inhalts klicken Sie auf Verwaltung > SecOps. Klicken Sie unter
Schwachstelleninhalte auf Nach Updates suchen.
VMware, Inc. 33Sie können auch lesen
