Perspectivas de Red Hat: Cumplimiento | Activar el administrador del sistema

En este documento, el cuarto de mi serie que presenta Red Hat Insights y sus muchas funciones (Parte 1, Parte 2, Parte 3), explicaré cómo uso Insights para verificar el cumplimiento de mis sistemas.

Antes de comenzar, una nota: para verificar el cumplimiento de los sistemas, los paquetes escáner opencap y scap-guía-de-seguridad debe estar instalado en sus sistemas, además de Insights Client.

Índice

    Crear una política de cumplimiento y asignar sistemas

    En pocas palabras, el cumplimiento significa seguir las reglas o cumplir con las especificaciones. Por lo tanto, necesita una guía con un conjunto de reglas contra las cuales pueda alinear sus sistemas. Por lo tanto, el primer paso es crear una política de cumplimiento. Hasta que haya hecho eso, no hay nada que ver en el panel de Insights (ver Fig. 1).

    Higo. 1

    Un asistente lo guiará a través de los distintos cuadros de diálogo que encontrará durante el proceso de instalación (consulte la Fig. 2-7). Para mi prueba, creé una política SCAP para sistemas RHEL 7 usando el "Perfil de seguridad del sistema estándar para Red Hat Enterprise Linux 7" (ver fig. 2 y 3). Sin saber qué esperar, establecí el umbral de cumplimiento en 96% (ver Fig. 4). El siguiente paso (Fig. 5) enumera las reglas contenidas en el perfil, con la posibilidad de mostrar una descripción detallada de cada regla. En este punto, las reglas individuales se pueden deshabilitar si considera que no son importantes. Para esta prueba, dejo todas las reglas activadas y tengo curiosidad por el resultado.

    Información sobre OpenSCAP

    La Figura 6 muestra el diálogo de selección en el que se asignan los sistemas a la política a crear. Básicamente, puede usar diferentes políticas para diferentes sistemas, o puede tener sistemas individuales auditados para más de una política. Para esta prueba, los 13 sistemas se asignaron a la política actual.

    2
    3
    4
    5
    Figura 6
    7
    Figura 8

    Al final del asistente, verá un resumen (Fig. 7) antes de la creación de la póliza. Luego, la estrategia que acaba de crear se puede encontrar en la descripción general de la Figura 8.

    Realizar un análisis de cumplimiento

    En la sección anterior, se desarrolló una política SCAP y se vinculó a los sistemas existentes. Para verificar el cumplimiento del sistema, se debe iniciar Insights Client en cada sistema con la opción --compliance. El siguiente bloque de código muestra un ejemplo de una llamada interactiva:

    #
    insights-client --compliance
    Running scan for xccdf_org.ssgproject.content_profile_standard… this may take a while
    Uploading Insights data.
    Successfully uploaded report for foo.example.com.
    #

    Si desea verificar regularmente sus sistemas con el análisis de cumplimiento, esto puede resolverse mediante un trabajo cron o un libro de jugadas de Ansible que se ejecute regularmente.

    Nota: Este no es el análisis normal del cliente de Insights, que se realiza a diario y envía información al servicio SaaS.

    El informe descargado es visible en el menú Cumplimiento del panel de Insights unos minutos más tarde.

    Informes de cumplimiento

    El menú Cumplimiento en el panel de Insights también ofrece la descripción general tabular que recordará de los artículos anteriores de esta serie. Esto lo lleva a una vista que enumera los sistemas con su puntaje de cumplimiento respectivo y la cantidad de reglas que se violaron (consulte la Fig. 9).

    9

    La figura 10 muestra una sección de un informe para un sistema seleccionado. Aquí se enumeran las reglas de cumplimiento con nombre e identificación. Además, puede ver de un vistazo la gravedad, si la prueba fue exitosa y si existe un Playbook de corrección de Ansible.

    10

    En la Figura 10, se ha desarrollado una regla de ejemplo para mostrar la información detrás de ella. Esto muestra qué configuraciones deben existir para cumplir con esa regla específica. En este punto, no solo recibe información general, sino también recomendaciones explícitas para la acción. Además, para cada regla hay una indicación de las razones por las que parece conveniente implementar las acciones recomendadas.

    Conclusión

    Aunque nuestros sistemas no están vinculados a ninguna política específica en la actualidad, no es una mala idea familiarizarse con esas políticas y adherirse a sus reglas aparentemente sensatas.

    El panel de Insights no habría sido necesario para crear informes de cumplimiento y derivar una línea base de configuración a partir de ellos. Con openscap-scanner y scap-security-guide, también se pueden crear y analizar localmente en cada sistema informes para perfiles SCAP seleccionados.

    En este punto, el panel de Insights ofrece el valor agregado de tener toda la información relevante disponible o vinculada en un solo lugar. Ya no es necesario cambiar entre diferentes aplicaciones y los resultados se pueden comparar más fácilmente.

    Los Playbooks de Ansible Remediation disponibles causan una buena impresión y son adecuados para establecer los parámetros necesarios para cumplir con una regla concreta. Sin embargo, no los ejecuto directamente en mi infraestructura, sino que los uso como punto de partida para mis propios manuales y modelos. De esta manera tengo una mejor oportunidad de aprendizaje.

    Artículos de interés

    Subir