Pemindaian Kepatuhan di AWS OpsWorks for Chef Automate

penting

AWS OpsWorks untuk Chef Automate mencapai akhir masa pakai pada 5 Mei 2024 dan telah dinonaktifkan untuk pelanggan baru dan lama. Kami menyarankan agar pelanggan yang sudah ada bermigrasi ke Chef SaaS atau solusi alternatif. Jika Anda memiliki pertanyaan, Anda dapat menghubungi AWS Support Tim di AWS RE:Post atau melalui AWS Dukungan Premium.

Pemindaian kepatuhan memungkinkan Anda melacak kepatuhan node terkelola di infrastruktur Anda berdasarkan kebijakan yang telah ditentukan sebelumnya, juga disebut aturan. Tampilan kepatuhan memungkinkan Anda secara teratur mengaudit aplikasi Anda untuk kerentanan dan konfigurasi yang tidak sesuai. Chef menawarkan lebih dari 100 profil kepatuhan yang telah ditentukan sebelumnya —kumpulan aturan yang berlaku untuk konfigurasi node tertentu—yang dapat Anda gunakan dalam pemindaian kepatuhan Anda. Anda juga dapat menggunakan InSpec bahasa Chef untuk membuat profil kustom Anda sendiri.

Jika server Anda belum menjalankan Chef Automate 2.0, Anda dapat mengatur Kepatuhan Chef secara manual, dengan menginstal buku masak Audit.

catatan

Versi minimum yang didukung dari perangkat lunak agen klien Chef Infra (chef-client) pada node yang terkait dengan AWS OpsWorks for Chef Automate server adalah 13. x. Kami merekomendasikan menjalankan chef-client versi terbaru, stabil, atau setidaknya 14.10.9.

Kepatuhan dalam Chef Automate 2.0

Jika AWS OpsWorks for Chef Automate server Anda menjalankan Chef Automate 2.0, siapkan Kepatuhan Chef dengan menggunakan prosedur di bagian ini.

Menjalankan Pekerjaan Pemindaian Kepatuhan dengan Chef Automate 2.0

Chef Automate 2.0 mencakup kemampuan InSpec pemindaian kepatuhan Chef yang sebelumnya memerlukan pengaturan manual dan konfigurasi buku masak. Anda dapat menjalankan pekerjaan pemindaian di AWS OpsWorks for Chef Automate server yang menjalankan Chef Automate 2.0. Pekerjaan dapat dijalankan segera (satu kali), dijadwalkan untuk lain waktu, atau dijadwalkan untuk berjalan pada interval tertentu, seperti setiap hari atau setiap dua jam. Hasil pekerjaan pemindaian dikirim ke pelaporan kepatuhan. Anda dapat melihat dan mengambil tindakan pada hasil pemindaian kepatuhan di dasbor Chef Automate. Untuk membuka tab Kepatuhan dan melihat laporan, pada tab Pindai Pekerjaan di dasbor Chef Automate, pilih Laporkan di sebelah kanan baris node terkelola.

Untuk menjalankan pekerjaan pemindaian pada node terkelola, Anda harus memiliki yang berikut ini.

• Setidaknya satu profil kepatuhan dipasang di namespace Anda.

• Setidaknya satu node target, baik yang ditambahkan secara manual, atau instans EC2 ditambahkan secara otomatis.

Di AWS OpsWorks for Chef Automate, pekerjaan pemindaian didukung pada target berikut.

• Node yang ditambahkan secara manual

• Instans aws-ec2

• Wilayah AWS

Untuk petunjuk mendetail tentang cara menjalankan pekerjaan pemindaian, lihat Chef Automate Scan Jobs di dokumentasi Chef.

(Opsional, Chef Automate 2.0) Menyiapkan Kepatuhan dengan Buku Masak Audit

Anda dapat mengonfigurasi kepatuhan pada AWS OpsWorks for Chef Automate server mana pun. Setelah meluncurkan AWS OpsWorks for Chef Automate server, Anda dapat menginstal profil dari dasbor Chef Automate, atau menambahkan profil yang diinginkan ke atribut buku masak Audit di file Policyfile.rb kebijakan. Policyfile.rbFile yang sudah diisi sebelumnya disertakan dalam starter kit.

Setelah Anda mengedit Policyfile.rb dengan profil sebagai atribut buku masak Audit, jalankan chef push perintah untuk mengunggah buku masak Audit dan buku masak lainnya yang ditentukan Policyfile.rb ke server Chef Automate Anda. Memasang buku masak Audit juga menginstal permata untuk Chef InSpec, kerangka pengujian dan audit sumber terbuka yang diproduksi oleh Chef. Untuk Chef Automate 2.0, pilih versi 7.1.0 atau yang lebih baru dari buku masak Audit. InSpec Permata harus versi 2.2.102 atau yang lebih baru.

Petunjuk di bagian ini menunjukkan kepada Anda bagaimana menerapkan opsworks-audit buku masak. Buku masak Audit mengunduh profil tertentu dari server Chef Automate, menilai node terhadap profil DevSec SSH Baseline, dan melaporkan hasil pemindaian kepatuhan pada setiap proses. chef-client

Untuk menginstal profil kepatuhan

1. Jika Anda belum melakukannya, masuk ke dasbor berbasis web Chef Automate. Gunakan kredenal yang Anda terima saat mengunduh Starter Kit saat Anda AWS OpsWorks for Chef Automate membuat server.

2. Di dasbor Chef Automate, pilih tab Asset Store.

   

3. Pilih tab Tersedia untuk melihat profil yang telah ditentukan sebelumnya.

4. Jelajahi daftar profil. Pilih profil yang cocok dengan sistem operasi dan konfigurasi setidaknya satu dari node terkelola Anda. Untuk melihat detail tentang profil, termasuk deskripsi pelanggaran yang ditargetkan profil dan kode aturan yang mendasarinya, pilih > di sebelah kanan entri profil. Anda dapat memilih beberapa profil. Jika Anda menyiapkan contoh di Starter Kit, pilih DevSec SSH Baseline.

   

5. Untuk menginstal profil yang dipilih di server Chef Automate Anda, pilih Dapatkan.

6. Setelah Anda menginstal profil, profil ditampilkan di tab Profil di dasbor Chef Automate.

Untuk menginstal buku masak dengan Policyfile.rb

1. Lihat Policyfile.rb di Starter Kit Anda untuk melihat bahwa atribut untuk buku masak Audit menentukan ssh-baseline profil di['profiles'].

   # Define audit cookbook attributes
   default["opsworks-demo"]["audit"]["reporter"] = "chef-server-automate"
   default["opsworks-demo"]["audit"]["profiles"] = [
     {
       "name": "DevSec SSH Baseline",
       "compliance": "admin/ssh-baseline"
     }
   ]

2. Unduh dan instal buku masak yang ditentukan dalamPolicyfile.rb.

   chef install

   Semua buku masak diberi versi dalam file buku masak. metadata.rb Setiap kali Anda mengganti buku masak, Anda harus menaikkan versi buku masak yang ada di dalamnya. metadata.rb

3. Dorong kebijakanopsworks-demo, yang ditentukan dalamPolicyfile.rb, ke server Anda.

   chef push opsworks-demo

4. Verifikasi pemasangan kebijakan Anda. Jalankan perintah berikut.

   chef show-policy

   Hasilnya harus menyerupai yang berikut:

   opsworks-demo-webserver 
   ======================= 
   * opsworks-demo:  ec0fe46314

5. Tambahkan node ke server Anda untuk mengelola, jika Anda belum melakukannya. Untuk menghubungkan node pertama Anda ke AWS OpsWorks for Chef Automate server, gunakan userdata.sh skrip yang disertakan dalam Starter Kit ini. Ini menggunakan AWS OpsWorks AssociateNode API untuk menghubungkan node ke server Anda.

   Anda dapat mengotomatiskan asosiasi node dengan mengikuti langkah-langkahTambahkan node secara otomatis di AWS OpsWorks for Chef Automate, atau menambahkan node satu per satu dengan mengikuti langkah-langkah dalamTambahkan node satu per satu.

6. Setelah Anda memperbarui daftar run untuk node Anda, chef-client agen menjalankan resep yang Anda tentukan pada proses berikutnya. Secara default, ini terjadi setiap 1800 detik (30 menit). Setelah dijalankan, Anda dapat melihat dan mengambil tindakan pada hasil kepatuhan dari tab Kepatuhan di dasbor Chef Automate.

   

Menjalankan Pemindaian Kepatuhan

Anda akan melihat hasil pemindaian kepatuhan di dasbor Chef Automate segera setelah menjalankan agen pertama yang terjadi setelah Anda mengonfigurasi daftar run node.

Di dasbor Chef Automate, pilih tab Kepatuhan. Di panel navigasi kiri, pilih Pelaporan. Pilih tab Profil, pilih Hasil Pindai, lalu pilih simpul dengan kegagalan pemindaian untuk mempelajari lebih lanjut tentang aturan yang menyebabkan node gagal.

Biasanya, Anda melihat hasil pemindaian yang tidak sesuai, karena node baru belum memenuhi semua aturan di profil Baseline DevSec SSH. The DevSec Hardening Framework, sebuah proyek berbasis komunitas, menawarkan buku masak untuk memperbaiki masalah yang melanggar aturan dalam profil SSH Baseline. DevSec

(Opsional) Menyelesaikan Hasil yang Tidak Sesuai

Starter kit menyertakan buku masak sumber terbuka,ssh-hardening, yang dapat Anda jalankan untuk memperbaiki hasil yang tidak sesuai dari proses terhadap profil SSH Baseline. DevSec

catatan

ssh-hardeningBuku masak membuat perubahan pada node Anda untuk mematuhi aturan DevSec SSH Baseline. Sebelum menjalankan buku masak ini di node produksi apa pun, tinjau detail tentang profil DevSec SSH Baseline di konsol Chef Automate untuk memahami pelanggaran aturan yang ditargetkan oleh buku masak. Tinjau informasi tentang ssh-hardeningbuku masak sumber terbuka sebelum menjalankannya di node produksi apa pun.

Untuk menjalankan buku ssh-hardening masak

1. Dalam editor teks, tambahkan ssh-hardening buku masak ke daftar run. Policyfile.rb Daftar Policyfile.rb run harus cocok dengan yang berikut ini.

   run_list  'chef-client', 'opsworks-webserver', 'audit', 'ssh-hardening'

2. PerbaruiPolicyfile.rb, dan dorong ke AWS OpsWorks for Chef Automate server Anda.

   chef update Policyfile.rb
      chef push opsworks-demo

3. Node yang terkait dengan opsworks-demo kebijakan memperbarui daftar jalankan secara otomatis, dan menerapkan ssh-hardening buku masak pada proses berikutnyachef-client.

   Karena Anda menggunakan chef-client buku masak, node Anda memeriksa secara berkala (secara default, setiap 30 menit). Pada check-in berikutnya, ssh-hardening buku masak berjalan, dan membantu meningkatkan keamanan node untuk memenuhi aturan profil DevSec SSH Baseline.

4. Setelah menjalankan awal ssh-hardening buku masak, tunggu 30 menit agar pemindaian kepatuhan berjalan lagi. Lihat hasilnya di dasbor Chef Automate. Hasil yang tidak sesuai yang terjadi pada awal pemindaian DevSec SSH Baseline harus diselesaikan.

Kepatuhan dalam Chef Automate 1. x

Jika AWS OpsWorks for Chef Automate server Anda menjalankan Chef Automate 1. x, atur Kepatuhan Koki dengan menggunakan prosedur di bagian ini.

(Opsional, Chef Automate 1. x) Menyiapkan Kepatuhan Koki

Anda dapat mengonfigurasi Kepatuhan Koki di AWS OpsWorks for Chef Automate server mana pun. Setelah Anda meluncurkan AWS OpsWorks for Chef Automate server, pilih profil yang ingin Anda jalankan dari profil di dasbor Chef Automate. Setelah Anda menginstal profil, jalankan berks perintah untuk mengunggah buku masak Audit ke server Chef Automate Anda. Menginstal buku masak Audit juga menginstal permata untuk InSpec, kerangka pengujian sumber terbuka yang diproduksi oleh Chef yang memungkinkan Anda mengintegrasikan pengujian otomatis ke dalam setiap tahap pipeline penerapan Anda. Untuk Chef Automate 1. x, pilih versi 5.0.1 atau yang lebih baru dari buku masak Audit. InSpec Permata harus versi 1.24.0 atau yang lebih baru.

AWS OpsWorks for Chef Automate Starter kit mencakup buku masak pembungkus,opsworks-audit, yang mengunduh dan menginstal versi buku masak Chef's Audit yang tepat untuk Anda. opsworks-auditBuku masak juga menginstruksikan chef-client agen untuk menilai node terhadap profil DevSecSSH Baseline yang Anda instal dari konsol Kepatuhan Chef nanti dalam topik ini. Anda dapat mengatur Kepatuhan dengan menggunakan salah satu buku masak yang sesuai dengan preferensi Anda. Petunjuk di bagian ini menunjukkan kepada Anda bagaimana menerapkan opsworks-audit buku masak.

Untuk menginstal profil Kepatuhan

1. Jika Anda belum melakukannya, masuk ke dasbor berbasis web Chef Automate. Gunakan kredenal yang Anda terima saat mengunduh Starter Kit saat Anda AWS OpsWorks for Chef Automate membuat server.

2. Di dasbor Chef Automate, pilih tab Kepatuhan.

   

3. Di bilah navigasi kiri, pilih Toko Profil, lalu pilih tab Tersedia untuk melihat profil yang telah ditentukan sebelumnya.

4. Jelajahi daftar profil. Pilih profil yang cocok dengan sistem operasi dan konfigurasi setidaknya satu dari node terkelola Anda. Untuk melihat detail tentang profil, termasuk deskripsi pelanggaran yang ditargetkan profil dan kode aturan yang mendasarinya, pilih > di sebelah kanan entri profil. Anda dapat memilih beberapa profil.

   

5. Untuk menginstal profil yang dipilih di server Chef Automate Anda, pilih Dapatkan.

6. Ketika unduhan selesai, lanjutkan ke prosedur selanjutnya.

Untuk menginstal dan mengatur buku opsworks-audit masak

1. Langkah ini opsional, tetapi menghemat waktu di Langkah 6, saat Anda menambahkan resep ke daftar run node. Edit roles/opsworks-example-role.rb file yang disertakan dalam starter kit yang Anda unduh selama pembuatan AWS OpsWorks for Chef Automate server Anda. Tambahkan baris berikut. Baris terakhir dikomentari, karena menambahkan ssh-hardening buku masak dan resep untuk menyelesaikan node yang tidak sesuai setelah pemindaian Kepatuhan Anda berjalan adalah opsional.

   run_list(
        "recipe[chef-client]",
        "recipe[apache2]",
        "recipe[opsworks-audit]"
        # "recipe[ssh-hardening]"
          )

2. Gunakan editor teks untuk menentukan buku masak yang Anda inginkan di Berksfile Anda. Sampel Berksfile disediakan untuk Anda di starter kit. Dalam contoh ini, kami menginstal buku masak Chef Infra client (chef-client), buku apache2 masak, dan buku masak. opsworks-audit Berksfile Anda harus menyerupai yang berikut ini.

   source 'https://supermarket.chef.io
        cookbook 'chef-client'
        cookbook 'apache2', '~> 5.0.1'
        cookbook 'opsworks-audit', path: 'cookbooks/opsworks-audit', '~> 1.0.0'

   Semua buku masak diberi versi dalam file buku masak. metadata.rb Setiap kali Anda mengganti buku masak, Anda harus menaikkan versi buku masak yang ada di dalamnya. metadata.rb

3. Jalankan perintah berikut untuk mengunduh dan menginstal buku masak ke cookbooks folder di komputer lokal atau komputer Anda yang berfungsi.

   berks vendor cookbooks

4. Jalankan perintah berikut untuk mengunggah buku masak vendor ke server Anda. AWS OpsWorks for Chef Automate

   knife upload .

5. Jalankan perintah berikut untuk memverifikasi instalasi opsworks-audit buku masak dengan menunjukkan daftar buku masak yang saat ini tersedia di server.

   knife cookbook list

6. Tambahkan node ke server Anda untuk mengelola, jika Anda belum melakukannya. Anda dapat mengotomatiskan asosiasi node dengan mengikuti langkah-langkahTambahkan node secara otomatis di AWS OpsWorks for Chef Automate, atau menambahkan node satu per satu dengan mengikuti langkah-langkah dalamTambahkan node satu per satu. Edit daftar run node Anda untuk menambahkan peran yang Anda tentukan di Langkah 1,opsworks-example-role. Dalam contoh ini, kami mengedit RUN_LIST atribut dalam userdata skrip yang Anda gunakan untuk mengotomatiskan asosiasi node.

   RUN_LIST="role[opsworks-example-role]"

   Jika Anda melewati Langkah 1, dan tidak mengatur peran, tambahkan nama-nama resep individual ke daftar run. Simpan perubahan Anda, dan ikuti langkah-langkah Langkah 3: Buat Instans dengan Menggunakan Skrip Asosiasi Tanpa Pengawasan untuk menerapkan skrip data pengguna Anda ke instans Amazon EC2.

   RUN_LIST="recipe[chef-client],recipe[apache2],recipe[opworks-audit]"

7. Setelah Anda memperbarui daftar run untuk node Anda, chef-client agen menjalankan resep yang Anda tentukan pada proses berikutnya. Secara default, ini terjadi setiap 1800 detik (30 menit). Setelah dijalankan, hasil Kepatuhan Anda akan terlihat di dasbor Chef Automate.

Menjalankan Pemindaian Kepatuhan

Anda akan melihat hasil pemindaian kepatuhan di dasbor Chef Automate segera setelah menjalankan pertama daemon agen yang terjadi setelah Anda mengonfigurasi daftar run node.

Di dasbor Chef Automate, pilih tab Kepatuhan. Di panel navigasi kiri, pilih Pelaporan. Pilih tab Profil, pilih Hasil Pindai, lalu pilih simpul dengan kegagalan pemindaian untuk mempelajari lebih lanjut tentang aturan yang menyebabkan node gagal.

Biasanya, Anda melihat hasil pemindaian yang tidak sesuai, karena node baru belum memenuhi semua aturan di profil Baseline DevSec SSH. The DevSec Hardening Framework, sebuah proyek berbasis komunitas, menawarkan buku masak untuk memperbaiki masalah yang melanggar aturan dalam profil SSH Baseline. DevSec

(Opsional) Menyelesaikan Hasil yang Tidak Sesuai

Starter kit menyertakan buku masak sumber terbuka,ssh-hardening, yang dapat Anda jalankan untuk memperbaiki hasil yang tidak sesuai dari proses terhadap profil SSH Baseline. DevSec

catatan

ssh-hardeningBuku masak membuat perubahan pada node Anda untuk mematuhi aturan DevSec SSH Baseline. Sebelum menjalankan buku masak ini di node produksi apa pun, tinjau detail tentang profil DevSec SSH Baseline di konsol Chef Automate untuk memahami pelanggaran aturan yang ditargetkan oleh buku masak. Tinjau informasi tentang ssh-hardeningbuku masak sumber terbuka sebelum menjalankannya di node produksi apa pun.

Untuk menjalankan buku ssh-hardening masak

1. Dalam editor teks, tambahkan ssh-hardening buku masak ke Berksfile Anda. Berksfile Anda harus menyerupai yang berikut ini.

   source 'https://supermarket.chef.io'
        cookbook 'chef-client'
        cookbook 'apache2', '~> 5.0.1'
        cookbook 'opsworks-audit', path: 'cookbooks/opsworks-audit', '~> 1.0.0' # optional
        cookbook 'ssh-hardening'

2. Jalankan perintah berikut untuk mengunduh ssh-hardening buku masak ke folder buku masak lokal Anda, lalu unggah ke server Anda AWS OpsWorks for Chef Automate .

   berks vendor cookbooks
   knife upload .

3. Tambahkan ssh-hardening resep ke daftar run node Anda seperti yang dijelaskan dalam Langkah 1 dan 6Untuk menginstal dan mengatur buku opsworks-audit masak.

   Jika Anda memperbarui opsworks-example-role.rb file, unggah perubahan Anda ke server Anda dengan menjalankan perintah berikut.

   knife upload .

   Jika Anda memperbarui daftar run secara langsung, unggah perubahan dengan menjalankan perintah berikut. Nama node biasanya ID instance.

   knife node run_list add <node name> 'recipe[ssh-hardening]'

4. Karena Anda menggunakan chef-client buku masak, node Anda memeriksa secara berkala (secara default, setiap 30 menit). Pada check-in berikutnya, ssh-hardening buku masak berjalan, dan membantu meningkatkan keamanan node untuk memenuhi aturan profil DevSec SSH Baseline.

5. Setelah menjalankan awal ssh-hardening buku masak, tunggu 30 menit agar pemindaian Kepatuhan berjalan kembali. Lihat hasilnya di dasbor Chef Automate. Hasil yang tidak sesuai yang terjadi pada awal pemindaian DevSec SSH Baseline harus diselesaikan.

Pembaruan Kepatuhan

Di AWS OpsWorks for Chef Automate server, fungsionalitas kepatuhan diperbarui secara otomatis oleh pemeliharaan sistem terjadwal Anda. Saat rilis terbaru Chef Automate, Chef Infra Server, dan Chef InSpec tersedia untuk AWS OpsWorks for Chef Automate server Anda, Anda mungkin perlu memeriksa dan memperbarui versi buku masak Audit dan InSpec permata Chef yang didukung yang berjalan di server Anda. Profil yang telah Anda instal di AWS OpsWorks for Chef Automate server Anda tidak diperbarui sebagai bagian dari pemeliharaan.

Profil Kepatuhan Komunitas dan Kustom

Chef saat ini mencakup lebih dari 100 profil pemindaian kepatuhan. Anda dapat menambahkan profil komunitas dan kustom ke daftar, lalu mengunduh dan menjalankan pemindaian kepatuhan berdasarkan profil tersebut, seperti yang Anda lakukan untuk profil yang disertakan. Profil kepatuhan berbasis komunitas tersedia dari Chef Supermarket. Profil kustom adalah program berbasis Ruby yang menyertakan folder kontrol yang menentukan aturan pemindaian Anda.

Lihat Juga

• Posting blog pengumuman Kepatuhan Chef

• Pelatihan online Kepatuhan Chef Automate

• InSpecSitus Chef

• InSpec Tutorial Koki