这部分内容由两篇系列文章组成,本文为第一篇。在本文中,我们将回过头来审视不断变化的 IT 安全风险环境及其对企业的影响,随后我们将介绍一个推荐的自动化合规架构。在第二部分,我们将演示使用红帽智能分析和红帽 Ansible 自动化平台时,自动化合规架构的实际效果。
所有拥有或坐过汽车的人都可能至少看到过汽车仪表板上的一个或多个符号。当出现需要引起重视的问题时,仪表板会发出指示。您往往会发现,如果问题得不到解决,最终会消耗车主更多的时间和精力,增加他们的压力。当警告和建议出现时,如果我们不第一时间采取措施,防止其演变成更严重的问题,我们能否承担得起相应后果?
在企业遵守监管和安全合规要求方面,红帽可以充当您的仪表板和机械师,使用智能分析和 Ansible 自动化平台,帮助您保持领先,确保合规。
不断变化的风险形势
根据 2020 年 Gartner 报告,75% 的 CIO 都在投资改进网络风险缓解措施。过去几年,这一数字可能有所增加。企业在努力改进其网络风险缓解措施的同时,还必须满足合规性和监管要求,这无疑又增加了一层复杂性。
安全合规性决定了系统有没有遵守合规性策略中的规定。然而,需要遵守的各种监管标准源源不断。例如,美国国家标准与技术研究院(NIST,提供有关技术相关问题的准则)标准、支付卡行业数据安全标准(PCI-DSS,用于在收款时保护自身及客户的安全)等。本文重点介绍互联网安全中心(CIS)标准。CIS 是一个致力于保护公共组织和私营企业免受网络威胁的非营利组织。
需要注意的是,不存在所谓的标准安全防护策略。不同企业,甚至同一企业内的不同系统需要遵循的策略也会有所不同。系统的用途各不相同,系统也可能具有不同的重要性等级。在安全合规性方面,确实没有放之四海而皆准的法则。
为什么要重视?在合规方面,您采取的解决方案对整个企业的高管和员工都有影响。每个角色在合规性方面需要考虑的事项各不相同。现在,我们来了解两个关键角色,即首席信息安全官(CISO)和系统管理员。
CISO 要考虑的事项包括:
提高技术和基础架构的灵活性和敏捷性,同时保持适当的安全态势
满足合规性和监管要求
避免因 IT 中断或安全漏洞产生负面头条新闻
系统管理员(或大型机构中的安全管理员)要考虑的事项包括:
制定和支持企业级安全标准、最佳实践、预防措施和灾难恢复计划
监控网络安全漏洞,调查所发生的违规行为
实施和更新软件以保护数据
2021 年,Gartner 报告称,如果出现 IT 停机,客户平均每小时的损失达 300,000 美元。报告称,具体成本取决于诸多因素,包括收入、行业、服务中断的持续时间、受影响的人数以及服务中断发生的时间。
报告中详细列举了可能出现重大经济损失的示例——依赖高数据交易的公司(如银行和在线零售)的数据量会激增,在一天当中的使用高峰期遇到中断的服务也会如此。因此,公司一直在寻找解决方案来管理无序扩张,降低风险,并利用有限的资源更好地开展工作。红帽提供的解决方案可以帮助应对这些挑战,如红帽卫星、Ansible 自动化平台和智能分析。
合规架构
接下来,我们会介绍其中一些技术如何协同工作,以产生更合适的合规性架构。
据说,当有人遇到再也不想解决的问题时,自动化就产生了。但是,该从哪里入手呢?红帽在 GitHub 上开展了一个名为合规性即代码(CaC)的项目。CaC 项目具有一个以自动化方式开发合规性内容的框架。该框架不仅可以管理配置,还可以保护容器、操作系统、应用、容器平台和服务,并进行演示。这些内容最终都会被送入 OpenSCAP 项目。
OpenSCAP 已通过 NIST 验证和认证,是红帽精选的安全扫描程序,通常与红帽企业 Linux(RHEL)和红帽卫星订阅搭配使用。OpenSCAP 可执行已知漏洞和安全合规性扫描,并可提供自动化支持。事实上,很多 Ansible 修复 playbook 都是由红帽提供并支持的。
利用 OpenSCAP,您可以更进一步,通过 SCAP Workbench 图形界面生成可自定义的内容。我们知道,为满足既定标准,每个企业可能都有自己的一套定制流程,而 OpenSCAP 平台的强大之处在于,它非常便于自定义策略以反映企业自己的流程。本系列文章第二部分将通过一个示例为您展示如何处理此问题,实际上,在这方面可采取的方法有很多。
正如本文前面所述,CIS 致力于帮助保护公共组织和私营企业免受网络威胁。其中一种方法是实施 CIS 基准测试,即 IT 系统、软件和网络安全配置的已成文行业最佳实践。一个基准测试配置文件 (图 1,可从易于下载的 CIS 基准测试 PDF 文件 中查看)通常包含:
基准测试配置文件概述标题
配置文件适用区域(服务器或工作站)及其是 1 级还是 2 级配置文件,其中 2 级配置文件要求的安全性更高
配置文件的说明
基准测试配置文件的基本原理
图 1:基准测试配置文件 5.2.11(CIS 红帽企业 Linux 8 基准测试 v2.0.0)
幸运的是,文档中还提供了满足基准配置文件所需采取的修复:
图 2:针对基准测试配置文件 5.2.11 的修复
以下是如何使用 Ansible playbook 轻松实施上述配置文件的示例摘录:
- name: ssh disable PermitEmptyPasswords lineinfile: state: present dest: /etc/ssh/sshd_config regexp: ^#?PermitEmptyPasswords line: PermitEmptyPassword no notify: restart sshd
Ansible 自动化平台与 OpenSCAP 如何协同运行
到目前为止,我们已经了解 红帽 Ansible 自动化平台 是如何帮助实现合规性的,那么该平台又是如何以自动化方式与 OpenSCAP 协同运行的呢?
图 3:自动化合规工作流
参考图 3,设想的工作流如下:
Ansible 动态插件将前往事实来源,以发现需要管理的已注册节点
事实来源是您的注册节点所需的平台,例如红帽智能分析、VMware 和 AWS
需要代码才能真正修复更改 — 代码取自 Git,您可以从中提取正确的规则和 playbook 以送入 Ansible 自动化平台
现在,您可以根据您的需要自由选择设备进行修复,包括 Linux 服务器、Windows、Cisco 等等。
最后,您需要通过执行预扫描和后扫描来了解主机所处的状态及其修复状态,您可以使用一些工具来提供这种可见性,如红帽智能分析中的 OpenSCAP、Tenable 和 Tripwire
图 3 中用红色虚线圈出的图标是我们在第二部分修复演示中将会用到的图标,出现在此工作流中旨在说明实际用例是无限的。您可能还会注意到,智能分析功能在工作流的多个方面都发挥作用。由于我们主要会在修复中使用智能分析,因此了解其如何帮助您主动管理合规性水平非常有用。
红帽智能分析是一款软件即服务(SaaS)产品,可通过混合云控制台获取。智能分析可帮助您分析和主动预测整个 IT 资产的状况,并从技术角度对妨碍您实现最佳运维状态的风险进行分类。智能分析还可通过其顾问服务为您提供建议,并可自动执行所提供的修复措施。
即使您不是智能分析的直接使用人或红帽环境的管理员,智能分析仍可为企业带来额外价值。
图 4:红帽智能分析可为企业带来的总体优势
想要知道最新漏洞是否会影响您的业务?智能分析可在几秒钟内从所有已注册系统中提取列表。
系统是否会受到上述漏洞的影响?红帽智能分析工具将生成一个 playbook,供您手动运行以修复这些问题。如果您希望自动执行此操作,可使用云连接器将卫星连接到智能分析,然后点击相应按钮即可自动执行修复。
此项设置最终有助于团队从被动模式转变为主动模式,让团队能够在事件发生之前主动降低风险,而不是对正在发生的事件做出反应,继而能够自由地专注于对业务发展至关重要、更具战略意义和价值的计划。
红帽智能分析提供的合规服务
智能分析中提供的合规服务基于 OpenSCAP 报告构建。这样有助于客户在其红帽环境中评估、监视、报告和修复内外部监管及合规性要求。
图 5:从红帽智能分析控制台观察到的合规服务仪表板
在合规服务中,您可以对照 RHEL 系统安全指南中的策略评估某个系统,也可以从头创建自己的策略。
如果所用 OpenSCAP 版本不受所用 RHEL 版本的支持,合规服务将高亮显示(图 5)。此外,如果您有分配到主机的系统,但相应系统完全不向智能分析报告内容,您也可通过控制台轻松观察到这一情况。
对于每项策略,您都能够看到根据相应策略所评估的系统数量,以及系统在相应策略上的合规水平。每个策略都有一个可配置的阈值,方便您在应用层面设置风险阈值。
您还可选择通过合规服务来自定义策略中的规则,并快速实施针对性监控。或者,您还可以使用 SCAP 工作台来自定义策略。但是,如果您选择在 SCAP 工作台中定制策略,智能分析将无法检查所做出的定制更改,必须直接在智能分析中更改才能检查。
请注意,在 RHEL 上部署 OpenSCAP 对于每个系统来说都是一种强行实施的方法。然而,有很多方法可以实现扩展,比如使用通过云连接器连接智能分析的红帽卫星,这样您可以相对轻松地部署很多(甚至数百或数千)系统。
总而言之,在企业的合规管理方面,智能分析可同时充当您的仪表盘和检查工具,让您在值得信赖的机械师“Ansible”的帮助下,主动预见一些问题,并将其扼杀在萌芽状态。
了解更多
关于作者
Ally Kouao is a Portfolio Solution Architect based in the UK, who joined Red Hat in 2019. Her areas of interest and expertise encompass all things to do with security and automation.
