云享家基于SSM+ChefInSpec的操作系统合规审计.PDFVIP

BespinGlobal /s?__biz=MzIxMDczMTkwNg mid=22... 云享家 | 基于SSM+Chef InSpec的操作系统合规审计 BespinGlobal 基于SSM+Chef InSpec的操作系统合规审计 1 为什么要做系统合规审计？ 是否文件的权限设置过大？是否数据库的端口监听在？是否Swap没有开启？是否通过手动的方 式检测系统确保系统的种种配置符合内部策略的定义？此方案使用Chef InSpec将您的合规性表示成代 码，通过AWS Systems Manager执行自动化和批量的操作，对操作系统进行全面扫描，确保操作系统 的合规性。 2 操作系统合规架构 2.1. 基于AWS Systems Manager+Chef Inspec架构 2.2. 架构说明 AWS Systems Manager服 务 为核 心 ，运 行 Chef InSpec扫 描 ，Systems Manager 接 收 扫 描 结 果 ， 通 过 CloudWatch 对 结 果 触 发 SNS 通 知 , 也 可 以 将 事 件 发 送 至 Lambda，Lambda返回调用Systems Manager RunCommand执行自动修。 2.3. 使用的服务 - Systems Manager : 大规模的配置和管理 EC2 实例，也支持管理非EC2 的虚拟机，通 过在虚拟机安装代理，执行自动化操作。 - S3: 存储Systems Manager运行的结果。 第1页 共9页 2018/11/16 17:19 BespinGlobal /s?__biz=MzIxMDczMTkwNg mid=22... - CloudWatch: 检测Systems Manager 的状态，并触发之后的操作，包括触发SNS 通 知，触发 Lambda ，Lambda调用Systems Manager Run Command 模块执行操作系 统中的命令进行不合规的修复。 - SNS: 评估结果的通知，可以支持邮件及 HTTP终端节点。 - Chef InSpec: 是一个开源框架，能够进行操作系统和应用程序的审核 2.4. 实现功能 自 动 发 现 : AWS Systems Manager 可 以 通 过 指 定 Tags 的 方 式 对 指 定 的 EC2 资 源 进 行操作, 如果新创建虚拟机，则只需要配置指定的标签，则Systems Manager会将其 加入扫描列表里； 持续审核与合规: 通过Chef InSpec规则，评估目前的所有资源及之后资源的更改是 否符合内部策略要求和监管标准； 合规性即代码: 通过Chef InSpec和Systems Manager结合，自定义规则，将合规 性按要求编制成代码，从而将内部策略要求以自动的方式确保AWS的基础设施的合规 性和自动修复； 故障排除: 查看Systems Manager获得的扫描结果，查看资源最近配置更改，实现 快速故障排除操作问题； 安全性分析: 通过Chef InSpec规则，审计配置的安全弱点 自动化: 通过Systems Manager, 可以配置批量部署，定时执行，批量扫描，并通过 预先写好的脚本，批量自动修复，全流程实现自动化操作。 自 动 修 复 : 通 过 C