Automation Compliance Checks
- 2. Архитектура
- 3. Цикл процесса по управлению уязвимостями Discovery Finding a live host Assessment What assets? Analysis What to fix first? Remediation Fix the problem • Сколько времени на обработку? • Риски? Сканирование внешнего и внутреннего периметров Сканирование ассетов: • Рабочие станции, сервера, сетевое оборудование • оценка CVSS • Обработка • Принятие риска
- 4. Compliance-проверки Nessus .audit files (кастомные или доработанные плагины) - Операционные системы (SSH, парольная политика, локальные УЗ, аудит, и т.д.) - Базы данных (привилегии и т.д.) - Network devices (SSH, SNMP и т.д.) - др. Проверка технических требований PCI DSS и др. стандартов
- 7. Отчеты
- 8. Дашборды
- 10. Сканировать vSphere через vSphere SDK (SOAP API) умеют: § MaxPatrol § Nessus/Security Center Недостатки: o Неполнота покрытия (~70% контролей ESXi) o Часть оставшихся ~30% проверок Enterprise- решения могут осуществить через SSH и локальный root Критичные контроли, для которых не указан способ проверки через API: § vSphere-5.x-esxi-remove-authorized-keys § vSphere-5.x-esxi-set-password-complexity § vSphere-5.x-esxi-create-local-admin Варианты реализации данных проверок: o Вручную на каждом хосте o Предоставить root доступ сканеру к каждому ESXi и держать SSH включенным (противоречит vSphere-5.x- esxi-disable-ssh) Чем сканировать vSphere?
- 11. § Python + vSphere SDK (+multi- processing, PostgreSQL, web-interface) § Не вносит изменений в vSphere § Поддержка vSphere 5.x, 6.0 § Проверки выбираются динамически в зависимости от версии ESXi § Проверяет все пункты Hardening Guide через API, в т.ч.: • SNMP v3 (vSphere-5.5-esxi-config-snmp) • Local Admin (vSphere-5.5-esxi-create-local-admin) • Managed Object Browser (vSphere-5.5-esxi-disable- mob) • Acceptance Level (vSphere-5.5-esxi-verify- acceptance-level-*) • Dump Collector (vSphere-5.5-esxi-enable-remote- dump) • Admin Group (vSphere-5.5-esxi-verify-admin-group) • Kernel modules (vSphere-5.5-esxi-verify-kernel- modules) • SSH Keys (vSphere-5.5-esxi-remove-authorized-keys) • Password Policies (vSphere-5.5-esxi-set-password- complexity) - даже в ESXi 5.x • Exception Users (ESXi 6.0) Внутренняя разработка, которая умеет больше, чем enterprise- решения. vForge Scanner
- 13. v C e n t e r S e r v e r Обычно один сервер Настройка - вручную E S X i Количество гипервизоров исчисляется в десятках. Настройка - вручную V i r t u a l M a c h i n e s Количество VM – тысячи ~50 параметров VMX на каждую машину. Необходима автоматизация • Все требования Hardening Guide в части VM относятся к изменению конфигурационного файла VMX виртуальной машины. • Не все параметры VMX отображаются в свойствах VM • VMX-файл считывается гипервизором в момент инициализации виртуальной машины Как настроить vSphere
- 14. О Б С У Д И Т Ь V M X - К О Н Ф И Г И С В Л А Д Е Л Ь Ц А М И V M С Д Е Л А Т Ь B A C K U P V M X - К О Н Ф И Г О В В Ы Б Р А Т Ь В Р Е М Я П Р И М Е Н И Т Ь Н А С Т Р О Й К И Необходимо согласовать параметры VMX с владельцами виртуальных машин. Где-то в продуктовой среде могут быть необходимы: § Floppy/CD/USB устройства § Диски в режиме Independent Non-persistent § Различные значения RemoteDisplay.maxConnections После обсуждения необходимо сформировать внутренний стандарт конфигурации со значениями параметров, индивидуальных для вашей продуктовой среды. vForge Framework
- 15. О Б С У Д И Т Ь V M X - К О Н Ф И Г И С В Л А Д Е Л Ь Ц А М И V M С Д Е Л А Т Ь B A C K U P V M X - К О Н Ф И Г О В Backup удобно делать скриптом, например Python + vSphere SDK. VMX-конфиги виртуальных машин необходимо скачивать напрямую с Datastore vForge Framework В Ы Б Р А Т Ь В Р Е М Я П Р И М Е Н И Т Ь Н А С Т Р О Й К И
- 16. О Б С У Д И Т Ь V M X - К О Н Ф И Г И С В Л А Д Е Л Ь Ц А М И V M С Д Е Л А Т Ь B A C K U P V M X - К О Н Ф И Г О В В Ы Б Р А Т Ь В Р Е М Я П Р И М Е Н И Т Ь Н А С Т Р О Й К И • Windows – есть технологические окна для применения обновлений • Unix – как правило, задублированы или кластеризованы • DB – switchover Время для перезагрузки оставшихся VM (недоменные Windows, testing environment) обсуждается индивидуально с их владельцами vForge Framework
- 17. О Б С У Д И Т Ь V M X - К О Н Ф И Г И С В Л А Д Е Л Ь Ц А М И V M С Д Е Л А Т Ь B A C K U P V M X - К О Н Ф И Г О В В Ы Б Р А Т Ь В Р Е М Я П Р И М Е Н И Т Ь Н А С Т Р О Й К И Конфигурация VM (PowerCLI): 1) VMware Tools Guest Power Off* 2) Reconfig 3) Power On *VMware Tools должны быть установлены, в противном случае невозможно плавное выключение гостевой ОС Конфигурация Template (PowerCLI) : 1) Convert to VM 2) Reconfig 3) Convert to template vForge Framework
- 18. О Б С У Д И Т Ь V M X - К О Н Ф И Г И С В Л А Д Е Л Ь Ц А М И V M С Д Е Л А Т Ь B A C K U P V M X - К О Н Ф И Г О В В Ы Б Р А Т Ь В Р Е М Я П Р И М Е Н И Т Ь Н А С Т Р О Й К И vForge Framework
- 19. 100% 0 18 2 формализованных контролей Hardening Guide проверяются через vSphere SDK привилегированных УЗ необходимо для сканирования минут требуется для сканирования 30 ESXi и 1200 VM месяца ушло на настройку всей виртуальной среды П О К Р Ы Т И Е С Т А Н Д А Р Т А Н О В Ы Е А Д М И Н И С Т Р А Т И В Н Ы Е У З В Р Е М Я С К А Н И Р О В А Н И Я В Р Е М Я Н А С Т Р О Й К И Итоги
- 20. На внутреннем портале сделан веб- интерфейс с графиками, результатами сканов и фильтром W E B I N T E R F A C E Итоги
- 21. На внутреннем портале сделан веб- интерфейс с графиками, результатами сканов и фильтром W E B I N T E R F A C E Итоги
- 22. § Авто-заведение тикетов в JIRA § Аудит уязвимостей (через vSphere SDK, никакого SSH) § Проверка установленных патчей § Интеграция с Vulners.com § Виртуальный appliance со всем функционалом: - Сканирование - Backup VMX - Настройка vCenter/ESXi/VM - Отчеты - Графики - Ретроспектива Планы
- 23. Вопросы?