pacbot
Release 2.0: Azure Compliance
Policy as Code Bot (PacBot) es una plataforma para el monitoreo continuo del cumplimiento, la generación de informes de cumplimiento y la automatización de la seguridad para la nube. En PacBot, las políticas de seguridad y cumplimiento se implementan como código. Todos los recursos descubiertos por PacBot se evalúan con respecto a estas políticas para medir el cumplimiento de las políticas. El marco de reparación automática de PacBot brinda la capacidad de responder automáticamente a violaciones de políticas mediante la realización de acciones predefinidas. PacBot incluye potentes funciones de visualización, que brindan una vista simplificada del cumplimiento y facilitan el análisis y la corrección de infracciones de políticas. PacBot es más que una herramienta para gestionar la configuración incorrecta de la nube, es una plataforma genérica que se puede utilizar para realizar monitoreo e informes de cumplimiento continuo para cualquier dominio.
La arquitectura de ingesta de datos basada en complementos de PacBot permite la ingesta de datos de múltiples fuentes. Hemos creado complementos para extraer datos de Qualys Vulnerability Assessment Platform, Bitbucket, TrendMicro Deep Security, Tripwire, Venafi Certificate Management, Redhat Satellite, Spacewalk, Active Directory y varias otras soluciones internas personalizadas. Estamos trabajando para abrir el código fuente de estos complementos y también de otras herramientas. Puede escribir reglas basadas en los datos recopilados por estos complementos para obtener una imagen completa de su ecosistema y no solo configuraciones erróneas de la nube. Por ejemplo, dentro de T-Mobile hemos implementado una política para marcar todas las instancias EC2 que tengan una o más vulnerabilidades de gravedad 5 (puntuación CVSS > 7) como no conformes.
Evaluar -> Informar -> Remediar -> Repetir
Evaluar -> Informar -> Remediar -> Repetir es la filosofía de PacBot. PacBot descubre recursos y los evalúa según las políticas implementadas como código. Todas las infracciones de las políticas se registran como un problema. Siempre que un enlace de reparación automática esté disponible con las políticas, esas correcciones automáticas se ejecutan cuando los recursos no superan la evaluación. Las infracciones de políticas no se pueden cerrar manualmente, el problema debe solucionarse en el origen y PacBot lo marcará como cerrado en el siguiente análisis. Se pueden agregar excepciones a las infracciones de las políticas. Se pueden agregar excepciones fijas (excepción basada en criterios de coincidencia de atributos de recursos) para eximir recursos similares que puedan crearse en el futuro.
Los grupos de activos de PacBot son una forma poderosa de visualizar el cumplimiento. Los grupos de activos se crean definiendo uno o más criterios de coincidencia de atributos del recurso objetivo. Por ejemplo, podría crear un grupo de activos de todos los activos en ejecución definiendo criterios para hacer coincidir todas las instancias EC2 con el atributo instanciastate.name=running. Cualquier nueva instancia EC2 lanzada después de la creación del grupo de activos se incluirá automáticamente en el grupo. En PacBot UI puede seleccionar el alcance del portal para un grupo de activos específico. Todos los puntos de datos que se muestran en el portal PacBot se limitarán al grupo de activos seleccionado. Los equipos que utilizan la nube pueden establecer el alcance del portal para su aplicación u organización y centrarse únicamente en las infracciones de sus políticas. Esto reduce el ruido y proporciona una imagen clara a los usuarios de la nube. En T-Mobile, creamos grupos de activos por parte interesada, por aplicación, por cuenta de AWS, por entorno, etc.
Los grupos de activos también se pueden utilizar para definir el alcance de la ejecución de reglas. Las políticas de PacBot se implementan como una o más reglas. Estas reglas se pueden configurar para que se ejecuten en todos los recursos o en un grupo de activos específico. Las reglas evaluarán todos los recursos en el grupo de activos configurado como alcance de la regla. Esto brinda la oportunidad de escribir políticas que son muy específicas para una aplicación u organización. Por ejemplo, a algunos equipos les gustaría aplicar estándares de etiquetado adicionales además de los estándares globales establecidos para toda la nube. Pueden implementar dichas políticas con reglas personalizadas y configurar estas reglas para que se ejecuten solo en sus activos.
El instalador de PacBot inicia automáticamente todos estos servicios y los configura. Para obtener instrucciones detalladas sobre la instalación, consulte la documentación de instalación.
Las instrucciones de instalación detalladas están disponibles aquí
El instalador iniciará los servicios de AWS necesarios que se enumeran en las instrucciones de instalación. Después de una instalación exitosa, abra la URL del balanceador de carga de la interfaz de usuario. Inicie sesión en la aplicación utilizando las credenciales proporcionadas durante la instalación. Los resultados de la evaluación de políticas comenzarán a completarse dentro de una hora. Los widgets de línea de tendencia se completarán cuando haya al menos dos puntos de datos.
Cuando instala PacBot, la cuenta de AWS donde instala es la cuenta base. PacBot instalado en la cuenta base puede monitorear otras cuentas de AWS de destino. Consulte las instrucciones aquí para agregar nuevas cuentas a PacBot. De forma predeterminada, PacBot supervisará la cuenta base.
Inicie sesión como usuario administrador y vaya a la página Administrador en el menú superior. En la sección Administrador, puedes
Vea instrucciones detalladas con capturas de pantalla sobre cómo usar la función de administración aquí
Wiki está aquí.
Presentamos PacBot
PacBot es de código abierto según los términos de la sección 7 de la licencia Apache 2.0 y se publica TAL CUAL, SIN GARANTÍAS NI CONDICIONES DE NINGÚN TIPO.
