pacbot

Policy as Code Bot (PacBot) adalah platform untuk pemantauan kepatuhan berkelanjutan, pelaporan kepatuhan, dan otomatisasi keamanan untuk cloud. Di PacBot, kebijakan keamanan dan kepatuhan diterapkan sebagai kode. Semua sumber daya yang ditemukan oleh PacBot dievaluasi berdasarkan kebijakan ini untuk mengukur kesesuaian kebijakan. Kerangka kerja perbaikan otomatis PacBot memberikan kemampuan untuk merespons pelanggaran kebijakan secara otomatis dengan mengambil tindakan yang telah ditentukan sebelumnya. PacBot dikemas dalam fitur visualisasi yang canggih, memberikan gambaran kepatuhan yang disederhanakan dan memudahkan analisis dan pemulihan pelanggaran kebijakan. PacBot lebih dari sekadar alat untuk mengelola kesalahan konfigurasi cloud, ini adalah platform umum yang dapat digunakan untuk melakukan pemantauan dan pelaporan kepatuhan berkelanjutan untuk domain apa pun.

Arsitektur penyerapan data berbasis plugin PacBot memungkinkan penyerapan data dari berbagai sumber. Kami telah membangun plugin untuk mengambil data dari Qualys Vulnerability Assessment Platform, Bitbucket, TrendMicro Deep Security, Tripwire, Venafi Certificate Management, Redhat Satellite, Spacewalk, Active Directory, dan beberapa solusi internal yang dibuat khusus lainnya. Kami juga sedang berupaya untuk menjadikan plugin ini sebagai sumber terbuka dan alat lainnya. Anda dapat menulis aturan berdasarkan data yang dikumpulkan oleh plugin ini untuk mendapatkan gambaran lengkap tentang ekosistem Anda dan bukan hanya kesalahan konfigurasi cloud. Misalnya, di T-Mobile kami telah menerapkan kebijakan untuk menandai semua instans EC2 yang memiliki satu atau lebih kerentanan tingkat keparahan 5 (skor CVSS > 7) sebagai tidak patuh.

Nilai -> Laporkan -> Remediasi -> Ulangi

Menilai -> Laporan -> Memperbaiki -> Ulangi adalah filosofi PacBot. PacBot menemukan sumber daya dan menilainya berdasarkan kebijakan yang diterapkan sebagai kode. Semua pelanggaran kebijakan dicatat sebagai masalah. Setiap kali kait Perbaikan Otomatis tersedia dengan kebijakan, perbaikan otomatis tersebut dijalankan ketika sumber daya gagal dalam evaluasi. Pelanggaran kebijakan tidak dapat ditutup secara manual, masalah harus diperbaiki pada sumbernya dan PacBot akan menandainya ditutup pada pemindaian berikutnya. Pengecualian dapat ditambahkan pada pelanggaran kebijakan. Pengecualian melekat (Pengecualian berdasarkan kriteria pencocokan atribut sumber daya) dapat ditambahkan untuk mengecualikan sumber daya serupa yang mungkin dibuat di masa mendatang.

Grup Aset PacBot adalah cara ampuh untuk memvisualisasikan kepatuhan. Grup Aset dibuat dengan menentukan kriteria pencocokan atribut satu atau lebih sumber daya target. Misalnya, Anda dapat membuat Grup Aset dari semua aset yang berjalan dengan menentukan kriteria untuk mencocokkan semua instans EC2 dengan atribut instancestate.name=running. Setiap instans EC2 baru yang diluncurkan setelah pembuatan Grup Aset akan secara otomatis dimasukkan ke dalam grup. Di PacBot UI Anda dapat memilih cakupan portal ke grup aset tertentu. Semua titik data yang ditampilkan di portal PacBot akan dibatasi pada Grup Aset yang dipilih. Tim yang menggunakan cloud dapat mengatur cakupan portal ke aplikasi atau organisasi mereka dan hanya fokus pada pelanggaran kebijakan mereka. Hal ini mengurangi kebisingan dan memberikan gambaran yang jelas kepada pengguna cloud. Di T-Mobile, kami membuat Grup Aset per pemangku kepentingan, per aplikasi, per akun AWS, per Lingkungan, dll.

Grup aset juga dapat digunakan untuk menentukan cakupan eksekusi aturan. Kebijakan PacBot diterapkan sebagai satu atau lebih aturan. Aturan ini dapat dikonfigurasi untuk dijalankan terhadap semua sumber daya atau Grup Aset tertentu. Aturan akan mengevaluasi semua sumber daya di grup aset yang dikonfigurasi sebagai cakupan aturan. Hal ini memberikan peluang untuk menulis kebijakan yang sangat spesifik untuk suatu aplikasi atau organisasi. Misalnya, beberapa tim ingin menerapkan standar penandaan tambahan selain standar global yang ditetapkan untuk seluruh cloud. Mereka dapat menerapkan kebijakan tersebut dengan aturan khusus dan mengonfigurasi aturan tersebut agar hanya berjalan di aset mereka.

• Penilaian kepatuhan berkelanjutan.
• Pelaporan kepatuhan terperinci.
• Perbaikan Otomatis untuk pelanggaran kebijakan.
• Omni Search - Kemampuan untuk mencari semua sumber daya yang ditemukan.
• Pelacakan pelanggaran kebijakan yang disederhanakan.
• Portal Layanan Mandiri.
• Kebijakan khusus dan tindakan perbaikan otomatis khusus.
• Pengelompokan aset dinamis untuk melihat kepatuhan.
• Kemampuan untuk membuat beberapa domain kepatuhan.
• Manajemen pengecualian.
• Intisari Email.
• Mendukung banyak akun AWS.
• Pemasang yang sepenuhnya otomatis.
• Dasbor yang dapat disesuaikan.
• Dukungan OAuth.
• Integrasi Azure Active Directory untuk login.
• Kontrol akses berbasis peran.
• Aset 360 derajat.

• Ujung Depan - Sudut
• API Backend End, Pekerjaan, Aturan - Java
• Pemasang - Python dan Terraform

• AWS ECS & ECR - Untuk menghosting UI dan API
• AWS Batch - Untuk aturan dan tugas pengumpulan sumber daya
• Aturan AWS CloudWatch - Untuk pemicu aturan, penjadwal
• AWS Redshift - Gudang data untuk semua inventaris yang dikumpulkan dari berbagai sumber
• AWS Elastic Search - Penyimpanan data primer yang digunakan oleh aplikasi web
• AWS RDS - Untuk fungsi admin CRUD
• AWS S3 - Untuk menyimpan file inventaris dan penyimpanan data historis secara persisten
• AWS Lambda - Untuk merekatkan beberapa komponen PacBot

Pemasang PacBot secara otomatis meluncurkan semua layanan ini dan mengkonfigurasinya. Untuk petunjuk rinci tentang instalasi, lihat dokumentasi instalasi.

• Widget Pemilihan Grup Aset

  

• Dasbor Kepatuhan

  

• Halaman Kepatuhan Kebijakan - S3 menyediakan akses baca publik

  

• Tren Kepatuhan Kebijakan Seiring Waktu

  

• Dasbor Aset

  

• Dasbor Aset - Dengan Rekomendasi

  

• Halaman Aset 360 / Detail Aset

• Kepatuhan Patch Triwulanan Server Linux

  

• Halaman Omni-Pencarian

  

• Halaman Hasil Pencarian Dengan Pemfilteran Hasil

  

• Widget Ringkasan Kepatuhan Pemberian Tag

  

Petunjuk instalasi terperinci tersedia di sini

Penginstal akan meluncurkan layanan AWS yang diperlukan yang tercantum dalam petunjuk instalasi. Setelah instalasi berhasil, buka URL penyeimbang beban UI. Masuk ke aplikasi menggunakan kredensial yang diberikan selama instalasi. Hasil dari evaluasi kebijakan akan mulai dikumpulkan dalam waktu satu jam. Widget garis tren akan diisi ketika terdapat setidaknya dua titik data.

Saat Anda menginstal PacBot, akun AWS tempat Anda menginstal adalah akun dasar. PacBot yang diinstal pada akun dasar dapat memantau akun AWS target lainnya. Lihat instruksi di sini untuk menambahkan akun baru ke PacBot. Secara default akun dasar akan dipantau oleh PacBot.

Masuk sebagai pengguna Admin dan buka halaman Admin dari menu atas. Di bagian Admin, Anda bisa

1. Buat/Kelola Kebijakan
2. Buat/Kelola Aturan dan kaitkan Aturan dengan Kebijakan
3. Buat/Kelola Grup Aset
4. Buat/Kelola Pengecualian Lengket
5. Kelola Pekerjaan
6. Buat/Kelola Peran Akses
7. Kelola Konfigurasi PacBot

Lihat instruksi rinci dengan tangkapan layar tentang cara menggunakan fitur admin di sini

Wiki ada di sini.

Memperkenalkan PacBot

PacBot bersumber terbuka berdasarkan ketentuan bagian 7 lisensi Apache 2.0 dan dirilis SEBAGAIMANA ADANYA TANPA JAMINAN ATAU KETENTUAN APAPUN.