pacbot

PacBot(Policy as Code Bot)은 클라우드에 대한 지속적인 규정 준수 모니터링, 규정 준수 보고 및 보안 자동화를 위한 플랫폼입니다. PacBot에서는 보안 및 규정 준수 정책이 코드로 구현됩니다. PacBot이 검색한 모든 리소스는 정책 준수를 측정하기 위해 이러한 정책에 대해 평가됩니다. PacBot 자동 수정 프레임워크는 사전 정의된 조치를 취하여 정책 위반에 자동으로 대응하는 기능을 제공합니다. PacBot에는 강력한 시각화 기능이 포함되어 있어 규정 준수에 대한 단순화된 보기를 제공하고 정책 위반을 쉽게 분석하고 해결할 수 있습니다. PacBot은 클라우드 구성 오류를 관리하는 도구 그 이상이며, 모든 도메인에 대해 지속적인 규정 준수 모니터링 및 보고를 수행하는 데 사용할 수 있는 일반 플랫폼입니다.

PacBot의 플러그인 기반 데이터 수집 아키텍처를 사용하면 여러 소스에서 데이터를 수집할 수 있습니다. 우리는 Qualys 취약성 평가 플랫폼, Bitbucket, TrendMicro Deep Security, Tripwire, Venafi Certificate Management, Redhat Satellite, Spacewalk, Active Directory 및 기타 여러 맞춤형 내부 솔루션에서 데이터를 가져오는 플러그인을 구축했습니다. 우리는 이러한 플러그인과 기타 도구도 오픈 소스로 만들기 위해 노력하고 있습니다. 이러한 플러그인에서 수집한 데이터를 기반으로 규칙을 작성하면 클라우드 구성 오류뿐만 아니라 생태계에 대한 완전한 그림을 얻을 수 있습니다. 예를 들어, T-Mobile에서는 심각도 5(CVSS 점수 > 7) 취약점이 하나 이상 있는 모든 EC2 인스턴스를 비준수로 표시하는 정책을 구현했습니다.

평가 -> 보고 -> 수정 -> 반복

평가 -> 보고 -> 해결 -> 반복이 PacBot의 철학입니다. PacBot은 리소스를 검색하고 코드로 구현된 정책에 대해 평가합니다. 모든 정책 위반은 문제로 기록됩니다. 정책에 자동 수정 후크를 사용할 수 있을 때마다 리소스가 평가에 실패하면 해당 자동 수정이 실행됩니다. 정책 위반은 수동으로 종료할 수 없으며 문제는 소스에서 수정되어야 하며 PacBot은 다음 스캔에서 이를 종료된 것으로 표시합니다. 정책 위반에 예외를 추가할 수 있습니다. 향후 생성될 수 있는 유사한 리소스를 제외하기 위해 고정 예외(리소스 속성 일치 기준에 따른 예외)를 추가할 수 있습니다.

PacBot의 자산 그룹은 규정 준수를 시각화하는 강력한 방법입니다. 자산 그룹은 하나 이상의 대상 자원의 속성 일치 기준을 정의하여 생성됩니다. 예를 들어, 모든 EC2 인스턴스를 instancestate.name=running 속성과 일치시키는 기준을 정의하여 실행 중인 모든 자산의 자산 그룹을 생성할 수 있습니다. 자산 그룹 생성 후 시작된 모든 새 EC2 인스턴스는 자동으로 그룹에 포함됩니다. PacBot UI에서는 특정 자산 그룹에 대한 포털 범위를 선택할 수 있습니다. PacBot 포털에 표시되는 모든 데이터 포인트는 선택한 자산 그룹으로 제한됩니다. 클라우드를 사용하는 팀은 포털의 범위를 애플리케이션이나 조직으로 설정하고 정책 위반에만 집중할 수 있습니다. 이렇게 하면 노이즈가 줄어들고 클라우드 사용자에게 명확한 그림이 제공됩니다. T-Mobile에서는 이해관계자별, 애플리케이션별, AWS 계정별, 환경별 등 자산 그룹을 생성합니다.

자산 그룹을 사용하여 규칙 실행 범위를 정의할 수도 있습니다. PacBot 정책은 하나 이상의 규칙으로 구현됩니다. 이러한 규칙은 모든 리소스 또는 특정 자산 그룹에 대해 실행되도록 구성할 수 있습니다. 규칙은 규칙 범위로 구성된 자산 그룹의 모든 리소스를 평가합니다. 이는 애플리케이션이나 조직에 매우 특정한 정책을 작성할 수 있는 기회를 제공합니다. 예를 들어 일부 팀에서는 모든 클라우드에 대해 설정된 글로벌 표준 외에 추가 태깅 표준을 시행하려고 합니다. 사용자 정의 규칙을 사용하여 이러한 정책을 구현하고 자산에서만 실행되도록 이러한 규칙을 구성할 수 있습니다.

• 지속적인 규정 준수 평가.
• 자세한 규정 준수 보고.
• 정책 위반에 대한 자동 수정.
• 옴니 검색(Omni Search) - 발견된 모든 리소스를 검색하는 기능입니다.
• 단순화된 정책 위반 추적.
• 셀프 서비스 포털.
• 사용자 정의 정책 및 사용자 정의 자동 수정 작업.
• 규정 준수를 확인하기 위한 동적 자산 그룹화.
• 여러 규정 준수 도메인을 생성하는 기능.
• 예외 관리.
• 이메일 다이제스트.
• 여러 AWS 계정을 지원합니다.
• 완전히 자동화된 설치 프로그램.
• 맞춤형 대시보드.
• OAuth 지원.
• 로그인을 위한 Azure AD 통합.
• 역할 기반 액세스 제어.
• 자산 360도.

• 프런트 엔드 - 각도
• 백엔드 API, 작업, 규칙 - Java
• 설치 프로그램 - Python 및 Terraform

• AWS ECS 및 ECR - UI 및 API 호스팅용
• AWS Batch - 규칙 및 리소스 수집 작업용
• AWS CloudWatch 규칙 - 규칙 트리거의 경우 스케줄러
• AWS Redshift - 여러 소스에서 수집된 모든 인벤토리를 위한 데이터 웨어하우스
• AWS Elastic Search - 웹 애플리케이션에서 사용하는 기본 데이터 저장소
• AWS RDS - 관리자 CRUD 기능용
• AWS S3 - 인벤토리 파일 저장 및 기록 데이터의 영구 저장용
• AWS Lambda - PacBot의 몇 가지 구성 요소 접착용

PacBot 설치 프로그램은 이러한 모든 서비스를 자동으로 시작하고 구성합니다. 설치에 대한 자세한 지침은 설치 설명서를 참조하세요.

• 자산 그룹 선택 위젯

  

• 규정 준수 대시보드

  

• 정책 준수 페이지 - S3 버킷 공개 읽기 액세스

  

• 시간 경과에 따른 정책 준수 추세

  

• 자산 대시보드

  

• 자산 대시보드 - 권장 사항 포함

  

• 자산 360 / 자산 세부정보 페이지

• Linux 서버 분기별 패치 준수

  

• 옴니 검색 페이지

  

• 결과 필터링이 포함된 검색 결과 페이지

  

• 태그 준수 요약 위젯

  

자세한 설치 지침은 여기에서 확인할 수 있습니다.

설치 프로그램은 설치 지침에 나열된 필수 AWS 서비스를 시작합니다. 성공적으로 설치되면 UI 로드 밸런서 URL을 엽니다. 설치 중에 제공된 자격 증명을 사용하여 애플리케이션에 로그인합니다. 정책 평가 결과는 1시간 이내에 채워지기 시작합니다. 추세선 위젯은 데이터 포인트가 두 개 이상 있을 때 채워집니다.

PacBot을 설치하면 설치하는 AWS 계정이 기본 계정이 됩니다. 기본 계정에 설치된 PacBot은 다른 대상 AWS 계정을 모니터링할 수 있습니다. PacBot에 새 계정을 추가하려면 여기 지침을 참조하세요. 기본적으로 기본 계정은 PacBot에 의해 모니터링됩니다.

Admin 사용자로 로그인하고 상단 메뉴에서 Admin 페이지로 이동합니다. 관리 섹션에서 다음을 수행할 수 있습니다.

1. 정책 생성/관리
2. 규칙 생성/관리 및 규칙과 정책 연결
3. 자산 그룹 생성/관리
4. 고정 예외 생성/관리
5. 채용정보 관리
6. 액세스 역할 생성/관리
7. PacBot 구성 관리

여기에서 관리 기능을 사용하는 방법에 대한 스크린샷과 함께 자세한 지침을 확인하세요.

위키는 여기에 있습니다.

PacBot 소개

PacBot은 Apache 2.0 라이센스 7항의 조건에 따라 오픈 소스로 제공되며 어떠한 종류의 보증이나 조건 없이 있는 그대로 출시됩니다.