pacbot

Policy as Code Bot (PacBot) — это платформа для непрерывного мониторинга соответствия, составления отчетов о соответствии и автоматизации безопасности в облаке. В PacBot политики безопасности и соответствия требованиям реализованы в виде кода. Все ресурсы, обнаруженные PacBot, оцениваются на предмет соответствия этим политикам. Платформа автоматического исправления PacBot предоставляет возможность автоматически реагировать на нарушения политики, выполняя заранее определенные действия. PacBot оснащен мощными функциями визуализации, которые дают упрощенное представление о соблюдении требований и упрощают анализ и устранение нарушений политик. PacBot — это больше, чем просто инструмент для управления неправильной конфигурацией облака. Это универсальная платформа, которую можно использовать для непрерывного мониторинга соответствия и составления отчетов для любого домена.

Архитектура приема данных PacBot на основе плагинов позволяет получать данные из нескольких источников. Мы создали плагины для получения данных из платформы оценки уязвимостей Qualys, Bitbucket, TrendMicro Deep Security, Tripwire, Venafi Certificate Management, Redhat Satellite, Spacewalk, Active Directory и ряда других специализированных внутренних решений. Мы также работаем над тем, чтобы открыть исходный код этих плагинов и других инструментов. Вы можете написать правила на основе данных, собранных этими плагинами, чтобы получить полное представление о вашей экосистеме, а не только о неправильных конфигурациях облака. Например, в T-Mobile мы внедрили политику, позволяющую помечать все экземпляры EC2, имеющие одну или несколько уязвимостей уровня серьезности 5 (оценка CVSS > 7), как несоответствующие требованиям.

Оценка -> Отчет -> Исправление -> Повторить

Оценка -> Отчет -> Исправление -> Повтор — это философия PacBot. PacBot обнаруживает ресурсы и сравнивает их с политиками, реализованными в виде кода. Все нарушения политики регистрируются как проблемы. Если в политиках доступен перехват автоматического исправления, эти автоматические исправления выполняются, когда ресурсы не проходят оценку. Нарушения политики невозможно устранить вручную. Проблема должна быть устранена в источнике, и PacBot отметит ее как закрытую при следующем сканировании. К нарушениям политики могут быть добавлены исключения. Прикрепленные исключения (исключения, основанные на критериях соответствия атрибутов ресурсов) могут быть добавлены для исключения аналогичных ресурсов, которые могут быть созданы в будущем.

Группы активов PacBot — это мощный способ визуализировать соответствие требованиям. Группы активов создаются путем определения одного или нескольких критериев соответствия атрибутов целевого ресурса. Например, вы можете создать группу активов, состоящую из всех работающих активов, определив критерии, соответствующие всем экземплярам EC2, с атрибутом instancestate.name=running. Любой новый экземпляр EC2, запущенный после создания группы активов, будет автоматически включен в эту группу. В пользовательском интерфейсе PacBot вы можете выбрать область действия портала для определенной группы активов. Все точки данных, отображаемые на портале PacBot, будут ограничены выбранной группой активов. Команды, использующие облако, могут установить область действия портала для своего приложения или организации и сосредоточиться только на нарушениях политики. Это снижает шум и обеспечивает четкое изображение для пользователей облака. В T-Mobile мы создаем группы активов для каждого заинтересованного лица, для каждого приложения, для каждой учетной записи AWS, для каждой среды и т. д.

Группы активов также можно использовать для определения области выполнения правил. Политики PacBot реализуются как одно или несколько правил. Эти правила можно настроить для работы со всеми ресурсами или определенной группой активов. Правила будут оценивать все ресурсы в группе активов, настроенной в качестве области действия правила. Это дает возможность писать политики, которые очень специфичны для приложения или организации. Например, некоторые команды хотели бы ввести дополнительные стандарты тегирования помимо глобальных стандартов, установленных для всего облака. Они могут реализовать такие политики с помощью собственных правил и настроить эти правила для работы только на своих активах.

• Непрерывная оценка соответствия.
• Подробная отчетность о соответствии.
• Автоматическое исправление нарушений политики.
• Omni Search — возможность поиска по всем обнаруженным ресурсам.
• Упрощенное отслеживание нарушений политики.
• Портал самообслуживания.
• Настраиваемые политики и настраиваемые действия автоматического исправления.
• Динамическая группировка активов для просмотра соответствия.
• Возможность создания нескольких доменов соответствия.
• Управление исключениями.
• Электронные дайджесты.
• Поддерживает несколько учетных записей AWS.
• Полностью автоматизированный установщик.
• Настраиваемые информационные панели.
• Поддержка OAuth.
• Интеграция Azure AD для входа в систему.
• Управление доступом на основе ролей.
• Актив 360 градусов.

• Фронтенд — угловой
• Внутренние API, задания, правила — Java
• Установщик — Python и Terraform

• AWS ECS и ECR — для размещения пользовательского интерфейса и API
• AWS Batch — для правил и заданий по сбору ресурсов.
• Правила AWS CloudWatch — для триггера правила, планировщика
• AWS Redshift — хранилище данных для всего инвентаря, собранного из нескольких источников.
• AWS Elastic Search — основное хранилище данных, используемое веб-приложением.
• AWS RDS — для администрирования функций CRUD
• AWS S3 — для хранения файлов инвентаризации и постоянного хранения исторических данных.
• AWS Lambda — для склеивания нескольких компонентов PacBot.

Установщик PacBot автоматически запускает все эти службы и настраивает их. Подробные инструкции по установке смотрите в документации по установке.

• Виджет выбора группы активов

  

• Панель управления соответствием

  

• Страница соответствия политике – общедоступный доступ для чтения к сегментам S3

  

• Тенденция соблюдения политики с течением времени

  

• Панель управления активами

  

• Панель управления активами – с рекомендациями

  

• Актив 360 / Страница сведений об активе

• Соответствие ежеквартальным обновлениям Linux Server

  

• Страница универсального поиска

  

• Страница результатов поиска с фильтрацией результатов

  

• Виджет сводной информации о соответствии тегов

  

Подробные инструкции по установке доступны здесь.

Установщик запустит необходимые сервисы AWS, перечисленные в инструкциях по установке. После успешной установки откройте URL-адрес балансировщика нагрузки пользовательского интерфейса. Войдите в приложение, используя учетные данные, указанные при установке. Результаты оценки политики начнут поступать в течение часа. Виджеты линий тренда будут заполнены при наличии как минимум двух точек данных.

При установке PacBot учетная запись AWS, в которую вы устанавливаете, является базовой учетной записью. PacBot, установленный в базовой учетной записи, может отслеживать другие целевые учетные записи AWS. См. инструкции здесь, чтобы добавить новые учетные записи в PacBot. По умолчанию базовая учетная запись будет контролироваться PacBot.

Войдите в систему как администратор и перейдите на страницу администратора из верхнего меню. В разделе Администратор вы можете

1. Создание политик и управление ими
2. Создание правил и управление ими, а также связывание правил с политиками.
3. Создание/управление группами активов
4. Создание/управление липким исключением
5. Управление заданиями
6. Создание ролей доступа и управление ими
7. Управление конфигурациями PacBot

Подробную инструкцию со скриншотами о том, как использовать функцию администратора, смотрите здесь.

Вики здесь.

Представляем ПакБот

PacBot имеет открытый исходный код в соответствии с условиями раздела 7 лицензии Apache 2.0 и выпускается КАК ЕСТЬ, БЕЗ КАКИХ-ЛИБО ГАРАНТИЙ ИЛИ УСЛОВИЙ.