pacbot

Policy as Code Bot (PacBot) เป็นแพลตฟอร์มสำหรับการตรวจสอบการปฏิบัติตามข้อกำหนดอย่างต่อเนื่อง การรายงานการปฏิบัติตามข้อกำหนด และการรักษาความปลอดภัยอัตโนมัติสำหรับระบบคลาวด์ ใน PacBot นโยบายความปลอดภัยและการปฏิบัติตามกฎระเบียบจะถูกนำไปใช้เป็นโค้ด ทรัพยากรทั้งหมดที่ PacBot ค้นพบได้รับการประเมินตามนโยบายเหล่านี้เพื่อวัดความสอดคล้องของนโยบาย เฟรมเวิร์กการแก้ไขอัตโนมัติของ PacBot ให้ความสามารถในการตอบสนองต่อการละเมิดนโยบายโดยอัตโนมัติโดยการดำเนินการที่กำหนดไว้ล่วงหน้า PacBot อัดแน่นไปด้วยฟีเจอร์การแสดงภาพอันทรงพลัง ทำให้มองเห็นการปฏิบัติตามข้อกำหนดได้ง่ายขึ้น และทำให้ง่ายต่อการวิเคราะห์และแก้ไขการละเมิดนโยบาย PacBot เป็นมากกว่าเครื่องมือในการจัดการการกำหนดค่าบนคลาวด์ที่ไม่ถูกต้อง แต่เป็นแพลตฟอร์มทั่วไปที่สามารถใช้เพื่อตรวจสอบและรายงานการปฏิบัติตามข้อกำหนดอย่างต่อเนื่องสำหรับโดเมนใดๆ

สถาปัตยกรรมการนำเข้าข้อมูลแบบปลั๊กอินของ PacBot ช่วยให้สามารถนำเข้าข้อมูลจากหลายแหล่งได้ เราได้สร้างปลั๊กอินเพื่อดึงข้อมูลจาก Qualys Vulnerability Assessment Platform, Bitbucket, TrendMicro Deep Security, Tripwire, Venafi Certificate Management, Redhat Satellite, Spacewalk, Active Directory และโซลูชันภายในที่สร้างขึ้นเองอื่นๆ อีกมากมาย เรากำลังดำเนินการเพื่อเปิดปลั๊กอินเหล่านี้และเครื่องมืออื่นๆ ด้วยเช่นกัน คุณสามารถเขียนกฎโดยอิงตามข้อมูลที่รวบรวมโดยปลั๊กอินเหล่านี้เพื่อให้ได้ภาพรวมที่สมบูรณ์ของระบบนิเวศของคุณ ไม่ใช่แค่การกำหนดค่าบนคลาวด์ที่ไม่ถูกต้อง ตัวอย่างเช่น ภายใน T-Mobile เราได้ใช้นโยบายเพื่อทำเครื่องหมาย EC2 instance ทั้งหมดที่มีช่องโหว่ระดับความรุนแรง 5 (คะแนน CVSS > 7) อย่างน้อยหนึ่งรายการว่าไม่ปฏิบัติตามข้อกำหนด

ประเมิน -> รายงาน -> แก้ไข -> ทำซ้ำ

ประเมิน -> รายงาน -> แก้ไข -> ทำซ้ำเป็นปรัชญาของ PacBot PacBot ค้นพบทรัพยากรและประเมินทรัพยากรเหล่านั้นโดยเทียบกับนโยบายที่ใช้เป็นโค้ด การละเมิดนโยบายทั้งหมดจะถูกบันทึกเป็นปัญหา เมื่อใดก็ตามที่ hook การแก้ไขอัตโนมัติพร้อมใช้งานกับนโยบาย การแก้ไขอัตโนมัติเหล่านั้นจะถูกดำเนินการเมื่อทรัพยากรไม่ผ่านการประเมิน ไม่สามารถปิดการละเมิดนโยบายด้วยตนเองได้ ปัญหาจะต้องได้รับการแก้ไขที่ต้นทาง และ PacBot จะทำเครื่องหมายว่าปิดแล้วในการสแกนครั้งถัดไป สามารถเพิ่มข้อยกเว้นให้กับการละเมิดนโยบายได้ สามารถเพิ่มข้อยกเว้นที่ติดหนึบ (ข้อยกเว้นตามเกณฑ์การจับคู่แอตทริบิวต์ของทรัพยากร) เพื่อยกเว้นทรัพยากรที่คล้ายกันที่อาจสร้างขึ้นในอนาคต

กลุ่มสินทรัพย์ของ PacBot เป็นวิธีที่มีประสิทธิภาพในการแสดงภาพการปฏิบัติตามข้อกำหนด กลุ่มสินทรัพย์ถูกสร้างขึ้นโดยการกำหนดเกณฑ์การจับคู่แอตทริบิวต์ของทรัพยากรเป้าหมายอย่างน้อยหนึ่งรายการ ตัวอย่างเช่น คุณสามารถสร้างกลุ่มสินทรัพย์ของสินทรัพย์ที่ทำงานอยู่ทั้งหมดโดยการกำหนดเกณฑ์ให้ตรงกับอินสแตนซ์ EC2 ทั้งหมดที่มีแอตทริบิวต์ instancestate.name=running EC2 instance ใหม่ใดๆ ที่เปิดตัวหลังจากการสร้างกลุ่มสินทรัพย์จะถูกรวมไว้ในกลุ่มโดยอัตโนมัติ ใน PacBot UI คุณสามารถเลือกขอบเขตของพอร์ทัลไปยังกลุ่มสินทรัพย์เฉพาะได้ จุดข้อมูลทั้งหมดที่แสดงในพอร์ทัล PacBot จะถูกจำกัดอยู่ในกลุ่มสินทรัพย์ที่เลือก ทีมที่ใช้คลาวด์สามารถกำหนดขอบเขตของพอร์ทัลให้กับแอปพลิเคชันหรือองค์กรของตน และมุ่งเน้นไปที่การละเมิดนโยบายเท่านั้น ซึ่งจะช่วยลดสัญญาณรบกวนและให้ภาพที่ชัดเจนแก่ผู้ใช้ระบบคลาวด์ ที่ T-Mobile เราสร้างกลุ่มสินทรัพย์ต่อผู้มีส่วนได้ส่วนเสีย ต่อแอปพลิเคชัน ต่อบัญชี AWS ต่อสภาพแวดล้อม ฯลฯ

กลุ่มสินทรัพย์สามารถใช้เพื่อกำหนดขอบเขตของการดำเนินการกฎได้เช่นกัน นโยบาย PacBot ถูกนำมาใช้เป็นกฎตั้งแต่หนึ่งกฎขึ้นไป กฎเหล่านี้สามารถกำหนดค่าให้ทำงานกับทรัพยากรทั้งหมดหรือกลุ่มสินทรัพย์เฉพาะได้ กฎจะประเมินทรัพยากรทั้งหมดในกลุ่มสินทรัพย์ที่กำหนดค่าเป็นขอบเขตสำหรับกฎ นี่เป็นโอกาสในการเขียนนโยบายที่เฉพาะเจาะจงมากสำหรับแอปพลิเคชันหรือองค์กร ตัวอย่างเช่น บางทีมต้องการบังคับใช้มาตรฐานการแท็กเพิ่มเติม นอกเหนือจากมาตรฐานสากลที่กำหนดไว้สำหรับระบบคลาวด์ทั้งหมด พวกเขาสามารถใช้นโยบายดังกล่าวกับกฎที่กำหนดเองและกำหนดค่ากฎเหล่านี้ให้ทำงานเฉพาะในเนื้อหาของตนเท่านั้น

• การประเมินการปฏิบัติตามข้อกำหนดอย่างต่อเนื่อง
• การรายงานการปฏิบัติตามข้อกำหนดโดยละเอียด
• แก้ไขอัตโนมัติสำหรับการละเมิดนโยบาย
• Omni Search - ความสามารถในการค้นหาทรัพยากรที่ค้นพบทั้งหมด
• การติดตามการละเมิดนโยบายที่ง่ายขึ้น
• พอร์ทัลบริการตนเอง
• นโยบายที่กำหนดเองและการดำเนินการแก้ไขอัตโนมัติที่กำหนดเอง
• การจัดกลุ่มสินทรัพย์แบบไดนามิกเพื่อดูการปฏิบัติตามข้อกำหนด
• ความสามารถในการสร้างโดเมนการปฏิบัติตามกฎระเบียบหลายโดเมน
• การจัดการข้อยกเว้น
• อีเมลสรุป
• รองรับบัญชี AWS หลายบัญชี
• โปรแกรมติดตั้งอัตโนมัติโดยสมบูรณ์
• แดชบอร์ดที่ปรับแต่งได้
• การสนับสนุน OAuth
• การรวม Azure AD สำหรับการเข้าสู่ระบบ
• การควบคุมการเข้าถึงตามบทบาท
• สินทรัพย์ 360 องศา

• ส่วนหน้า - เชิงมุม
• API แบ็คเอนด์ งาน กฎ - Java
• ตัวติดตั้ง - Python และ Terraform

• AWS ECS & ECR - สำหรับการโฮสต์ UI และ API
• AWS Batch - สำหรับงานกฎและการรวบรวมทรัพยากร
• กฎ AWS CloudWatch - สำหรับทริกเกอร์กฎ ตัวกำหนดเวลา
• AWS RedShift - คลังข้อมูลสำหรับสินค้าคงคลังทั้งหมดที่รวบรวมจากหลายแหล่ง
• AWS Elastic Search - พื้นที่เก็บข้อมูลหลักที่ใช้โดยเว็บแอปพลิเคชัน
• AWS RDS - สำหรับฟังก์ชัน CRUD ของผู้ดูแลระบบ
• AWS S3 - สำหรับการจัดเก็บไฟล์สินค้าคงคลังและการจัดเก็บข้อมูลประวัติอย่างต่อเนื่อง
• AWS Lambda - สำหรับการติดส่วนประกอบบางส่วนของ PacBot

โปรแกรมติดตั้ง PacBot จะเรียกใช้บริการเหล่านี้ทั้งหมดและกำหนดค่าโดยอัตโนมัติ สำหรับคำแนะนำโดยละเอียดเกี่ยวกับการติดตั้ง โปรดดูเอกสารการติดตั้ง

• วิดเจ็ตการเลือกกลุ่มสินทรัพย์

  

• แดชบอร์ดการปฏิบัติตามข้อกำหนด

  

• หน้าการปฏิบัติตามนโยบาย - S3 เก็บข้อมูลการเข้าถึงการอ่านแบบสาธารณะ

  

• แนวโน้มการปฏิบัติตามนโยบายเมื่อเวลาผ่านไป

  

• แดชบอร์ดสินทรัพย์

  

• แดชบอร์ดเนื้อหา - พร้อมคำแนะนำ

  

• สินทรัพย์ 360 / หน้ารายละเอียดสินทรัพย์

• การปฏิบัติตามแพทช์รายไตรมาสของเซิร์ฟเวอร์ Linux

  

• หน้าค้นหา Omni

  

• หน้าผลการค้นหาพร้อมการกรองผลลัพธ์

  

• วิดเจ็ตสรุปการปฏิบัติตามการแท็ก

  

คำแนะนำการติดตั้งโดยละเอียดมีอยู่ที่นี่

โปรแกรมติดตั้งจะเปิดใช้บริการ AWS ที่จำเป็นซึ่งแสดงอยู่ในคำแนะนำในการติดตั้ง หลังจากติดตั้งสำเร็จ ให้เปิด URL ตัวจัดสรรภาระงาน UI เข้าสู่ระบบแอปพลิเคชันโดยใช้ข้อมูลประจำตัวที่ให้มาระหว่างการติดตั้ง ผลลัพธ์จากการประเมินนโยบายจะเริ่มได้รับการเติมภายในหนึ่งชั่วโมง วิดเจ็ตเส้นแนวโน้มจะถูกเติมเมื่อมีจุดข้อมูลอย่างน้อยสองจุด

เมื่อคุณติดตั้ง PacBot บัญชี AWS ที่คุณติดตั้งจะเป็นบัญชีฐาน PacBot ที่ติดตั้งบนบัญชีฐานสามารถตรวจสอบบัญชี AWS เป้าหมายอื่นๆ ได้ ดูคำแนะนำที่นี่เพื่อเพิ่มบัญชีใหม่ให้กับ PacBot ตามค่าเริ่มต้นบัญชีฐานจะถูกตรวจสอบโดย PacBot

เข้าสู่ระบบในฐานะผู้ใช้ผู้ดูแลระบบ และไปที่หน้าผู้ดูแลระบบจากเมนูด้านบน ในส่วนผู้ดูแลระบบ คุณสามารถทำได้

1. สร้าง/จัดการนโยบาย
2. สร้าง/จัดการกฎและเชื่อมโยงกฎกับนโยบาย
3. สร้าง/จัดการกลุ่มสินทรัพย์
4. สร้าง/จัดการข้อยกเว้นที่ติดหนึบ
5. จัดการงาน
6. สร้าง/จัดการบทบาทการเข้าถึง
7. จัดการการกำหนดค่า PacBot

ดูคำแนะนำโดยละเอียดพร้อมภาพหน้าจอเกี่ยวกับวิธีใช้ฟีเจอร์ผู้ดูแลระบบที่นี่

วิกิอยู่ที่นี่

ขอแนะนำ PacBot

PacBot เป็นโอเพ่นซอร์สภายใต้เงื่อนไขส่วนที่ 7 ของใบอนุญาต Apache 2.0 และเผยแพร่ตามที่เป็นอยู่ โดยไม่มีการรับประกันหรือเงื่อนไขใดๆ