pacbot

策略即代码机器人 (PacBot) 是一个用于云持续合规性监控、合规性报告和安全自动化的平台。在 PacBot 中，安全性和合规性策略以代码的形式实现。 PacBot 发现的所有资源都会根据这些策略进行评估，以衡量策略的一致性。 PacBot 自动修复框架提供了通过采取预定义操作来自动响应策略违规的能力。 PacBot 具有强大的可视化功能，可以提供简化的合规性视图，并可以轻松分析和纠正策略违规行为。 PacBot 不仅仅是一个管理云错误配置的工具，它还是一个通用平台，可用于对任何域进行持续合规性监控和报告。

PacBot 基于插件的数据摄取架构允许从多个来源摄取数据。我们构建了插件，可以从 Qualys 漏洞评估平台、Bitbucket、TrendMicro Deep Security、Tripwire、Venafi 证书管理、Redhat Satellite、Spacewalk、Active Directory 和其他几个定制的内部解决方案中提取数据。我们正在努力开源这些插件和其他工具。您可以根据这些插件收集的数据编写规则，以全面了解您的生态系统，而不仅仅是云配置错误。例如，在 T-Mobile 内部，我们实施了一项策略，将所有具有一个或多个严重性 5（CVSS 评分 > 7）漏洞的 EC2 实例标记为不合规。

评估 -> 报告 -> 修复 -> 重复

评估 -> 报告 -> 修复 -> 重复是 PacBot 的理念。 PacBot 发现资源并根据作为代码实施的策略对其进行评估。所有违反政策的行为都会被记录为问题。只要策略中存在自动修复挂钩，当资源评估失败时，就会执行这些自动修复。策略违规无法手动关闭，问题必须从源头解决，PacBot 将在下次扫描中将其标记为关闭。可以为违反策略的行为添加例外情况。可以添加粘性异常（基于资源属性匹配条件的异常），以免除将来可能创建的类似资源。

PacBot 的资产组是可视化合规性的强大方法。资产组是通过定义一个或多个目标资源的属性匹配标准来创建的。例如，您可以通过定义条件来匹配所有具有属性 instancestate.name=running 的 EC2 实例，从而创建所有正在运行的资产的资产组。创建资产组后启动的任何新 EC2 实例都将自动包含在该组中。在 PacBot UI 中，您可以选择特定资产组的门户范围。 PacBot 门户中显示的所有数据点将仅限于选定的资产组。使用云的团队可以将门户的范围设置为其应用程序或组织，并仅关注其策略违规行为。这可以减少噪音并为云用户提供清晰的图像。在 T-Mobile，我们为每个利益相关者、每个应用程序、每个 AWS 账户、每个环境等创建一个资产组。

资产组也可用于定义规则执行的范围。 PacBot 策略作为一项或多项规则实施。这些规则可以配置为针对所有资源或特定资产组运行。这些规则将评估配置为规则范围的资产组中的所有资源。这提供了编写针对应用程序或组织的特定策略的机会。例如，除了为所有云设置的全球标准之外，一些团队还希望强制执行额外的标记标准。他们可以使用自定义规则实施此类策略，并将这些规则配置为仅在其资产上运行。

• 持续的合规性评估。
• 详细的合规报告。
• 自动修复策略违规行为。
• 全方位搜索 - 能够搜索所有已发现的资源。
• 简化策略违规跟踪。
• 自助服务门户。
• 自定义策略和自定义自动修复操作。
• 动态资产分组以查看合规性。
• 能够创建多个合规域。
• 异常管理。
• 电子邮件摘要。
• 支持多个AWS账户。
• 完全自动化的安装程序。
• 可定制的仪表板。
• OAuth 支持。
• 用于登录的 Azure AD 集成。
• 基于角色的访问控制。
• 资产360度。

• 前端 - 角度
• 后端 API、作业、规则 - Java
• 安装程序 - Python 和 Terraform

• AWS ECS 和 ECR - 用于托管 UI 和 API
• AWS Batch - 用于规则和资源收集作业
• AWS CloudWatch 规则 - 对于规则触发器、调度程序
• AWS Redshift - 从多个来源收集的所有库存的数据仓库
• AWS Elastic Search - Web 应用程序使用的主要数据存储
• AWS RDS - 用于管理 CRUD 功能
• AWS S3 - 用于存储库存文件和历史数据的持久存储
• AWS Lambda - 用于粘合 PacBot 的几个组件

PacBot 安装程序会自动启动所有这些服务并配置它们。有关安装的详细说明，请参阅安装文档。

• 资产组选择小部件

  

• 合规仪表板

  

• 策略合规性页面 - S3 存储桶公共读取访问权限

  

• 随时间变化的政策合规趋势

  

• 资产仪表板

  

• 资产仪表板 - 带建议

  

• 资产 360/资产详细信息页面

• Linux 服务器季度补丁合规性

  

• 全方位搜索页面

  

• 具有结果过滤功能的搜索结果页面

  

• 标记合规性摘要小部件

  

详细的安装说明可以在这里找到

安装程序将启动安装说明中列出的所需 AWS 服务。安装成功后，打开 UI 负载均衡器 URL。使用安装期间提供的凭据登录到应用程序。政策评估的结果将在一小时内开始填充。当至少有两个数据点时，将填充趋势线小部件。

当您安装 PacBot 时，您安装的 AWS 账户是基本账户。安装在基本账户上的 PacBot 可以监控其他目标 AWS 账户。请参阅此处的说明将新帐户添加到 PacBot。默认情况下，基本帐户将由 PacBot 监控。

以管理员用户身份登录并从顶部菜单转到管理页面。在管理部分，您可以

1. 创建/管理策略
2. 创建/管理规则并将规则与策略关联
3. 创建/管理资产组
4. 创建/管理粘性异常
5. 管理职位
6. 创建/管理访问角色
7. 管理 PacBot 配置

请参阅此处有关如何使用管理功能的详细说明和屏幕截图

维基百科在这里。

PacBot 简介

PacBot 根据 Apache 2.0 许可证第 7 节的条款开源，并按原样发布，不附带任何形式的保证或条件。