pacbot
Release 2.0: Azure Compliance
策略即代碼機器人 (PacBot) 是一個用於雲端持續合規性監控、合規性報告和安全自動化的平台。在 PacBot 中,安全性和合規性策略以程式碼的形式實現。 PacBot 發現的所有資源都會根據這些策略進行評估,以衡量策略的一致性。 PacBot 自動修復框架提供了透過採取預先定義操作來自動回應政策違規的能力。 PacBot 具有強大的視覺化功能,可提供簡化的合規性視圖,並且可以輕鬆分析和糾正策略違規行為。 PacBot 不僅僅是一個管理雲端錯誤配置的工具,它也是一個通用平台,可用於對任何網域進行持續合規性監控和報告。
PacBot 基於插件的資料擷取架構允許從多個來源擷取資料。我們建立了插件,可以從 Qualys 漏洞評估平台、Bitbucket、TrendMicro Deep Security、Tripwire、Venafi 憑證管理、Redhat Satellite、Spacewalk、Active Directory 和其他幾個客製化的內部解決方案中提取資料。我們正在努力開源這些插件和其他工具。您可以根據這些外掛程式收集的資料編寫規則,以全面了解您的生態系統,而不僅僅是雲端配置錯誤。例如,在 T-Mobile 內部,我們實施了一項策略,將所有具有一個或多個嚴重性 5(CVSS 評分 > 7)漏洞的 EC2 執行個體標記為不合規。
評估 -> 報告 -> 修復 -> 重複
評估 -> 報告 -> 修復 -> 重複是 PacBot 的理念。 PacBot 發現資源並根據作為代碼實施的策略對其進行評估。所有違反政策的行為都會被記錄為問題。只要策略中存在自動修復掛鉤,當資源評估失敗時,就會執行這些自動修復。政策違規無法手動關閉,問題必須從源頭解決,PacBot 將在下次掃描中將其標記為關閉。可以為違反策略的行為添加例外情況。可以添加黏性異常(基於資源屬性匹配條件的異常),以免除將來可能創建的類似資源。
PacBot 的資產組是可視化合規性的強大方法。資產組是透過定義一個或多個目標資源的屬性匹配標準來建立的。例如,您可以透過定義條件來符合所有具有屬性 instancestate.name=running 的 EC2 實例,從而建立所有正在執行的資產的資產組。建立資產組後啟動的任何新 EC2 執行個體都會自動包含在該組中。在 PacBot UI 中,您可以選擇特定資產群組的入口網站範圍。 PacBot 入口網站中顯示的所有資料點將僅限於選定的資產組。使用雲端的團隊可以將入口網站的範圍設定為其應用程式或組織,並僅關注其策略違規行為。這可以減少噪音並為雲端用戶提供清晰的圖像。在 T-Mobile,我們為每個利害關係人、每個應用程式、每個 AWS 帳戶、每個環境等建立一個資產組。
資產組也可用於定義規則執行的範圍。 PacBot 策略作為一項或多項規則實施。這些規則可以配置為針對所有資源或特定資產組執行。這些規則將評估配置為規則範圍的資產組中的所有資源。這提供了編寫針對應用程式或組織的特定策略的機會。例如,除了為所有雲端設定的全球標準之外,一些團隊還希望強制執行額外的標記標準。他們可以使用自訂規則實施此類策略,並將這些規則配置為僅在其資產上運行。
PacBot 安裝程式會自動啟動所有這些服務並設定它們。有關安裝的詳細說明,請參閱安裝文件。
詳細的安裝說明可以在這裡找到
安裝程式將啟動安裝說明中所列的所需 AWS 服務。安裝成功後,開啟 UI 負載平衡器 URL。使用安裝期間提供的憑證登入應用程式。政策評估的結果將在一小時內開始填充。當至少有兩個數據點時,將填入趨勢線小工具。
當您安裝 PacBot 時,您安裝的 AWS 帳戶是基本帳戶。安裝在基本帳戶上的 PacBot 可以監控其他目標 AWS 帳戶。請參閱此處的說明將新帳戶新增至 PacBot。預設情況下,基本帳戶將由 PacBot 監控。
以管理員使用者身分登入並從頂部選單轉到管理頁面。在管理部分,您可以
請參閱此處有關如何使用管理功能的詳細說明和螢幕截圖
維基百科在這裡。
PacBot 簡介
PacBot 根據 Apache 2.0 許可證第 7 節的條款開源,並按原樣發布,不附帶任何形式的保證或條件。
