Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

RUDDER - Continuous Configuration (configuration management + continuous auditing)

1,953 views

Published on

Rudder is an easy to use, web-driven, role-based solution for IT Infrastructure Automation and Compliance. With a focus on continuously checking configurations and centralising real-time status data, Rudder can show a high-level summary (“ISO 27001 rules are at 100%!”) and break down noncompliance issues to a deep technical level (“Host prod-web-03: SSH server configuration allows root logins”).

A few things that make Rudder stand out:
- A simple framework allows you to extend the built-in rules to implement specific low-level configuration patterns, however complex they may be, using simple building blocks (“ensure package installed in version X,” “ensure file content,” “ensure line in file,” etc.). A graphical builder lowers the technical level required to use this.
- Each policy can be independently set to be automatically checked or enforced on a policy or host level. In Enforce mode, each remediation action is recorded, showing the value of these invisible fixes.
- Rudder works on almost every kind of device, so you’ll be managing physical and virtual servers in the data center, cloud instances, and embedded IoT devices in the same way.
- Rudder is designed for critical environments where a security breach can mean more than a blip in the sales stats. Built-in features include change requests, audit logs, and strong authentication.
- Rudder relies on an agent that needs to be installed on all hosts to audit. The agent is very lightweight (10 to 20 MB of RAM at peak) and blazingly fast (it’s written in C and takes less than 10 seconds to verify 100 rules). Installation is self-contained, via a single package, and can auto-update to limit agent management burden.
- Rudder is a true and professional open source solution—the team behind Rudder doesn’t believe in the dual-speed licensing approach that makes you reinstall everything and promotes open source as little more than a “demo version.”

Rudder is an established project with several 10000s of node managed, in companies from small to biggest-in-their-field. Typical deployments manage 100s to 1000s of nodes. The biggest known deployment in 2016 is about 7000 nodes.

Published in: Software
  • Be the first to comment

  • Be the first to like this

RUDDER - Continuous Configuration (configuration management + continuous auditing)

  1. 1. Rudder: n.m, de l’anglais « gouvernail ». Permet de redresser le cap quand l’on dérive de sa destination. Continuous Auditing – Continuous Configuration
  2. 2. 2 Rudder devops♡ → Culture → Automate → Measure → Share → devops Contraction de « développeur » et « operations » (= « administrateur système »)
  3. 3. 3 Production moderne de services IT
  4. 4. 4 Production moderne de services IT Provisioning Installation Configuration Mise à jour Patch
  5. 5. 5 Production moderne de services IT Automatisation Provisioning Installation Configuration Mise à jour Patch
  6. 6. 6 Installation Configuration Mise à jour Patch Des briques open source à chaque étape Provisioning Briques open source
  7. 7. 7 L’informatique devient continue Croissance continue Menace continue Connexion continue Continuous *
  8. 8. 8 L’informatique devient continue La gestion de la production informatique doit devenir continue Croissance continue Menace continue Connexion continue Continuous Auditing – Continuous Configuration
  9. 9. 9 Bénéfices APPROCHE : Audit et configuration continus Reporting objectif Mesure en temps réel et en continu Indicateurs pour votre SI Temps gagné Déploiement , maintenance, évolutions Gestion indépendante du nombre de machines Fiabilité garantie Maintien en conditions opérationnelles (MCO) Changements maîtrisés
  10. 10. 10 Vue d’ensemble Node-server communication Gestion centralisée Agents locaux↔
  11. 11. 11 Points clés (1/3) Bon citoyen Compatible process et outils : change requests, audit log authentification AD/LDAP, ... Vigilance Vérification continue pour l’information la plus précise et les réactions les plus rapides. Production ready Audit Enforce↔ Chaque configuration peut être auditée seulement ou corrigée, pour ne pas travailler à l’aveugle. Rapport Re- médiation
  12. 12. 12 Points clés (2/3) CLI / Code Création de nouveaux modules de configuration. Exploitation de l’outil. Web Utiliser les patterns de configuration existants. Consulter la conformité. Séparation des rôles API Automatisation de l’ajout de nouveaux nœuds. Intégration outils tiers.
  13. 13. 13 CloudServeurs Bureautique Embarqué/IoT Mobile Toutes échelles Performance Composants relais 2 → > 10 000 Multi-OS (Portage sur quasi tous OS possibles, sauf iOS) Multi-plateforme Traditionnel, virtuel, cloud, mobile, embarqué, … Points clés (3/3) Universel
  14. 14. 14 Notion d’état cible Définition de l’état cible Cible Impératif Déclaratif Mettre à jour le package openssl Package openssl en dernière version Redémarrer le service ntpd Le service ntpd doit être lancé Copier le fichier sshd_config.template Le fichier sshd_config doit contenir “PermitRootLogin no”
  15. 15. 15 Fonctionnement général OK NOK Rapport Re- médiation Politique (état cible) Distribution par agent Vérification locale Méthodes spécifiques à chaque OS RÉPÉTITION Cycle de vie continu avec remédiation
  16. 16. 16 Fonctionnalités : définition des configurations Techniques Modules de configuration prêts à l’emploi
  17. 17. 17 Fonctionnalités : définition des configurations Techniques Modules de configuration prêts à l’emploi Quelques exemples : 1. Utilisateurs, groupes, mots de passe 2. Logiciels (deb/rpm/exe/MSI) 3. Fichiers de configuration (complets, templates, par ligne, par section, ...) 4. Gestion des services 5. Configurations applicatives (OpenSSH, Apache HTTPd, IIS, NFS, ...) → Pour tout le reste, l’éditeur de Techniques
  18. 18. 18 Fonctionnalités : définition des configurations
  19. 19. 19 Fonctionnalités : définition des configurations Exemples de directives techniques 1. Logout automatique après inactivité 2. Mots de passe (force, durée de vie, ...) 3. Pas de compilateurs en production 4. Avertissement sur connexion distance 5. Patch de versions de logiciels vulnérables BUT Protéger les accès Protéger les accès Respecter la loi IMPLÉMENTATION Contenu fichier/registre Contenu fichier/registre Paquet absent Contenu fichier/registre Package présent/à jour Éviter exploits potentiels Éviter exploits connus
  20. 20. 20 Fonctionnalités : définition des configurations Éditeur de Techniques (IDE) Créer n’importe quelle configuration avec des briques élémentaires
  21. 21. 21 Fonctionnalités : définition des configurations Éditeur de Techniques (IDE) Créer n’importe quelle configuration avec des briques élémentaires Package absent Package absent Security directive #2 File enforce Service running Security directive #3 Package present File edit Security directive #1 Corporate security policy Security best practices RULERULE
  22. 22. 22 Reporting graphique pour analyser en détail un état Rapport agrégé de conformité Compliance report Fonctionnalités : Reporting Reporting détaillé par règle de configuration
  23. 23. 23 Fonctionnalités : Reporting Dashboard – vision d’ensemble
  24. 24. 24 Double validation / Change Requests Fonctionnalités : double validation
  25. 25. 25 Restauration automatique de la configuration précédente en cas de besoin Fonctionnalités : audit log + rollback Trace automatique des changements
  26. 26. 26 Serveur central Nœud Nœud Nœud Communication TCP (port 5309) Métadonnées fichiers Contenus fichiers Chiffrement et authentification (TLS) Communication TCP (ports 443 et 514) Protocoles HTTPS, syslog Nœud Nœud Nœud Zone réseau isolée Serveur « relai » Délégation Inventory + Reports Configuration policy Sens des flux réseaux Tous les flux sont ouverts du nœud vers le serveur central ou relai (ainsi aucun port ne doit être ouvert sur les machines gérées). Architecture réseau
  27. 27. 27 Résumé : points clés Universel Multi plateforme et OS Toutes échelles Agent léger et autonome Production ready Vigilance Audit Enforce↔ Bon citoyen du SI Points clés Séparation / rôles Interface web / API / CLI Accessibilité simple Extensibilité avancée Rapport Re- médiation 2 → > 10 000
  28. 28. 28 Résumé : approche continue Audit et configuration continus Reporting objectif Mesure en temps réel et en continu Indicateurs pour votre SI Temps gagné Déploiement , maintenance, évolutions Gestion indépendante du nombre de machines Fiabilité garantie Maintien en conditions opérationnelles (MCO) Changements maîtrisés
  29. 29. 29 Rudder devops♡ → Culture → Automate → Measure → Share → devops Contraction de « développeur » et « operations » (= « administrateur système »)
  30. 30. Normation – 87 rue de Turbigo, 75003 PARIS, France –Normation – 87 rue de Turbigo, 75003 PARIS, France – contact@normation.comcontact@normation.com – 01.83.62.26.96 –– 01.83.62.26.96 – http://www.normation.com/http://www.normation.com/ Continuous Auditing Continuous Configuration Jonathan CLARKE Co-founder & Product jcl@normation.com

×