SlideShare a Scribd company logo

Automation Compliance Checks

E
Ekaterina Pukhareva

Automation Compliance Checks by A.Sekretov & E.Pukhareva

1 of 23
Download to read offline
Автоматизация compliance-проверок Alexander Sekretov & Ekaterina Pukhareva
Архитектура
Цикл процесса по управлению уязвимостями Discovery Finding a live host Assessment What assets? Analysis What to fix first? Remediation Fix the problem • Сколько времени на обработку? • Риски? Сканирование внешнего и внутреннего периметров Сканирование ассетов: • Рабочие станции, сервера, сетевое оборудование • оценка CVSS • Обработка • Принятие риска
Compliance-проверки Nessus .audit files (кастомные или доработанные плагины) - Операционные системы (SSH, парольная политика, локальные УЗ, аудит, и т.д.) - Базы данных (привилегии и т.д.) - Network devices (SSH, SNMP и т.д.) - др. Проверка технических требований PCI DSS и др. стандартов
Аудит-файл для Debian Linux Парольная политика
Аудит-файл для Debian Linux Небезопасные протоколы
Отчеты
Дашборды
Автоматизация compliance-проверок VMware vSphere
Сканировать vSphere через vSphere SDK (SOAP API) умеют: § MaxPatrol § Nessus/Security Center Недостатки: o Неполнота покрытия (~70% контролей ESXi) o Часть оставшихся ~30% проверок Enterprise- решения могут осуществить через SSH и локальный root Критичные контроли, для которых не указан способ проверки через API: § vSphere-5.x-esxi-remove-authorized-keys § vSphere-5.x-esxi-set-password-complexity § vSphere-5.x-esxi-create-local-admin Варианты реализации данных проверок: o Вручную на каждом хосте o Предоставить root доступ сканеру к каждому ESXi и держать SSH включенным (противоречит vSphere-5.x- esxi-disable-ssh) Чем сканировать vSphere?
§ Python + vSphere SDK (+multi- processing, PostgreSQL, web-interface) § Не вносит изменений в vSphere § Поддержка vSphere 5.x, 6.0 § Проверки выбираются динамически в зависимости от версии ESXi § Проверяет все пункты Hardening Guide через API, в т.ч.: • SNMP v3 (vSphere-5.5-esxi-config-snmp) • Local Admin (vSphere-5.5-esxi-create-local-admin) • Managed Object Browser (vSphere-5.5-esxi-disable- mob) • Acceptance Level (vSphere-5.5-esxi-verify- acceptance-level-*) • Dump Collector (vSphere-5.5-esxi-enable-remote- dump) • Admin Group (vSphere-5.5-esxi-verify-admin-group) • Kernel modules (vSphere-5.5-esxi-verify-kernel- modules) • SSH Keys (vSphere-5.5-esxi-remove-authorized-keys) • Password Policies (vSphere-5.5-esxi-set-password- complexity) - даже в ESXi 5.x • Exception Users (ESXi 6.0) Внутренняя разработка, которая умеет больше, чем enterprise- решения. vForge Scanner
УЧЕТНАЯ ЗАПИСЬ НА ESXi Роль с 3 привилегиями из 253 УЧЕТНАЯ ЗАПИСЬ НА VCENTER Роль c 7 привилегиями из 253 ДОСТУП ПО 443 ПОРТУ Работает через родное vSphere API vForge Scanner
v C e n t e r S e r v e r Обычно один сервер Настройка - вручную E S X i Количество гипервизоров исчисляется в десятках. Настройка - вручную V i r t u a l M a c h i n e s Количество VM – тысячи ~50 параметров VMX на каждую машину. Необходима автоматизация • Все требования Hardening Guide в части VM относятся к изменению конфигурационного файла VMX виртуальной машины. • Не все параметры VMX отображаются в свойствах VM • VMX-файл считывается гипервизором в момент инициализации виртуальной машины Как настроить vSphere
О Б С У Д И Т Ь V M X - К О Н Ф И Г И С В Л А Д Е Л Ь Ц А М И V M С Д Е Л А Т Ь B A C K U P V M X - К О Н Ф И Г О В В Ы Б Р А Т Ь В Р Е М Я П Р И М Е Н И Т Ь Н А С Т Р О Й К И Необходимо согласовать параметры VMX с владельцами виртуальных машин. Где-то в продуктовой среде могут быть необходимы: § Floppy/CD/USB устройства § Диски в режиме Independent Non-persistent § Различные значения RemoteDisplay.maxConnections После обсуждения необходимо сформировать внутренний стандарт конфигурации со значениями параметров, индивидуальных для вашей продуктовой среды. vForge Framework
О Б С У Д И Т Ь V M X - К О Н Ф И Г И С В Л А Д Е Л Ь Ц А М И V M С Д Е Л А Т Ь B A C K U P V M X - К О Н Ф И Г О В Backup удобно делать скриптом, например Python + vSphere SDK. VMX-конфиги виртуальных машин необходимо скачивать напрямую с Datastore vForge Framework В Ы Б Р А Т Ь В Р Е М Я П Р И М Е Н И Т Ь Н А С Т Р О Й К И
О Б С У Д И Т Ь V M X - К О Н Ф И Г И С В Л А Д Е Л Ь Ц А М И V M С Д Е Л А Т Ь B A C K U P V M X - К О Н Ф И Г О В В Ы Б Р А Т Ь В Р Е М Я П Р И М Е Н И Т Ь Н А С Т Р О Й К И • Windows – есть технологические окна для применения обновлений • Unix – как правило, задублированы или кластеризованы • DB – switchover Время для перезагрузки оставшихся VM (недоменные Windows, testing environment) обсуждается индивидуально с их владельцами vForge Framework
О Б С У Д И Т Ь V M X - К О Н Ф И Г И С В Л А Д Е Л Ь Ц А М И V M С Д Е Л А Т Ь B A C K U P V M X - К О Н Ф И Г О В В Ы Б Р А Т Ь В Р Е М Я П Р И М Е Н И Т Ь Н А С Т Р О Й К И Конфигурация VM (PowerCLI): 1) VMware Tools Guest Power Off* 2) Reconfig 3) Power On *VMware Tools должны быть установлены, в противном случае невозможно плавное выключение гостевой ОС Конфигурация Template (PowerCLI) : 1) Convert to VM 2) Reconfig 3) Convert to template vForge Framework
О Б С У Д И Т Ь V M X - К О Н Ф И Г И С В Л А Д Е Л Ь Ц А М И V M С Д Е Л А Т Ь B A C K U P V M X - К О Н Ф И Г О В В Ы Б Р А Т Ь В Р Е М Я П Р И М Е Н И Т Ь Н А С Т Р О Й К И vForge Framework
100% 0 18 2 формализованных контролей Hardening Guide проверяются через vSphere SDK привилегированных УЗ необходимо для сканирования минут требуется для сканирования 30 ESXi и 1200 VM месяца ушло на настройку всей виртуальной среды П О К Р Ы Т И Е С Т А Н Д А Р Т А Н О В Ы Е А Д М И Н И С Т Р А Т И В Н Ы Е У З В Р Е М Я С К А Н И Р О В А Н И Я В Р Е М Я Н А С Т Р О Й К И Итоги
На внутреннем портале сделан веб- интерфейс с графиками, результатами сканов и фильтром W E B I N T E R F A C E Итоги
На внутреннем портале сделан веб- интерфейс с графиками, результатами сканов и фильтром W E B I N T E R F A C E Итоги
§ Авто-заведение тикетов в JIRA § Аудит уязвимостей (через vSphere SDK, никакого SSH) § Проверка установленных патчей § Интеграция с Vulners.com § Виртуальный appliance со всем функционалом: - Сканирование - Backup VMX - Настройка vCenter/ESXi/VM - Отчеты - Графики - Ретроспектива Планы
Вопросы?

Recommended

Veeam for Bit Byte 25 апреля 2014
Veeam for Bit Byte 25 апреля 2014Veeam for Bit Byte 25 апреля 2014
Veeam for Bit Byte 25 апреля 2014Илья Фураев
 
Обзор новых моделей EMC VNX
Обзор новых моделей EMC VNXОбзор новых моделей EMC VNX
Обзор новых моделей EMC VNX
КРОК
 
Развитие интегрированных решений на основе Cisco UCS
Развитие интегрированных решений на основе Cisco UCSРазвитие интегрированных решений на основе Cisco UCS
Развитие интегрированных решений на основе Cisco UCS
Cisco Russia
 
Управление облачной инфраструктурой
Управление облачной инфраструктуройУправление облачной инфраструктурой
Управление облачной инфраструктуройdddpaul
 
Автоматизированное тестирование - от сложного к простому, или Запускаем автот...
Автоматизированное тестирование - от сложного к простому, или Запускаем автот...Автоматизированное тестирование - от сложного к простому, или Запускаем автот...
Автоматизированное тестирование - от сложного к простому, или Запускаем автот...
SQALab
 
Программные интерфейсы управления серверной платформой и вычислительными стек...
Программные интерфейсы управления серверной платформой и вычислительными стек...Программные интерфейсы управления серверной платформой и вычислительными стек...
Программные интерфейсы управления серверной платформой и вычислительными стек...
Cisco Russia
 
Построение ядра корпоративной облачной платформы на UCS Director. Собственные...
Построение ядра корпоративной облачной платформы на UCS Director. Собственные...Построение ядра корпоративной облачной платформы на UCS Director. Собственные...
Построение ядра корпоративной облачной платформы на UCS Director. Собственные...
Cisco Russia
 
Ядро автоматизации под микро-сервисную архитектуру
Ядро автоматизации под микро-сервисную архитектуруЯдро автоматизации под микро-сервисную архитектуру
Ядро автоматизации под микро-сервисную архитектуру
SQALab
 

Recommended

Veeam for Bit Byte 25 апреля 2014
Veeam for Bit Byte 25 апреля 2014Veeam for Bit Byte 25 апреля 2014
Veeam for Bit Byte 25 апреля 2014Илья Фураев
 
Обзор новых моделей EMC VNX
Обзор новых моделей EMC VNXОбзор новых моделей EMC VNX
Обзор новых моделей EMC VNX
КРОК
 
Развитие интегрированных решений на основе Cisco UCS
Развитие интегрированных решений на основе Cisco UCSРазвитие интегрированных решений на основе Cisco UCS
Развитие интегрированных решений на основе Cisco UCS
Cisco Russia
 
Управление облачной инфраструктурой
Управление облачной инфраструктуройУправление облачной инфраструктурой
Управление облачной инфраструктуройdddpaul
 
Автоматизированное тестирование - от сложного к простому, или Запускаем автот...
Автоматизированное тестирование - от сложного к простому, или Запускаем автот...Автоматизированное тестирование - от сложного к простому, или Запускаем автот...
Автоматизированное тестирование - от сложного к простому, или Запускаем автот...
SQALab
 
Программные интерфейсы управления серверной платформой и вычислительными стек...
Программные интерфейсы управления серверной платформой и вычислительными стек...Программные интерфейсы управления серверной платформой и вычислительными стек...
Программные интерфейсы управления серверной платформой и вычислительными стек...
Cisco Russia
 
Построение ядра корпоративной облачной платформы на UCS Director. Собственные...
Построение ядра корпоративной облачной платформы на UCS Director. Собственные...Построение ядра корпоративной облачной платформы на UCS Director. Собственные...
Построение ядра корпоративной облачной платформы на UCS Director. Собственные...
Cisco Russia
 
Ядро автоматизации под микро-сервисную архитектуру
Ядро автоматизации под микро-сервисную архитектуруЯдро автоматизации под микро-сервисную архитектуру
Ядро автоматизации под микро-сервисную архитектуру
SQALab
 
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
Cisco Russia
 
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиMagic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Positive Hack Days
 
Программные интерфейсы управления (API) архитектурой, ориентированной на прил...
Программные интерфейсы управления (API) архитектурой, ориентированной на прил...Программные интерфейсы управления (API) архитектурой, ориентированной на прил...
Программные интерфейсы управления (API) архитектурой, ориентированной на прил...
Cisco Russia
 
Технология плоского_прямого резервного копирования
Технология плоского_прямого резервного копированияТехнология плоского_прямого резервного копирования
Технология плоского_прямого резервного копирования
Альбина Минуллина
 
Formal verification of operating system kernels
Formal verification of operating system kernelsFormal verification of operating system kernels
Formal verification of operating system kernels
Denis Efremov
 
Инструменты тестирования ядра Linux
Инструменты тестирования ядра LinuxИнструменты тестирования ядра Linux
Инструменты тестирования ядра Linux
Denis Efremov
 
Российская операционная система реального времени для микроконтроллеров, с по...
Российская операционная система реального времени для микроконтроллеров, с по...Российская операционная система реального времени для микроконтроллеров, с по...
Российская операционная система реального времени для микроконтроллеров, с по...
CEE-SEC(R)
 
Построение гибридных облачных решений с Cisco Intercloud Fabric.
Построение гибридных облачных решений с Cisco Intercloud Fabric.Построение гибридных облачных решений с Cisco Intercloud Fabric.
Построение гибридных облачных решений с Cisco Intercloud Fabric.
Cisco Russia
 
Решения по консолидации и виртуализации ЦОД и облачным технологиям
Решения по консолидации и виртуализации ЦОД и облачным технологиямРешения по консолидации и виртуализации ЦОД и облачным технологиям
Решения по консолидации и виртуализации ЦОД и облачным технологиям
КРОК
 
Непрерывная интеграция. Практическое применение
Непрерывная интеграция. Практическое применениеНепрерывная интеграция. Практическое применение
Непрерывная интеграция. Практическое применениеdevclub
 
Не бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТПНе бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТП
Альбина Минуллина
 
Один за всех, или как помочь тестированию многих компонентов одной системы
Один за всех, или как помочь тестированию многих компонентов одной системыОдин за всех, или как помочь тестированию многих компонентов одной системы
Один за всех, или как помочь тестированию многих компонентов одной системы
SQALab
 
Аудит веб-приложений
Аудит веб-приложенийАудит веб-приложений
Аудит веб-приложений
Альбина Минуллина
 
Настраиваемое тестирование производительности
Настраиваемое тестирование производительностиНастраиваемое тестирование производительности
Настраиваемое тестирование производительности
SQALab
 
Облако с доставкой VCE Vblock
Облако с доставкой VCE VblockОблако с доставкой VCE Vblock
Облако с доставкой VCE Vblock
КРОК
 
Всевидящее око. Мониторинг нагрузочного тестирования с InfluxDB и Grafana
Всевидящее око. Мониторинг нагрузочного тестирования с InfluxDB и GrafanaВсевидящее око. Мониторинг нагрузочного тестирования с InfluxDB и Grafana
Всевидящее око. Мониторинг нагрузочного тестирования с InfluxDB и Grafana
SQALab
 
ПК КВГ
ПК КВГПК КВГ
ПК КВГ
Артем Кузьмицкий
 
Гиперконвергентность в трех измерениях: решения, технологии, эффективность
Гиперконвергентность в трех измерениях: решения, технологии, эффективностьГиперконвергентность в трех измерениях: решения, технологии, эффективность
Гиперконвергентность в трех измерениях: решения, технологии, эффективность
КРОК
 
Расширение границ возможного с EMC XtremIO
Расширение границ возможного с EMC XtremIOРасширение границ возможного с EMC XtremIO
Расширение границ возможного с EMC XtremIO
КРОК
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScript
Positive Hack Days
 
V center configuration manager customer facing technical presentation
V center configuration manager customer facing technical presentationV center configuration manager customer facing technical presentation
V center configuration manager customer facing technical presentation
solarisyourep
 
A Review on Traffic Classification Methods in WSN
A Review on Traffic Classification Methods in WSNA Review on Traffic Classification Methods in WSN
A Review on Traffic Classification Methods in WSN
IJARIIT
 

More Related Content

What's hot

Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
Cisco Russia
 
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиMagic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Positive Hack Days
 
Программные интерфейсы управления (API) архитектурой, ориентированной на прил...
Программные интерфейсы управления (API) архитектурой, ориентированной на прил...Программные интерфейсы управления (API) архитектурой, ориентированной на прил...
Программные интерфейсы управления (API) архитектурой, ориентированной на прил...
Cisco Russia
 
Технология плоского_прямого резервного копирования
Технология плоского_прямого резервного копированияТехнология плоского_прямого резервного копирования
Технология плоского_прямого резервного копирования
Альбина Минуллина
 
Formal verification of operating system kernels
Formal verification of operating system kernelsFormal verification of operating system kernels
Formal verification of operating system kernels
Denis Efremov
 
Инструменты тестирования ядра Linux
Инструменты тестирования ядра LinuxИнструменты тестирования ядра Linux
Инструменты тестирования ядра Linux
Denis Efremov
 
Российская операционная система реального времени для микроконтроллеров, с по...
Российская операционная система реального времени для микроконтроллеров, с по...Российская операционная система реального времени для микроконтроллеров, с по...
Российская операционная система реального времени для микроконтроллеров, с по...
CEE-SEC(R)
 
Построение гибридных облачных решений с Cisco Intercloud Fabric.
Построение гибридных облачных решений с Cisco Intercloud Fabric.Построение гибридных облачных решений с Cisco Intercloud Fabric.
Построение гибридных облачных решений с Cisco Intercloud Fabric.
Cisco Russia
 
Решения по консолидации и виртуализации ЦОД и облачным технологиям
Решения по консолидации и виртуализации ЦОД и облачным технологиямРешения по консолидации и виртуализации ЦОД и облачным технологиям
Решения по консолидации и виртуализации ЦОД и облачным технологиям
КРОК
 
Непрерывная интеграция. Практическое применение
Непрерывная интеграция. Практическое применениеНепрерывная интеграция. Практическое применение
Непрерывная интеграция. Практическое применениеdevclub
 
Не бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТПНе бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТП
Альбина Минуллина
 
Один за всех, или как помочь тестированию многих компонентов одной системы
Один за всех, или как помочь тестированию многих компонентов одной системыОдин за всех, или как помочь тестированию многих компонентов одной системы
Один за всех, или как помочь тестированию многих компонентов одной системы
SQALab
 
Аудит веб-приложений
Аудит веб-приложенийАудит веб-приложений
Аудит веб-приложений
Альбина Минуллина
 
Настраиваемое тестирование производительности
Настраиваемое тестирование производительностиНастраиваемое тестирование производительности
Настраиваемое тестирование производительности
SQALab
 
Облако с доставкой VCE Vblock
Облако с доставкой VCE VblockОблако с доставкой VCE Vblock
Облако с доставкой VCE Vblock
КРОК
 
Всевидящее око. Мониторинг нагрузочного тестирования с InfluxDB и Grafana
Всевидящее око. Мониторинг нагрузочного тестирования с InfluxDB и GrafanaВсевидящее око. Мониторинг нагрузочного тестирования с InfluxDB и Grafana
Всевидящее око. Мониторинг нагрузочного тестирования с InfluxDB и Grafana
SQALab
 
Гиперконвергентность в трех измерениях: решения, технологии, эффективность
Гиперконвергентность в трех измерениях: решения, технологии, эффективностьГиперконвергентность в трех измерениях: решения, технологии, эффективность
Гиперконвергентность в трех измерениях: решения, технологии, эффективность
КРОК
 
Расширение границ возможного с EMC XtremIO
Расширение границ возможного с EMC XtremIOРасширение границ возможного с EMC XtremIO
Расширение границ возможного с EMC XtremIO
КРОК
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScript
Positive Hack Days
 

What's hot (20)

Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
 
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиMagic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
 
Программные интерфейсы управления (API) архитектурой, ориентированной на прил...
Программные интерфейсы управления (API) архитектурой, ориентированной на прил...Программные интерфейсы управления (API) архитектурой, ориентированной на прил...
Программные интерфейсы управления (API) архитектурой, ориентированной на прил...
 
Технология плоского_прямого резервного копирования
Технология плоского_прямого резервного копированияТехнология плоского_прямого резервного копирования
Технология плоского_прямого резервного копирования
 
Formal verification of operating system kernels
Formal verification of operating system kernelsFormal verification of operating system kernels
Formal verification of operating system kernels
 
Инструменты тестирования ядра Linux
Инструменты тестирования ядра LinuxИнструменты тестирования ядра Linux
Инструменты тестирования ядра Linux
 
Российская операционная система реального времени для микроконтроллеров, с по...
Российская операционная система реального времени для микроконтроллеров, с по...Российская операционная система реального времени для микроконтроллеров, с по...
Российская операционная система реального времени для микроконтроллеров, с по...
 
Построение гибридных облачных решений с Cisco Intercloud Fabric.
Построение гибридных облачных решений с Cisco Intercloud Fabric.Построение гибридных облачных решений с Cisco Intercloud Fabric.
Построение гибридных облачных решений с Cisco Intercloud Fabric.
 
Решения по консолидации и виртуализации ЦОД и облачным технологиям
Решения по консолидации и виртуализации ЦОД и облачным технологиямРешения по консолидации и виртуализации ЦОД и облачным технологиям
Решения по консолидации и виртуализации ЦОД и облачным технологиям
 
Непрерывная интеграция. Практическое применение
Непрерывная интеграция. Практическое применениеНепрерывная интеграция. Практическое применение
Непрерывная интеграция. Практическое применение
 
Не бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТПНе бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТП
 
Один за всех, или как помочь тестированию многих компонентов одной системы
Один за всех, или как помочь тестированию многих компонентов одной системыОдин за всех, или как помочь тестированию многих компонентов одной системы
Один за всех, или как помочь тестированию многих компонентов одной системы
 
Аудит веб-приложений
Аудит веб-приложенийАудит веб-приложений
Аудит веб-приложений
 
Настраиваемое тестирование производительности
Настраиваемое тестирование производительностиНастраиваемое тестирование производительности
Настраиваемое тестирование производительности
 
Облако с доставкой VCE Vblock
Облако с доставкой VCE VblockОблако с доставкой VCE Vblock
Облако с доставкой VCE Vblock
 
Всевидящее око. Мониторинг нагрузочного тестирования с InfluxDB и Grafana
Всевидящее око. Мониторинг нагрузочного тестирования с InfluxDB и GrafanaВсевидящее око. Мониторинг нагрузочного тестирования с InfluxDB и Grafana
Всевидящее око. Мониторинг нагрузочного тестирования с InfluxDB и Grafana
 
ПК КВГ
ПК КВГПК КВГ
ПК КВГ
 
Гиперконвергентность в трех измерениях: решения, технологии, эффективность
Гиперконвергентность в трех измерениях: решения, технологии, эффективностьГиперконвергентность в трех измерениях: решения, технологии, эффективность
Гиперконвергентность в трех измерениях: решения, технологии, эффективность
 
Расширение границ возможного с EMC XtremIO
Расширение границ возможного с EMC XtremIOРасширение границ возможного с EMC XtremIO
Расширение границ возможного с EMC XtremIO
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScript
 

Viewers also liked

V center configuration manager customer facing technical presentation
V center configuration manager customer facing technical presentationV center configuration manager customer facing technical presentation
V center configuration manager customer facing technical presentation
solarisyourep
 
A Review on Traffic Classification Methods in WSN
A Review on Traffic Classification Methods in WSNA Review on Traffic Classification Methods in WSN
A Review on Traffic Classification Methods in WSN
IJARIIT
 
Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...
Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...
Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...vGate R2
 
Презентация с Форума ИБ Директоров 16 апреля 2012г. "Безопасность инфраструкт...
Презентация с Форума ИБ Директоров 16 апреля 2012г. "Безопасность инфраструкт...Презентация с Форума ИБ Директоров 16 апреля 2012г. "Безопасность инфраструкт...
Презентация с Форума ИБ Директоров 16 апреля 2012г. "Безопасность инфраструкт...Максим Федотенко
 
Cis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройствCis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройств
Teymur Kheirkhabarov
 
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1Cisco Russia
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
Teymur Kheirkhabarov
 
Hypervisor and VDI security
Hypervisor and VDI securityHypervisor and VDI security
Hypervisor and VDI securityDenis Gundarev
 
Security Code vGate: Lowering Virtualization Security Risks with ROI 02/03/2011
Security Code vGate: Lowering Virtualization Security Risks with ROI 02/03/2011Security Code vGate: Lowering Virtualization Security Risks with ROI 02/03/2011
Security Code vGate: Lowering Virtualization Security Risks with ROI 02/03/2011
Michael Kozloff
 
Зачем CIO становится поставщиком облачных услуг
Зачем CIO становится поставщиком облачных услугЗачем CIO становится поставщиком облачных услуг
Зачем CIO становится поставщиком облачных услуг
Michael Kozloff
 

Viewers also liked (12)

V center configuration manager customer facing technical presentation
V center configuration manager customer facing technical presentationV center configuration manager customer facing technical presentation
V center configuration manager customer facing technical presentation
 
A Review on Traffic Classification Methods in WSN
A Review on Traffic Classification Methods in WSNA Review on Traffic Classification Methods in WSN
A Review on Traffic Classification Methods in WSN
 
Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...
Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...
Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...
 
Презентация с Форума ИБ Директоров 16 апреля 2012г. "Безопасность инфраструкт...
Презентация с Форума ИБ Директоров 16 апреля 2012г. "Безопасность инфраструкт...Презентация с Форума ИБ Директоров 16 апреля 2012г. "Безопасность инфраструкт...
Презентация с Форума ИБ Директоров 16 апреля 2012г. "Безопасность инфраструкт...
 
VMware vSphere 4.1 Security Hardening Guide Revision A
VMware vSphere 4.1 Security Hardening Guide Revision AVMware vSphere 4.1 Security Hardening Guide Revision A
VMware vSphere 4.1 Security Hardening Guide Revision A
 
Cis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройствCis critical security controls. контроль 3 безопасная конфигурация устройств
Cis critical security controls. контроль 3 безопасная конфигурация устройств
 
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
 
Hypervisor and VDI security
Hypervisor and VDI securityHypervisor and VDI security
Hypervisor and VDI security
 
Data Centers Security
Data Centers SecurityData Centers Security
Data Centers Security
 
Security Code vGate: Lowering Virtualization Security Risks with ROI 02/03/2011
Security Code vGate: Lowering Virtualization Security Risks with ROI 02/03/2011Security Code vGate: Lowering Virtualization Security Risks with ROI 02/03/2011
Security Code vGate: Lowering Virtualization Security Risks with ROI 02/03/2011
 
Зачем CIO становится поставщиком облачных услуг
Зачем CIO становится поставщиком облачных услугЗачем CIO становится поставщиком облачных услуг
Зачем CIO становится поставщиком облачных услуг
 

Similar to Automation Compliance Checks

Полная автоматизация развертываний ПО: общие концепции, пример реализации, ср...
Полная автоматизация развертываний ПО: общие концепции, пример реализации, ср...Полная автоматизация развертываний ПО: общие концепции, пример реализации, ср...
Полная автоматизация развертываний ПО: общие концепции, пример реализации, ср...
SQALab
 
Open source technologies in Microsoft cloud - MS SWIT 2014
Open source technologies in Microsoft cloud - MS SWIT 2014Open source technologies in Microsoft cloud - MS SWIT 2014
Open source technologies in Microsoft cloud - MS SWIT 2014
Alexey Bokov
 
VMU Alexander Samoylenko VMware maturity
VMU Alexander Samoylenko VMware maturityVMU Alexander Samoylenko VMware maturity
VMU Alexander Samoylenko VMware maturityareconster
 
Как запустить виртуализированный ЦОД за час?
Как запустить виртуализированный ЦОД за час?Как запустить виртуализированный ЦОД за час?
Как запустить виртуализированный ЦОД за час?
Cisco Russia
 
Data line cloud solutions
Data line cloud solutionsData line cloud solutions
Data line cloud solutions
Татьяна Янкина
 
Развитие вычислительной платформы Cisco UCS
Развитие вычислительной платформы Cisco UCSРазвитие вычислительной платформы Cisco UCS
Развитие вычислительной платформы Cisco UCS
Cisco Russia
 
Резервное копирование не только виртуальных сред при помощи продуктов Veeam
Резервное копирование не только виртуальных сред при помощи продуктов VeeamРезервное копирование не только виртуальных сред при помощи продуктов Veeam
Резервное копирование не только виртуальных сред при помощи продуктов Veeam
Yaryomenko
 
Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...
Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...
Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...
Cisco Russia
 
Cisco. Унифицированные вычисления практические аспекты перехода к частному об...
Cisco. Унифицированные вычисления практические аспекты перехода к частному об...Cisco. Унифицированные вычисления практические аспекты перехода к частному об...
Cisco. Унифицированные вычисления практические аспекты перехода к частному об...
Yulia Sedova
 
Миграция JIRA - безобразие или безрассудство
Миграция JIRA - безобразие или безрассудствоМиграция JIRA - безобразие или безрассудство
Миграция JIRA - безобразие или безрассудство
SQALab
 
Новости гиперковергенции
Новости гиперковергенцииНовости гиперковергенции
Новости гиперковергенции
Cisco Russia
 
«Механизмы обновления платформы и окружений пользователей в Jelastic»
«Механизмы обновления платформы и окружений пользователей в Jelastic»«Механизмы обновления платформы и окружений пользователей в Jelastic»
«Механизмы обновления платформы и окружений пользователей в Jelastic»
Nata_Churda
 
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
Andrey Klyuchka
 
Mасштабируемое управление и автоматизация серверной платформы и интегрирован...
Mасштабируемое управление и автоматизация серверной платформы и интегрирован...Mасштабируемое управление и автоматизация серверной платформы и интегрирован...
Mасштабируемое управление и автоматизация серверной платформы и интегрирован...
Cisco Russia
 
Сервисные контейнеры для OC IOS XE
Сервисные контейнеры для OC IOS XEСервисные контейнеры для OC IOS XE
Сервисные контейнеры для OC IOS XE
Cisco Russia
 
Building deployment pipeline - DevOps way
Building deployment pipeline - DevOps wayBuilding deployment pipeline - DevOps way
Building deployment pipeline - DevOps wayAndrey Rebrov
 
Виртуализация настольных ПК с VMware View
Виртуализация настольных ПК с VMware ViewВиртуализация настольных ПК с VMware View
Виртуализация настольных ПК с VMware View
areconster
 
Процессоры Intel® Xeon® E5-2600 v3
Процессоры Intel® Xeon® E5-2600 v3Процессоры Intel® Xeon® E5-2600 v3
Процессоры Intel® Xeon® E5-2600 v3
Cisco Russia
 
Практика внедрения виртуализированной сетевой инфраструктуры
Практика внедрения виртуализированной сетевой инфраструктуры Практика внедрения виртуализированной сетевой инфраструктуры
Практика внедрения виртуализированной сетевой инфраструктуры Cisco Russia
 
Как развернуть и настроить DFA фабрику – основные шаги
Как развернуть и настроить DFA фабрику – основные шагиКак развернуть и настроить DFA фабрику – основные шаги
Как развернуть и настроить DFA фабрику – основные шаги
Cisco Russia
 

Similar to Automation Compliance Checks (20)

Полная автоматизация развертываний ПО: общие концепции, пример реализации, ср...
Полная автоматизация развертываний ПО: общие концепции, пример реализации, ср...Полная автоматизация развертываний ПО: общие концепции, пример реализации, ср...
Полная автоматизация развертываний ПО: общие концепции, пример реализации, ср...
 
Open source technologies in Microsoft cloud - MS SWIT 2014
Open source technologies in Microsoft cloud - MS SWIT 2014Open source technologies in Microsoft cloud - MS SWIT 2014
Open source technologies in Microsoft cloud - MS SWIT 2014
 
VMU Alexander Samoylenko VMware maturity
VMU Alexander Samoylenko VMware maturityVMU Alexander Samoylenko VMware maturity
VMU Alexander Samoylenko VMware maturity
 
Как запустить виртуализированный ЦОД за час?
Как запустить виртуализированный ЦОД за час?Как запустить виртуализированный ЦОД за час?
Как запустить виртуализированный ЦОД за час?
 
Data line cloud solutions
Data line cloud solutionsData line cloud solutions
Data line cloud solutions
 
Развитие вычислительной платформы Cisco UCS
Развитие вычислительной платформы Cisco UCSРазвитие вычислительной платформы Cisco UCS
Развитие вычислительной платформы Cisco UCS
 
Резервное копирование не только виртуальных сред при помощи продуктов Veeam
Резервное копирование не только виртуальных сред при помощи продуктов VeeamРезервное копирование не только виртуальных сред при помощи продуктов Veeam
Резервное копирование не только виртуальных сред при помощи продуктов Veeam
 
Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...
Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...
Анализ и устранение проблем при внедрении сервисов Firepower на устройствах C...
 
Cisco. Унифицированные вычисления практические аспекты перехода к частному об...
Cisco. Унифицированные вычисления практические аспекты перехода к частному об...Cisco. Унифицированные вычисления практические аспекты перехода к частному об...
Cisco. Унифицированные вычисления практические аспекты перехода к частному об...
 
Миграция JIRA - безобразие или безрассудство
Миграция JIRA - безобразие или безрассудствоМиграция JIRA - безобразие или безрассудство
Миграция JIRA - безобразие или безрассудство
 
Новости гиперковергенции
Новости гиперковергенцииНовости гиперковергенции
Новости гиперковергенции
 
«Механизмы обновления платформы и окружений пользователей в Jelastic»
«Механизмы обновления платформы и окружений пользователей в Jelastic»«Механизмы обновления платформы и окружений пользователей в Jelastic»
«Механизмы обновления платформы и окружений пользователей в Jelastic»
 
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
 
Mасштабируемое управление и автоматизация серверной платформы и интегрирован...
Mасштабируемое управление и автоматизация серверной платформы и интегрирован...Mасштабируемое управление и автоматизация серверной платформы и интегрирован...
Mасштабируемое управление и автоматизация серверной платформы и интегрирован...
 
Сервисные контейнеры для OC IOS XE
Сервисные контейнеры для OC IOS XEСервисные контейнеры для OC IOS XE
Сервисные контейнеры для OC IOS XE
 
Building deployment pipeline - DevOps way
Building deployment pipeline - DevOps wayBuilding deployment pipeline - DevOps way
Building deployment pipeline - DevOps way
 
Виртуализация настольных ПК с VMware View
Виртуализация настольных ПК с VMware ViewВиртуализация настольных ПК с VMware View
Виртуализация настольных ПК с VMware View
 
Процессоры Intel® Xeon® E5-2600 v3
Процессоры Intel® Xeon® E5-2600 v3Процессоры Intel® Xeon® E5-2600 v3
Процессоры Intel® Xeon® E5-2600 v3
 
Практика внедрения виртуализированной сетевой инфраструктуры
Практика внедрения виртуализированной сетевой инфраструктуры Практика внедрения виртуализированной сетевой инфраструктуры
Практика внедрения виртуализированной сетевой инфраструктуры
 
Как развернуть и настроить DFA фабрику – основные шаги
Как развернуть и настроить DFA фабрику – основные шагиКак развернуть и настроить DFA фабрику – основные шаги
Как развернуть и настроить DFA фабрику – основные шаги
 

Automation Compliance Checks

  • 3. Цикл процесса по управлению уязвимостями Discovery Finding a live host Assessment What assets? Analysis What to fix first? Remediation Fix the problem • Сколько времени на обработку? • Риски? Сканирование внешнего и внутреннего периметров Сканирование ассетов: • Рабочие станции, сервера, сетевое оборудование • оценка CVSS • Обработка • Принятие риска
  • 10. Сканировать vSphere через vSphere SDK (SOAP API) умеют: § MaxPatrol § Nessus/Security Center Недостатки: o Неполнота покрытия (~70% контролей ESXi) o Часть оставшихся ~30% проверок Enterprise- решения могут осуществить через SSH и локальный root Критичные контроли, для которых не указан способ проверки через API: § vSphere-5.x-esxi-remove-authorized-keys § vSphere-5.x-esxi-set-password-complexity § vSphere-5.x-esxi-create-local-admin Варианты реализации данных проверок: o Вручную на каждом хосте o Предоставить root доступ сканеру к каждому ESXi и держать SSH включенным (противоречит vSphere-5.x- esxi-disable-ssh) Чем сканировать vSphere?
  • 11. § Python + vSphere SDK (+multi- processing, PostgreSQL, web-interface) § Не вносит изменений в vSphere § Поддержка vSphere 5.x, 6.0 § Проверки выбираются динамически в зависимости от версии ESXi § Проверяет все пункты Hardening Guide через API, в т.ч.: • SNMP v3 (vSphere-5.5-esxi-config-snmp) • Local Admin (vSphere-5.5-esxi-create-local-admin) • Managed Object Browser (vSphere-5.5-esxi-disable- mob) • Acceptance Level (vSphere-5.5-esxi-verify- acceptance-level-*) • Dump Collector (vSphere-5.5-esxi-enable-remote- dump) • Admin Group (vSphere-5.5-esxi-verify-admin-group) • Kernel modules (vSphere-5.5-esxi-verify-kernel- modules) • SSH Keys (vSphere-5.5-esxi-remove-authorized-keys) • Password Policies (vSphere-5.5-esxi-set-password- complexity) - даже в ESXi 5.x • Exception Users (ESXi 6.0) Внутренняя разработка, которая умеет больше, чем enterprise- решения. vForge Scanner
  • 13. v C e n t e r S e r v e r Обычно один сервер Настройка - вручную E S X i Количество гипервизоров исчисляется в десятках. Настройка - вручную V i r t u a l M a c h i n e s Количество VM – тысячи ~50 параметров VMX на каждую машину. Необходима автоматизация • Все требования Hardening Guide в части VM относятся к изменению конфигурационного файла VMX виртуальной машины. • Не все параметры VMX отображаются в свойствах VM • VMX-файл считывается гипервизором в момент инициализации виртуальной машины Как настроить vSphere
  • 14. О Б С У Д И Т Ь V M X - К О Н Ф И Г И С В Л А Д Е Л Ь Ц А М И V M С Д Е Л А Т Ь B A C K U P V M X - К О Н Ф И Г О В В Ы Б Р А Т Ь В Р Е М Я П Р И М Е Н И Т Ь Н А С Т Р О Й К И Необходимо согласовать параметры VMX с владельцами виртуальных машин. Где-то в продуктовой среде могут быть необходимы: § Floppy/CD/USB устройства § Диски в режиме Independent Non-persistent § Различные значения RemoteDisplay.maxConnections После обсуждения необходимо сформировать внутренний стандарт конфигурации со значениями параметров, индивидуальных для вашей продуктовой среды. vForge Framework
  • 15. О Б С У Д И Т Ь V M X - К О Н Ф И Г И С В Л А Д Е Л Ь Ц А М И V M С Д Е Л А Т Ь B A C K U P V M X - К О Н Ф И Г О В Backup удобно делать скриптом, например Python + vSphere SDK. VMX-конфиги виртуальных машин необходимо скачивать напрямую с Datastore vForge Framework В Ы Б Р А Т Ь В Р Е М Я П Р И М Е Н И Т Ь Н А С Т Р О Й К И
  • 16. О Б С У Д И Т Ь V M X - К О Н Ф И Г И С В Л А Д Е Л Ь Ц А М И V M С Д Е Л А Т Ь B A C K U P V M X - К О Н Ф И Г О В В Ы Б Р А Т Ь В Р Е М Я П Р И М Е Н И Т Ь Н А С Т Р О Й К И • Windows – есть технологические окна для применения обновлений • Unix – как правило, задублированы или кластеризованы • DB – switchover Время для перезагрузки оставшихся VM (недоменные Windows, testing environment) обсуждается индивидуально с их владельцами vForge Framework
  • 17. О Б С У Д И Т Ь V M X - К О Н Ф И Г И С В Л А Д Е Л Ь Ц А М И V M С Д Е Л А Т Ь B A C K U P V M X - К О Н Ф И Г О В В Ы Б Р А Т Ь В Р Е М Я П Р И М Е Н И Т Ь Н А С Т Р О Й К И Конфигурация VM (PowerCLI): 1) VMware Tools Guest Power Off* 2) Reconfig 3) Power On *VMware Tools должны быть установлены, в противном случае невозможно плавное выключение гостевой ОС Конфигурация Template (PowerCLI) : 1) Convert to VM 2) Reconfig 3) Convert to template vForge Framework
  • 18. О Б С У Д И Т Ь V M X - К О Н Ф И Г И С В Л А Д Е Л Ь Ц А М И V M С Д Е Л А Т Ь B A C K U P V M X - К О Н Ф И Г О В В Ы Б Р А Т Ь В Р Е М Я П Р И М Е Н И Т Ь Н А С Т Р О Й К И vForge Framework
  • 19. 100% 0 18 2 формализованных контролей Hardening Guide проверяются через vSphere SDK привилегированных УЗ необходимо для сканирования минут требуется для сканирования 30 ESXi и 1200 VM месяца ушло на настройку всей виртуальной среды П О К Р Ы Т И Е С Т А Н Д А Р Т А Н О В Ы Е А Д М И Н И С Т Р А Т И В Н Ы Е У З В Р Е М Я С К А Н И Р О В А Н И Я В Р Е М Я Н А С Т Р О Й К И Итоги
  • 22. § Авто-заведение тикетов в JIRA § Аудит уязвимостей (через vSphere SDK, никакого SSH) § Проверка установленных патчей § Интеграция с Vulners.com § Виртуальный appliance со всем функционалом: - Сканирование - Backup VMX - Настройка vCenter/ESXi/VM - Отчеты - Графики - Ретроспектива Планы