Аудит, как мера обеспечения безопасности, основан на подробном знании конфигураций сервера и возможности сравнения текущих настроек с эталонными, принятыми как безопасные. Эталонные настройки обычно согласовываются с отделом IT безопасности, если Вам не повезло и у Вас такой отдел есть.
Аудит настроек может быть полезен и администраторам виртуальной платформы в случае траблшутинга или поиска отличий рабочей конфигурации от нерабочей, услужливо предоставленной коллегой.
Как это сделать встроенными средствами ниже и в картинках.
Для аудита настроек ESXi отлично подходит Host Profiles:
1. Создаем Profile
в качестве источника содержимого эталонного Profile выбираем конфигурацию ESXi настроенного согласно всем требований безопасности (если конечно у Вас такой дивный сервер есть или Вы думаете что есть).
называем профайл как-нибудь важно:
получаем примерно так:
далее: применяем полученный профайл ко всем хостам кластера, естественно, в том случае если все хосты в в кластере должны иметь одинаковые настройки. Если нет, то для каждого хоста необходимо создать свой профайл. Вариант с исключением отличающих параметров из проверки не соответствует изначально поставленной задаче, но технически возможен:
Исключить из проверки можно параметры которые не имеют отношения к безопасности, но в этом нет особого смысла.
Теперь осталось автоматизировать процесс и настроить информирование соответствующих органов о результатах проверки:
для пущей надежности настоим еще и alarm о несоответствии настроек хост с эталонными c отправкой события на централизованный лог-сервер:
Осталась открытой возможность изменения администратором параметров в эталонном профайле, а потом и на хостах ESXi. Для исключения проведения таких действий незаметно и безнаказанно необходимо следить за атрибутами профайла "Create Time", "Last Modified Time".
Естественно, при необходимости внести изменения в настройки хостов, возникает необходимость изменять эталонный профайл и уведомлять контролирующий отдел.
Получается достаточно неудобно и уныло, но чего только не сделаешь для выполнения требований стандартов и регламентов.
Комментариев нет:
Отправить комментарий