audit ESXi config

Одним из требований стандарта PCI DSS является постоянный аудит настроек хоста ESXi.
Аудит, как мера обеспечения безопасности, основан на подробном знании конфигураций сервера и возможности сравнения текущих настроек с эталонными, принятыми как безопасные. Эталонные настройки обычно согласовываются с отделом IT безопасности, если Вам не повезло и у Вас такой отдел есть.
Аудит настроек может быть полезен и администраторам виртуальной платформы в случае траблшутинга или поиска отличий рабочей конфигурации от нерабочей, услужливо предоставленной коллегой.

Как это сделать встроенными средствами ниже и в картинках.





Для аудита настроек ESXi отлично подходит Host Profiles:

1. Создаем Profile
в качестве источника содержимого эталонного  Profile выбираем конфигурацию ESXi настроенного согласно всем требований безопасности (если конечно у Вас такой дивный сервер есть или Вы думаете что есть).
называем профайл как-нибудь важно:
получаем примерно так:

далее: применяем полученный профайл ко всем хостам кластера, естественно, в том случае если  все хосты в в кластере должны иметь одинаковые настройки. Если нет, то для каждого хоста необходимо создать свой профайл. Вариант с исключением отличающих параметров из проверки не соответствует изначально поставленной задаче, но технически возможен: 
Исключить из проверки можно параметры которые не имеют отношения к безопасности, но в этом нет особого смысла.
Теперь осталось автоматизировать процесс и настроить информирование соответствующих органов о результатах проверки:



для пущей надежности настоим еще и alarm о несоответствии настроек хост с эталонными c отправкой события на централизованный лог-сервер:



Осталась открытой возможность изменения администратором параметров в эталонном профайле, а потом и на хостах ESXi. Для исключения проведения таких действий незаметно и безнаказанно необходимо следить за атрибутами профайла  "Create Time", "Last Modified Time".

Естественно, при необходимости внести изменения в настройки хостов, возникает необходимость изменять эталонный профайл и уведомлять контролирующий отдел. 

Получается достаточно неудобно и уныло, но чего только не сделаешь для выполнения требований стандартов и регламентов. 





Комментариев нет:

Отправить комментарий