でのコンプライアンススキャン AWS OpsWorks for Chef Automate

まだ行っていない場合は Chef Automate ウェブベースダッシュボードにサインインします。 AWS OpsWorks for Chef Automate サーバーの作成時にスターターキットをダウンロードした際に受信した認証情報を使用します。

Chef Automate ダッシュボードで、[Asset Store] タブを選択します。

定義済みのプロファイルを表示するには、[Available] タブを選択します。

プロファイルのリストを参照します。オペレーティングシステムおよび少なくとも 1 つの管理対象ノードの設定に一致するプロファイルを選択します。プロファイルの対象となる違反の説明および基盤となるルールコードを含むプロファイルの詳細を表示するには、プロファイル項目の右にある [>] を選択します。複数のプロファイルを選択できます。スターターキットのサンプルを設定する場合は、[DevSec SSH Baseline] を選択します。

選択されたプロファイルを Chef Automate サーバーにインストールするには、[Get] を選択します。

プロファイルをインストールすると、それらは Chef Automate ダッシュボードの [Profiles] タブに表示されます。

スターターキットの Policyfile.rb を表示して、Audit クックブックの属性で ['profiles'] の ssh-baseline プロファイルが指定されていることを確認します。

# Define audit cookbook attributes
default["opsworks-demo"]["audit"]["reporter"] = "chef-server-automate"
default["opsworks-demo"]["audit"]["profiles"] = [
  {
    "name": "DevSec SSH Baseline",
    "compliance": "admin/ssh-baseline"
  }
]

Policyfile.rb に定義されているクックブックをダウンロードしてインストールします。

chef install

すべてのクックブックはクックブックの metadata.rb ファイルでバージョニングされています。クックブックを変更するたびに metadata.rb にあるクックブックのバージョンを上げる必要があります。

Policyfile.rb に定義されているポリシー opsworks-demo をサーバーにプッシュします。

chef push opsworks-demo

ポリシーのインストールを確認します。以下のコマンドを実行してください。

chef show-policy

結果は以下のようになります。

opsworks-demo-webserver 
======================= 
* opsworks-demo:  ec0fe46314

まだ行っていない場合は、サーバーにノードを追加して管理できるようにします。最初のノードを AWS OpsWorks for Chef Automate サーバーに接続するには、このスターターキットに含まれているuserdata.shスクリプトを使用します。AssociateNode API を使用して、ノードを AWS OpsWorks サーバーに接続します。

「でノードを自動的に追加する AWS OpsWorks for Chef Automate」のステップに従ってノードの関連付けを自動化できます。または「ノードを個別に追加します」のステップに従ってノードを １ 度に 1 つずつ追加できます。

ノードの実行リストを更新すると、chef-client エージェントが次回の実行時に、指定したレシピを実行します。この処理はデフォルトで 1,800 秒 (30 分) ごとに行われます。その実行後、Chef Automate ダッシュボードの [Compliance] タブからコンプライアンス結果を表示し、アクションを実行できます。

テキストエディタで、ssh-hardening の実行リストに Policyfile.rb クックブックを追加します。実行リスト Policyfile.rb は以下のようになります。

run_list  'chef-client', 'opsworks-webserver', 'audit', 'ssh-hardening'

Policyfile.rb を更新し、 AWS OpsWorks for Chef Automate サーバーにプッシュします。

chef update Policyfile.rb
   chef push opsworks-demo

opsworks-demo ポリシーに関連付けられているノードは実行リストを自動的に更新し、次の chef-client の実行時に ssh-hardening クックブックを適用します。

chef-client クックブックを使用しているため、ノードが定期的にチェックインします (デフォルトでは 30 分ごと)。次のチェックインで ssh-hardening クックブックが実行され、DevSec SSH Baseline プロファイルのルールを満たすようにノードセキュリティの改善をサポートします。

ssh-hardening クックブックの初回実行が完了したら 30 分待機し再びコンプライアンススキャンを実行します。Chef Automate ダッシュボードで結果を表示します。DevSec SSH Baseline スキャンの初回実行時に発生した非準拠の結果が解決されます。

まだ行っていない場合は Chef Automate ウェブベースダッシュボードにサインインします。 AWS OpsWorks for Chef Automate サーバーの作成時に Starter Kit をダウンロードしたときに受け取った認証情報を使用します。

Chef Automate ダッシュボードで、[Compliance] タブを選択します。

左ナビゲーションバーで、[Profile Store] を選択してから [Available] タブを選択して、事前定義されたプロファイルを表示します。

プロファイルのリストを参照します。オペレーティングシステムおよび少なくとも 1 つの管理対象ノードの設定に一致するプロファイルを選択します。プロファイルの対象となる違反の説明および基盤となるルールコードを含むプロファイルの詳細を表示するには、プロファイル項目の右にある [>] を選択します。複数のプロファイルを選択できます。

選択されたプロファイルを Chef Automate サーバーにインストールするには、[Get] を選択します。

ダウンロードが完了したら、次の手順に進んでください。

このステップはオプションですが、ノードの実行リストにレシピを追加する場合のステップ 6 で時間の節約になります。 AWS OpsWorks for Chef Automate サーバーの作成時にダウンロードしたスターターキットに含まれている roles/opsworks-example-role.rb ファイルを編集します。次の行を追加します。コンプライアンススキャンを実行してから非準拠ノードを解決するために ssh-hardening クックブックとレシピを追加することはオプションなので、最後の行はコメントアウトされています。

run_list(
     "recipe[chef-client]",
     "recipe[apache2]",
     "recipe[opsworks-audit]"
     # "recipe[ssh-hardening]"
       )

テキストエディタを使用して Berksfile で希望のクックブックを指定します。サンプル Berksfile はスターターキットに含まれています。この例では、Chef Infra クライアント ([chef-client) クックブック、apache2クックブック、opsworks-audit クックブックをインストールします。Berksfile は以下のようになります。

source 'https://supermarket.chef.io
     cookbook 'chef-client'
     cookbook 'apache2', '~> 5.0.1'
     cookbook 'opsworks-audit', path: 'cookbooks/opsworks-audit', '~> 1.0.0'

すべてのクックブックはクックブックの metadata.rb ファイルでバージョニングされています。クックブックを変更するたびに metadata.rb にあるクックブックのバージョンを上げる必要があります。

次のコマンドを実行してローカルまたは使用中のコンピュータにある cookbooks フォルダにクックブックをダウンロードしインストールします。

berks vendor cookbooks

次のコマンドを実行して、 AWS OpsWorks for Chef Automate サーバーにベンダーのクックブックをアップロードします。

knife upload .

opsworks-audit クックブックがインストールされていることを確認するには、次のコマンドを実行してサーバーで現在使用可能なクックブックのリストを表示します。

knife cookbook list

まだ行っていない場合は、サーバーにノードを追加して管理できるようにします。「でノードを自動的に追加する AWS OpsWorks for Chef Automate」のステップに従ってノードの関連付けを自動化できます。または「ノードを個別に追加します」のステップに従ってノードを １ 度に 1 つずつ追加できます。ノードの実行リストを編集して、ステップ 1 の opsworks-example-role で指定したロールを追加します。この例では RUN_LIST の属性を userdata スクリプトで編集します。これはノードの関連性を自動化するために使用します。

RUN_LIST="role[opsworks-example-role]"

ステップ 1 をスキップしロールを設定しなかった場合は、実行リストに各レシピの名前を追加します。変更を保存して ステップ 3: 自動関連付けスクリプトを使用してインスタンスを作成する のステップに従がって、ユーザーデータスクリプトをAmazon EC2 インスタンスに適用します。

RUN_LIST="recipe[chef-client],recipe[apache2],recipe[opworks-audit]"

ノードの実行リストを更新すると、chef-client エージェントが次回の実行時に、指定したレシピを実行します。この処理はデフォルトで 1,800 秒 (30 分) ごとに行われます。実行後、Chef Automate ダッシュボードでコンプライアンス結果を見ることができます。

テキストエディタで、ssh-hardening クックブックを Berksfile に追加します。Berksfile は以下のようになります。

source 'https://supermarket.chef.io'
     cookbook 'chef-client'
     cookbook 'apache2', '~> 5.0.1'
     cookbook 'opsworks-audit', path: 'cookbooks/opsworks-audit', '~> 1.0.0' # optional
     cookbook 'ssh-hardening'

次のコマンドを実行して ssh-hardening クックブックをローカルのクックブックフォルダにダウンロードし、 AWS OpsWorks for Chef Automate サーバーにアップロードします。

berks vendor cookbooks
knife upload .

ノードの実行リストに ssh-hardening レシピを追加します。この操作はステップ 1 とステップ 6 (opsworks-audit クックブックをインストールしてセットアップする) で説明されています。

opsworks-example-role.rb ファイルを更新するには、次のコマンドを実行してサーバーに変更をアップロードします。

knife upload .

実行リストを直接更新するには、次のコマンドを実行して変更をアップロードします。通常、ノード名はインスタンス ID になります。

knife node run_list add <node name> 'recipe[ssh-hardening]'

chef-client クックブックを使用しているため、ノードが定期的にチェックインします (デフォルトでは 30 分ごと)。次のチェックインで ssh-hardening クックブックが実行され、DevSec SSH Baseline プロファイルのルールを満たすようにノードセキュリティの改善をサポートします。

ssh-hardening クックブックの初回実行が完了したら 30 分待機し再びコンプライアンススキャンを実行します。Chef Automate ダッシュボードで結果を表示します。DevSec SSH Baseline スキャンの初回実行時に発生した非準拠の結果が解決されます。