Làm thế nào chúng ta nên tự động xây dựng lại cơ sở hạ tầng bất biến khi các gói mới có sẵn?

Chúng tôi sẽ sử dụng Terraform để tự động hóa việc triển khai cơ sở hạ tầng và Packer của chúng tôi để tạo ra các hình ảnh máy được triển khai bởi Terraform. Bằng cách tuân theo các nguyên tắc thiết kế cơ sở hạ tầng bất biến, chúng tôi sẽ thực hiện vá bằng cách tạo một hình ảnh mới với bản vá được áp dụng và sau đó triển khai lại cơ sở hạ tầng của chúng tôi.

Với thiết lập này, có bất kỳ công cụ bổ sung nào chúng ta có thể sử dụng để tự động phát hiện khi một gói hoặc chính hệ điều hành trong hình ảnh cơ sở của chúng ta cần cập nhật và kích hoạt đường ống xây dựng không?

Chef Automate có vẻ gần với những gì tôi đang tìm kiếm, tuy nhiên, nó dường như quét các nút đang chạy để tuân thủ hơn là phân tích bản kê khai hình ảnh.

Cảm ơn!

Một phần của việc áp dụng Mô hình cơ sở hạ tầng không thay đổi là phân tách hệ thống của bạn thành các phần nhỏ có thể quản lý có thể di chuyển qua Đường ống CI / CD rất nhanh, điều này có nghĩa là các bản vá hệ điều hành có thể được thực hiện nhanh chóng và theo cách được kiểm soát. Tôi thường thấy các khách hàng kết thúc với một ngôi nhà nửa chừng, nơi cơ sở hạ tầng chủ yếu là bất biến.

Tuy nhiên, có một vài cách tiếp cận mà tôi đã sử dụng trong các triển khai kiến ​​trúc đám mây quy mô lớn, điển hình là tôi triển khai nhiều hơn một phần trong chiến lược Defense in Depth :

• Thông tin bảo mật và quản lý sự kiện (SIEM) : Các sản phẩm này, ví dụ, Nền tảng thông minh bảo mật LogRardi và các sản phẩm chung hơn như ElasticStack lấy nguồn cấp từ hệ điều hành, bao gồm đầu ra từ việc kiểm tra cập nhật thường xuyên. Mẹo ở đây là lấy thông tin về những gì cần vá một cách nhanh chóng và tự động để thông báo các quyết định về thời điểm đưa chúng qua đường ống của bạn.

• Các hệ thống quản lý lỗ hổng được điều chỉnh phù hợp hơn SIEM ở chỗ chúng chỉ tập trung vào các lỗ hổng trên toàn hệ thống nên có thể gặp sự cố với các thư viện được cài đặt như một phần của phần mềm được triển khai cho hệ thống nhưng không được Hệ điều hành quản lý. Điều này có thể làm nổi bật các lỗ hổng mà không có bản vá (nhưng ... hy vọng).

• Các công cụ kiểm tra phụ thuộc là một phần của đường ống của bạn và có thể được cấu hình để không xây dựng nếu đăng ký thêm lỗ hổng, điều này cũng hoạt động nếu một lỗ hổng mới được thêm vào công cụ kể từ lần đăng ký cuối cùng.

Bạn có thể thực hiện quét lỗ hổng với AWS Inspector và tìm kiếm các lỗ hổng CVE. Thanh tra có số liệu CloudWatch để gây ra hành động khi có phát hiện. Sẽ rất khó để xác định các gói WHICH cần được cập nhật, nhưng bạn chỉ có thể cập nhật mọi thứ. Bạn không phải sử dụng Inspector, bất kỳ công cụ quét lỗ hổng nào bạn có thể sử dụng sẽ hoạt động. Quét dễ bị tổn thương là một thực hành tốt nhất nói chung.

Một ý tưởng khác là thiết lập một công việc cron thực hiện cập nhật apt-get && apt-get nâng cấpdoddry-run> Stuff-that-be-be-update.txt và phân tích tệp văn bản cho danh sách các gói sẽ được cập nhật và đưa nó trở lại quá trình xây dựng của bạn.

Cách tiếp cận này có vẻ để giải quyết mục đích của bạn bằng cách sử dụng kiểm toán Chef nhưng nó có vấn đề riêng. https://joshuakugler.com/USE-chef-zero-audit-mode-and-packer.html

Giải pháp tùy chỉnh - Nếu bạn muốn sử dụng Chính sách tuân thủ (ví dụ: CIS, HIPPA), hãy tạo một công việc sẽ chạy trình phân tích kiểm toán khi chạy hình ảnh gói và thông báo tác vụ cập nhật khi không có khiếu nại. Có trình phân tích cú pháp OVAL và định nghĩa OVAL miễn phí cho các chính sách trên. Đối với chính sách aduit tùy chỉnh, bạn có thể viết trình phân tích cú pháp của riêng bạn và kiểm tra hình ảnh.