必威官网ChefConf CFP跟踪:法规遵循自动化

必威官网ChefConf是最大的社区聚会和教育活betway88官网动,为团队的旅程变得快速,非常高效。以及创新的软件驱动的组织。换句话说,你和你的团队!我们想听到你的消息!

必威官网ChefConf 2019将于5月20日至23日在西雅图举行,华盛顿,我们希望你能出席!的 必威官网ChefConf邀请演讲者(CFP)现在开始。您可以考虑为遵从性自动化跟踪建议一个会话。

合规管理自动化

您环境中的每个系统都受到某种遵从性控制。其中一些控制,pci dss等HIPAA,GDPR,可以由外部监管机构规定。其他控制可能由组织内的团队规定,比如InfoSec团队。甚至可能有一些你不认为是“遵从性”的控制,例如声明的控件或策略 代理应该每天接收更新。定义,建模、将这些控件作为代码进行管理是有效地、持续地审核和验证是否满足标准的唯一方法。

评估当前状态

实现环境自动化的第一步是处理该环境的当前状态。inspec是一种人类可读的语言,用于指定遵从性,安全性和其他策略需求。在test中获取您的策略,并对远程节点运行这些测试,以便轻松地评估这些节点是否配置正确。在整个车队中运行这些测试就像添加 审计食谱到节点的运行列表。che 必威官网-client将测试结果以及大量节点信息(如ohai属性)发送给必威官网手机版必威官网厨师自动化。从那里,您将能够快速检测和评估哪些节点需要干预或修复,以及哪些节点符合规定的策略。

介绍Inspect如何必威官网手机版帮助您满足法规遵从性需求,对于刚刚开始法规遵从性之旅的人来说是非常强大的。例如:

  • 你的车队是如何进行检测的?你发现了哪些不一致之处?
  • 您是否在不断地检查您的法规遵循状况与审计手册?
  • 如何影响您的平均检测时间?
  • 有帮助您进行大型平台升级或迁移吗?
  • 对您的工作有影响吗审计实践吗?

合规资料

必威官网Chef automatiship拥有80多个遵从性配置文件,许多基于 互联网安全中心(CIS)基准测试。社区在分betway88官网享 厨师超市的合规档案必威官网。您可能正在编写自己的法规遵循配置文件,以捕获业务和基础设施的独特需求。作为一个社betway88官网区,管理法规遵循概要的实践仍然在出现。例如, 概要文件继承使您可以轻松地在整个舰队甚至整个社区共享个人资料。betway88官网 配置文件属性允许作者抽象与概要文件关联的数据。元数据在控制,等的影响,标签,外部引用提供了额外的上下文来决定在出现故障时应该做什么。

  • 您的团队在概要文件开发方面是如何协作的?您是否定义了关于存储库布局的任何实践,每个节点配置文件,所需的元数据,等?
  • 您使用的是Chef automation还是超市的哪些配置文件?必威官网如何共享自定义配置文件?
  • 配置文件是否能够在组织的各个部分之间实现更好的协作?例如,信息安全及操作,发展与安全。涉众是否能够更好地共享和贡献需求?

自定义收集资源

提供了大量资源来断言基础设施的状态。当这些资源不够时,或者,您希望与同事共享资源,以便在多个配置文件中使用,你可能会发现创造是必要的 自定义资源。这些资源可能包括标准资源中不可用的组件,也可能是创建更清晰的遵从性概要文件的一种方法。

  • 您开发了哪些自定义资源?
  • 如何编写自定义资源?
  • 编写自定义资源有哪些缺陷和好处?

地方发展

当然用于建模和评估遵从性控制。然而,它也是一个非常强大的框架,可以为基础架构代码的集成测试建模。这样的工具 试验厨房使自旋本地基础结构易于测试和验证执行该代码的结果。 Kitchen-inspec是一个在测试厨房生命周期的验证阶段执行测试的插件。在将任何代码更改提交到生产环境之前,都要进行集成测试。必威官网betway当然,还有其他框架允许类似的集成测试,如 纠缠, 蝙蝠,或 Serverspec

  • 您如何为基础架构代码运行集成测试?
  • 您在集成测试期间是否使用遵从性概要文件?
  • 您的集成测试与法规遵循配置文件相比如何?
  • 您为什么要迁移到进行集成测试?
  • 您的应用程序开发人员在项目中创建新的服务和特性时,是否也被鼓励使用profiles ?

云!除了机器配置

评估和断言车队中的节点状态很重要,但是您可能也有控制如何配置和使用云的策略。这些策略可以控制如何管理安全组等事务,用户身份验证,和资源组。除了对云的担忧,您可能拥有描述应用程序配置方式的策略。您的策略是否涵盖了数据库服务器的配置,应用服务器,还是网络服务器?是一种将这些策略捕获为代码并定期评估云和应用程序状态的方法。

  • 您采取了哪些安全策略来管理云的使用?
  • 您如何可视化云遵从性控制的状态?
  • 您用验证哪些应用程序配置?

开始

自动化遵从性是一个相对较新的实践,可用的工具正在快速发展。您如何开始使用法规遵循自动化?您是从开箱即用的概要文件或自定义概要文件开始的吗?简单的集成测试还是完整的遵从性概要文件?你不需要成为一个专家来帮助别人开始!您开始使用法规遵循自动化的经验值得分享,即使作为警示故事。必威官网ChefConf是一个帮助社区成员开始正确生活的好地方。betway88官网

  • 当你刚开始的时候,你希望知道什么?
  • 您如何帮助您的组织中的人们开始使用法规遵循自动化?
  • 哪些用例非常适合开始遵从性自动化?

DevSecOps

DevOps一直是一个文化和职业运动,不是工具。当然,有工具,像git和Chef一样,必威官网这有助于推进运动的实践。工具的选择加强和扩大了我们的文化。遵从性自动化允许我们欢迎更多的人加入DevOps社区。betway88官网自动化提高了速度和效率,同时降低了我们环境中的风险。有时人们带着怀疑的态度来处理这种自动化。通过采用DevOps的协作性质和安全实践的自动化,可以从根本上改变信息安全的角色。

  • 在欢迎安全专家加入DevOps实践中,您遇到过哪些挑战或成功?
  • 在您的组织中,安全的角色是如何变化的?
  • 您处理零日漏洞的实践有什么变化?
  • 你是否有过一个大型的公共事件,导致你重新评估你的安全方法?

其他的歌曲

Chef必威官网Conf CFP开放给以下轨道:

分享你的故事

你的故事和经历值得与社区分享。betway88官网通过分享,帮助他人学习和深化自己的知识。Chef必威官网Conf CFP现在是开放的。使用这里提出的一些问题来帮助形成法规遵循自动化跟踪的谈话建议。

现在就提交你的演讲计划!截止日期是星期五,1月11日,2019年太平洋时间晚上11点59分。

作者曼迪墙

Mandi是EMEA Chef的技术社区经理。必威官网betway88官网你可以在网上@LNXCHK找到她。