A maneira atual de lidar com um arquivo de configuração SCAP é complicada. Vejamos o processo conforme eu o li na documentação:
- Pegue um arquivo de configuração inicial (CIS, DISA STIG, referência OpenSCAP)
- Faça alterações manualmente para refletir a referência em nossa organização.
O problema é que representa uma grande quantidade de trabalho manual (sujeito a erros). Fiz um teste com um arquivo CIS SCAP e verifiquei nosso sistema operacional de referência e havia 325 diferenças. Multiplique isso por Windows, CentOS/Red Hat e Ubuntu e atualizações de versão com novas opções de configuração com o passar do tempo. E isso sem contar as mudanças locais na configuração que ocorrem. Precisamos de uma boa fração de FTE apenas para administrar isso. Não temos tempo pessoal para fazer isso acontecer.
O que procuro é uma ferramenta que pegue um sistema de referência (ouro) e construa o arquivo de configuração. Quando alteramos a imagem dourada, apenas reconstruímos a configuração a partir da nova imagem.
Existe tal ferramenta?
Obrigado