Текущий способ работы с файлом конфигурации SCAP громоздкий. Давайте рассмотрим процесс, как я его прочитал в документации:
- Возьмите начальный файл конфигурации (CIS, DISA STIG, OpenSCAP reference)
- Внесите изменения вручную, чтобы отразить рекомендацию в нашей организации.
Проблема в том, что это требует большого объема ручной (подверженной ошибкам) работы. Я провел тест с файлом CIS SCAP и просканировал нашу эталонную ОС, и там было 325 различий. Умножьте это на Windows, CentOS/Red Hat и Ubuntu и обновления версий с новыми параметрами конфигурации с течением времени. И это не считая всех локальных изменений в конфигурации, которые происходят. Нам нужна значительная часть FTE только для того, чтобы справиться с этим. У нас нет человеко-времени, чтобы это сделать.
Я ищу инструмент, который возьмет эталонную (золотую) систему и создаст файл конфигурации. Когда мы меняем золотой образ, мы просто перестраиваем конфигурацию из нового образа.
Существует ли такой инструмент?
Спасибо