目前处理 SCAP 配置文件的方式很笨拙。让我们看看我在文档中读到的流程:
- 获取起始配置文件(CIS、DISA STIG、OpenSCAP 参考)
- 手动进行更改以反映我们组织的参考。
问题在于,这需要大量的手动(容易出错)工作。我用 CIS SCAP 文件进行了测试,扫描了我们的参考操作系统,发现有 325 个差异。随着时间的推移,将这个数字乘以 Windows、CentOS/Red Hat 和 Ubuntu,并更新版本以提供新的配置选项。这还不包括配置中发生的任何本地更改。我们需要相当一部分 FTE 来管理这一点。我们没有足够的人力来实现这一点。
我正在寻找一种可以采用参考(黄金)系统并构建配置文件的工具。当我们更改黄金映像时,我们只需从新映像重建配置即可。
有这样的工具吗?
谢谢