Мне нужно развернуть программное обеспечение для мониторинга целостности файлов и обнаружения вторжений на экземплярах AWS.
Я действительно хотел использовать OSSEC, однако он не работает в среде, где серверы могут автоматически развертываться и отключаться в зависимости от нагрузки, поскольку для этого требуется создание управляемых сервером ключей. Включение агента в AMI не позволит осуществлять мониторинг сразу после его появления из-за этого.
Есть много вариантов, и некоторые из них перечислены в других сообщениях на этом сайте, однако ни один из тех, что я видел до сих пор, не решает уникальных проблем, присущих AWS или облачным развертываниям в целом.
Может ли кто-нибудь указать мне на некоторые продукты, желательно с открытым исходным кодом, которые мы могли бы использовать для покрытия тех частей PCI DSS, которые требуют этого программного обеспечения?
Кто-нибудь еще достиг этого на AWS?
Я думаю, вы все еще можете использовать OSSEC. Некоторое время назад я нашел блог, который, кажется, указывает на то, что вы можете хотя бы автоматизировать его с помощью марионетки, что означало бы, что вы, вероятно, могли бы создать много лишних ключей, а затем просто назначить их по мере необходимости.
http://myrondavis.org/2010/12/how-to-completely-automate-ossec.html
Существует возможность перейти на PKI вместо симметричного шифрования с помощью ossec-authd. http://dcid.me/blog/2011/01/automatically-creating-and-setting-up-the-agent-keys/
Это упростит добавление автоматически создаваемых агентов (масштабирование) на сервер. Но удаление агентов при масштабировании - сложная часть. https://groups.google.com/forum/#!msg/ossec-list/cpoopmzBf3Q/JZObqvgAFi4J
Одна из идей, предложенных по приведенной выше ссылке, заключается в том, чтобы обезьяна периодически очищала мертвые экземпляры с сервера, запрашивая AWS. Это сработает, потому что как только экземпляр умирает в результате масштабирования, он начинает отказывать в сигналах проверки активности сервера OSSEC. Таким образом, обезьяна может обнаруживать неактивных агентов, затем проверять AWS, чтобы увидеть, завершен ли экземпляр, и удалять его с сервера OSSEC.