Compliance mit Chef InSpec automatisieren

Automatischer Abgleich

IT-Compliance ist in kleinen wie großen Unternehmen unverzichtbar und sollte im besten Fall überwacht werden. Das Open-Source-Framework Chef InSpec hilft, auf Servern Regeln komplett automatisiert anzuwenden. Dazu gleicht es den Zustand des Systems mit einer Liste von Policies ab und schlägt Alarm, falls ein System dagegen verstößt. Wir stellen die Inbetriebnahme und den Einsatz der Software in der Praxis vor.
Ein Internetauftritt ist für Firmen heute eine Selbstverständlichkeit, doch gilt es beim Betrieb der entsprechenden Server einiges zu beachten. Im September ... (mehr)

Chef InSpec stammt von einer Firma, die sich auch sonst in den Themenbereichen Automatisierung und Compliance sehr heimisch fühlt: Chef, der Anbieter hinter dem gleichnamigen Automatisierer. Die Software fußt auf einer eigenen, deklarativen Skriptsprache (DSL), einer Art Pseudo-Programmiersprache. In ihr beschreibt der Administrator nach einer festen Syntax die Regeln, die InSpec im weiteren Verlauf überprüft.

Dabei bietet InSpec dem Anwender einige Erleichterungen. Zum Beispiel stellt es sogenannte Ressourcen (Resources) zur Verfügung. Dahinter verbergen sich fertige Funktionen, um bestimmte Konfigurationsdateien beziehungsweise deren Inhalt zu überprüfen. Diese ersparen viel Handarbeit. Das liegt in der Natur von Konfigurationsdateien: Zwar gibt es bestimmte Basisformate, etwa "ini", in denen Konfigurationsdateien verfasst sein können. Die Schlüsselwörter, die Entwickler einer Software für ihre Konfigurationen nutzen, müsste der Administrator jedoch für jeden Dienst neu schreiben. Deshalb stellen die InSpec-Entwickler dem Anwender für eine Vielzahl gängiger Unix-Dienste entsprechende Parser ab Werk zur Verfügung.

Wer schon mal mit Ansible gearbeitet hat, dem werden bei InSpec gewisse Ähnlichkeiten auffallen. Denn wie Ansible erwartet das Programm Inputdateien im Yaml-Format. Und ähnlich wie Playbooks in Ansible bieten Profile die Möglichkeit, Regeln für bestimmte Arten von Servern zu definieren und im Block anzuwenden. Der Hersteller bietet das Programm vorpaketiert für diverse Systeme auf seiner Webseite [1] an samt entsprechender Installationsanleitung. Zugegeben: Chef hat es hier recht leicht, denn die Software ist in der Skriptsprache Ruby verfasst. Auf dem Zielsystem muss also lediglich eine funktionale Ruby-Umgebung vorhanden sein, und das ist leicht zu bewerkstelligen. Ob die Installation funktioniert hat, lässt sich durch den Aufruf von »inspec« auf der Kommandozeile überprüfen.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020