AWSでのPCI-DSSのオプション-ファイル整合性の監視と侵入検知
AWSインスタンスにいくつかのファイル整合性監視および侵入検出ソフトウェアをデプロイする必要があります。
私は本当にOSSECを使いたかったのですが、サーバー管理キーを生成する必要があるため、サーバーが負荷に基づいて自動展開およびシャットダウンできる環境ではうまく機能しません。そのため、エージェントをAMIに含めると、エージェントが起動するとすぐに監視できなくなります。
そこには多くのオプションがあり、いくつかはこのサイトの他の投稿にリストされていますが、これまで私が見たものは、AWSまたはクラウドベースのデプロイメントに固有の固有の問題を扱っていません。
このソフトウェアを必要とするPCI DSS)の部分をカバーするために使用する可能性のあるいくつかの製品、できればオープンソースを誰かに教えてもらえますか?
他の誰かがAWSでこれを達成しましたか?
まだOSSECは使えると思います。しばらく前に、少なくともpuppetを使用して自動化できることを示しているように見えるブログを見つけました。つまり、多くの余分なキーを作成し、必要に応じてそれらを割り当てることができます。
http://myrondavis.org/2010/12/how-to-completely-automate-ossec.html
Ossec-authdによる対称暗号化の代わりにPKIに移行するオプションがあります。 http://dcid.me/blog/2011/01/automatically-creating-and-setting-up-the-agent-keys/
これにより、サーバーへの自動生成エージェントの追加(スケールアウト)が非常に簡単になります。しかし、スケールイン時にエージェントを削除するのは難しい部分です。 https://groups.google.com/forum/#!msg/ossec-list/cpoopmzBf3Q/JZObqvgAFi4J
上記のリンクで提案されているアイデアの1つは、AWSにクエリを実行して、サーバーからデッドインスタンスを定期的にクリーンアップするサルを用意することです。スケールインの結果としてインスタンスが停止すると、OSSECサーバーのキープアライブ信号が失敗し始めるため、これは機能します。そのため、サルは非アクティブなエージェントを検出し、AWSをチェックしてインスタンスが終了しているかどうかを確認し、OSSECサーバーから削除できます。