DevTrends Logo

ComplianceAsCode: Как автоматизировать безопасность серверов и забыть о рутине

30 May, 2026
2,725 🔱 798 👥 121

Представьте типичную ситуацию: вы системный администратор или DevOps-инженер, и вам нужно не просто настроить сервер, но и убедиться, что он соответствует десяткам, а то и сотням требований безопасности. Это могут быть внутренние корпоративные стандарты, или же внешние, вроде PCI-DSS, NIST, STIG. Ручная проверка каждого пункта, применение патчей, настройка файрволов, прав доступа — звучит как бесконечный цикл рутины, не так ли? А что, если таких серверов не один и не два, а сотни?

Именно эту боль призван решить проект ComplianceAsCode (ранее известный как SCAP Security Guide). Это не просто набор скриптов, а целая экосистема для создания, поддержания и применения политик безопасности в виде кода. По сути, это ваш личный "шеф-повар" по безопасности, который знает все рецепты и готовит их для разных "кухонь" — от Red Hat до Ubuntu, от физических машин до контейнеров.

Что это за проект и кому он нужен?

ComplianceAsCode — это открытый проект, который генерирует контент для автоматизации безопасности различных операционных систем (Red Hat Enterprise Linux, Fedora, Ubuntu, Debian, SUSE) и даже приложений, таких как Firefox. Его главная идея: безопасность как код (Security as Code). Вместо того чтобы вручную прописывать правила и проверять их выполнение, вы описываете желаемое состояние системы, а проект сам генерирует необходимые инструменты для аудита и исправления.

Кому это будет полезно?

  • Системным администраторам и инженерам DevOps: для автоматизации настройки и поддержания безопасности инфраструктуры.
  • Инженерам по безопасности и аудиторам: для быстрой оценки соответствия систем различным стандартам.
  • Разработчикам: если вы создаете образы контейнеров или VM, ComplianceAsCode поможет встроить проверки безопасности прямо в процесс сборки.
  • Всем, кто устал от ручного труда и хочет сделать безопасность предсказуемой и повторяемой.

Ключевые возможности: Безопасность на любой вкус

ComplianceAsCode не просто предлагает один способ решения проблемы. Он дает вам выбор, адаптируясь под вашу инфраструктуру и предпочтения.

Реклама

1. Единый источник истины, множество форматов

В основе проекта лежат простые и понятные YAML-файлы, описывающие правила безопасности. Это "один раз написал — везде применил" подход. Из этих YAML-файлов генерируется контент в различных форматах:

  • SCAP (Security Content Automation Protocol): Стандартный формат для автоматизированного аудита и управления безопасностью. Включает XCCDF, OVAL и SCAP source data streams. Идеально для глубокого анализа и формирования отчетов. NIST logo
  • Ansible Playbooks: Если вы уже используете Ansible для управления конфигурацией, то сможете применять сгенерированные плейбуки для проверки и приведения систем к соответствию. Это удобно для массового развертывания и поддержания конфигураций. Ansible logo
  • Bash Fix Files: Для тех случаев, когда нужен простой и быстрый скрипт для исправления конкретных проблем. Хотя авторы рекомендуют более продвинутые форматы, Bash-скрипты остаются актуальными для некоторых сценариев. Bash logo

2. Гибкость в применении: от bare-metal до контейнеров

Проект позволяет сканировать и приводить к соответствию самые разные цели:

  • Физические серверы (bare-metal)
  • Виртуальные машины и их образы (qcow2 и другие)
  • Контейнеры (Docker) и образы контейнеров

Интересно, что система учитывает особенности платформ. Например, проверки отдельных разделов диска имеют смысл для физических машин, но не рекомендуются для контейнеров, и ComplianceAsCode это понимает.

3. Инструменты на выбор: GUI или CLI

Для работы с контентом ComplianceAsCode предлагает несколько удобных инструментов:

  • oscap: Низкоуровневый инструмент командной строки из проекта OpenSCAP. Позволяет сканировать локальную машину и генерировать подробные отчеты.

oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_ospp --results-arf arf.xml --report report.html --oval-results /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml ``` Evaluation report sample

  • SCAP Workbench: Графический интерфейс для оценки и настройки SCAP. Идеально подходит для сканирования одной машины, локальной или удаленной (через SSH).
  • oscap-ssh: Позволяет сканировать удаленные машины по SSH, используя тот же интерфейс, что и oscap. Удобно, когда контент установлен локально, а сканировать нужно удаленный хост.

oscap-ssh root@192.168.1.123 22 xccdf eval --profile xccdf_org.ssgproject.content_profile_standard --results-arf arf.xml --report report.html /usr/share/xml/scap/ssg/content/ssg-fedora-ds.xml ```

  • Ansible Playbooks и Bash-скрипты: Как уже упоминалось, сгенерированные плейбуки и скрипты можно использовать напрямую для применения исправлений.

ansible-playbook -i "localhost," -c local /usr/share/scap-security-guide/ansible/rhel9-playbook-ospp.yml ```

Как это работает под капотом: От YAML к готовому решению

Сердце ComplianceAsCode — это мощная система сборки, которая берет на вход легко редактируемые YAML-файлы правил и комбинирует их с OVAL-проверками, фрагментами задач Ansible, Bash-исправлениями и другими файлами.

Вот как выглядит пример YAML-правила:

title: 'Configure The Number of Allowed Simultaneous Requests'

description: |-
    The <tt>MaxKeepAliveRequests</tt> directive should be set and configured to
    <sub idref="var_max_keepalive_requests" /> or greater by setting the following
    in <tt>/etc/httpd/conf/httpd.conf</tt>:
    <pre>MaxKeepAliveRequests {{{ xccdf_value("var_max_keepalive_requests") }}}</pre>

rationale: |-
    Resource exhaustion can occur when an unlimited number of concurrent requests
    are allowed on a web site, facilitating a denial of service attack. Mitigating
    this kind of attack will include limiting the number of concurrent HTTP/HTTPS
    requests per IP address and may include, where feasible, limiting parameter
    values associated with keepalive, (i.e., a parameter used to limit the amount of
    time a connection may be inactive).

severity: medium

identifiers:
    cce: "80551-5"

Build system schema

Как видите, в одном файле описывается название правила, его описание, обоснование, уровень серьезности и идентификаторы соответствия (CCE, NIST ID, STIG). Система сборки затем использует эти данные, чтобы сгенерировать соответствующие проверки и исправления для каждого целевого формата. Это позволяет избежать дублирования информации и значительно упрощает поддержку.

Практическое применение: Где ComplianceAsCode покажет себя во всей красе?

  1. Автоматизированные аудиты безопасности: Больше не нужно вручную проверять каждый сервер на соответствие стандартам. Запустите oscap или SCAP Workbench, и вы получите подробный отчет о состоянии системы. Это бесценно для подготовки к внешним аудитам.
  2. Быстрое приведение систем к стандартам: Обнаружили несоответствие? Сгенерируйте Ansible плейбук или Bash-скрипт и примените его. Ваша система будет приведена в порядок за считанные минуты, а не часы.
  3. Интеграция в CI/CD: Включите проверки ComplianceAsCode в ваш конвейер CI/CD. Это позволит автоматически сканировать образы VM или контейнеров на этапе сборки, предотвращая развертывание небезопасных конфигураций.
  4. Управление разнородной инфраструктурой: Если у вас зоопарк из RHEL, Ubuntu и Debian, ComplianceAsCode предоставляет единый подход к управлению их безопасностью, избавляя от необходимости писать отдельные скрипты для каждого дистрибутива.
  5. Обучение и документация: Готовые профили и правила служат отличным источником знаний о том, как правильно настраивать безопасность для различных систем.

Выводы: Стоит ли попробовать и кому особенно подойдет?

ComplianceAsCode — это мощный инструмент для тех, кто серьезно относится к безопасности и хочет автоматизировать рутинные задачи. Если вы:

  • Управляете большим парком серверов.
  • Должны соответствовать строгим стандартам безопасности (PCI-DSS, NIST, STIG).
  • Используете методологии DevOps и хотите интегрировать безопасность в свои процессы.
  • Ищете способ унифицировать управление безопасностью для разнородных систем.

...то этот проект определенно стоит вашего внимания. Он позволяет перейти от реактивного реагирования на инциденты к проактивному управлению безопасностью, экономя время и ресурсы.

Начните с изучения документации и онлайн-воркшопов (ссылка на docs/workshop/README.adoc в README ведет на Online Workshops, но в документации есть более общая ссылка на developer guide, которая может быть полезнее, но я оставлю ссылку на воркшопы, как в README), чтобы быстро освоиться. Сообщество проекта активно развивается, и вы всегда сможете найти поддержку или даже внести свой вклад.

Попробуйте ComplianceAsCode, и вы увидите, как безопасность может стать не головной болью, а хорошо отлаженным, автоматизированным процессом!

#ansible #security #application-security #security-tools #cybersecurity #security-hardening #security-automation #compliance #hardening #pci-dss #information-security #cce #cpe #ospp #oval #scap #security-profile #stig #usgcb #xccdf
Проект на GitHub