Rudder is an easy to use, web-driven, role-based solution for IT Infrastructure Automation and Compliance. With a focus on continuously checking configurations and centralising real-time status data, Rudder can show a high-level summary (“ISO 27001 rules are at 100%!”) and break down noncompliance issues to a deep technical level (“Host prod-web-03: SSH server configuration allows root logins”).
A few things that make Rudder stand out:
- A simple framework allows you to extend the built-in rules to implement specific low-level configuration patterns, however complex they may be, using simple building blocks (“ensure package installed in version X,” “ensure file content,” “ensure line in file,” etc.). A graphical builder lowers the technical level required to use this.
- Each policy can be independently set to be automatically checked or enforced on a policy or host level. In Enforce mode, each remediation action is recorded, showing the value of these invisible fixes.
- Rudder works on almost every kind of device, so you’ll be managing physical and virtual servers in the data center, cloud instances, and embedded IoT devices in the same way.
- Rudder is designed for critical environments where a security breach can mean more than a blip in the sales stats. Built-in features include change requests, audit logs, and strong authentication.
- Rudder relies on an agent that needs to be installed on all hosts to audit. The agent is very lightweight (10 to 20 MB of RAM at peak) and blazingly fast (it’s written in C and takes less than 10 seconds to verify 100 rules). Installation is self-contained, via a single package, and can auto-update to limit agent management burden.
- Rudder is a true and professional open source solution—the team behind Rudder doesn’t believe in the dual-speed licensing approach that makes you reinstall everything and promotes open source as little more than a “demo version.”
Rudder is an established project with several 10000s of node managed, in companies from small to biggest-in-their-field. Typical deployments manage 100s to 1000s of nodes. The biggest known deployment in 2016 is about 7000 nodes.
1. Rudder: n.m, de l’anglais « gouvernail ».
Permet de redresser le cap quand
l’on dérive de sa destination.
Continuous Auditing – Continuous Configuration
2. 2
Rudder devops♡
→ Culture → Automate → Measure → Share →
devops
Contraction de « développeur » et « operations » (= « administrateur système »)
8. 8
L’informatique devient continue
La gestion de la production informatique
doit devenir continue
Croissance
continue
Menace
continue
Connexion
continue
Continuous Auditing – Continuous Configuration
9. 9
Bénéfices
APPROCHE :
Audit et configuration continus
Reporting objectif
Mesure en temps réel
et en continu
Indicateurs pour votre SI
Temps gagné
Déploiement ,
maintenance, évolutions
Gestion indépendante du
nombre de machines
Fiabilité garantie
Maintien en conditions
opérationnelles (MCO)
Changements maîtrisés
11. 11
Points clés (1/3)
Bon citoyen
Compatible process et outils :
change requests, audit log
authentification AD/LDAP, ...
Vigilance
Vérification continue pour
l’information la plus précise
et les réactions les plus rapides.
Production ready
Audit Enforce↔
Chaque configuration peut être
auditée seulement ou corrigée,
pour ne pas travailler à l’aveugle.
Rapport
Re-
médiation
12. 12
Points clés (2/3)
CLI / Code
Création de nouveaux
modules de configuration.
Exploitation de l’outil.
Web
Utiliser les patterns de
configuration existants.
Consulter la conformité.
Séparation des rôles
API
Automatisation de l’ajout
de nouveaux nœuds.
Intégration outils tiers.
14. 14
Notion d’état cible
Définition de l’état cible
Cible
Impératif Déclaratif Mettre à jour le package openssl
Package openssl en dernière version
Redémarrer le service ntpd
Le service ntpd doit être lancé
Copier le fichier sshd_config.template
Le fichier sshd_config doit contenir
“PermitRootLogin no”
17. 17
Fonctionnalités : définition des configurations
Techniques
Modules de configuration prêts à l’emploi
Quelques exemples :
1. Utilisateurs, groupes, mots de passe
2. Logiciels (deb/rpm/exe/MSI)
3. Fichiers de configuration
(complets, templates, par ligne, par section, ...)
4. Gestion des services
5. Configurations applicatives
(OpenSSH, Apache HTTPd, IIS, NFS, ...)
→ Pour tout le reste, l’éditeur de Techniques
19. 19
Fonctionnalités : définition des configurations
Exemples de directives techniques
1. Logout automatique
après inactivité
2. Mots de passe
(force, durée de vie, ...)
3. Pas de compilateurs
en production
4. Avertissement sur
connexion distance
5. Patch de versions de
logiciels vulnérables
BUT
Protéger
les accès
Protéger
les accès
Respecter
la loi
IMPLÉMENTATION
Contenu
fichier/registre
Contenu
fichier/registre
Paquet
absent
Contenu
fichier/registre
Package
présent/à jour
Éviter exploits
potentiels
Éviter exploits
connus
20. 20
Fonctionnalités : définition des configurations
Éditeur de Techniques (IDE)
Créer n’importe quelle configuration avec des briques élémentaires
21. 21
Fonctionnalités : définition des configurations
Éditeur de Techniques (IDE)
Créer n’importe quelle configuration avec des briques élémentaires
Package
absent
Package
absent
Security directive #2
File
enforce
Service
running
Security directive #3
Package
present
File
edit
Security directive #1
Corporate security policy Security best practices
RULERULE
22. 22
Reporting graphique pour
analyser en détail un état
Rapport agrégé
de conformité
Compliance report
Fonctionnalités : Reporting
Reporting détaillé par règle de configuration
25. 25
Restauration automatique
de la configuration
précédente en cas de besoin
Fonctionnalités : audit log + rollback
Trace automatique des changements
26. 26
Serveur central
Nœud Nœud Nœud
Communication TCP (port 5309)
Métadonnées fichiers
Contenus fichiers
Chiffrement et authentification (TLS)
Communication TCP
(ports 443 et 514)
Protocoles HTTPS, syslog
Nœud Nœud Nœud
Zone réseau isolée
Serveur « relai »
Délégation
Inventory
+ Reports
Configuration
policy
Sens des flux réseaux
Tous les flux sont ouverts du nœud vers le serveur
central ou relai (ainsi aucun port ne doit être
ouvert sur les machines gérées).
Architecture réseau
27. 27
Résumé : points clés
Universel
Multi plateforme et OS
Toutes échelles
Agent léger et autonome
Production ready
Vigilance
Audit Enforce↔
Bon citoyen du SI
Points clés
Séparation / rôles
Interface web / API / CLI
Accessibilité simple
Extensibilité avancée
Rapport
Re-
médiation
2
→
> 10 000
28. 28
Résumé : approche continue
Audit et configuration continus
Reporting objectif
Mesure en temps réel
et en continu
Indicateurs pour votre SI
Temps gagné
Déploiement ,
maintenance, évolutions
Gestion indépendante du
nombre de machines
Fiabilité garantie
Maintien en conditions
opérationnelles (MCO)
Changements maîtrisés
29. 29
Rudder devops♡
→ Culture → Automate → Measure → Share →
devops
Contraction de « développeur » et « operations » (= « administrateur système »)
30. Normation – 87 rue de Turbigo, 75003 PARIS, France –Normation – 87 rue de Turbigo, 75003 PARIS, France – contact@normation.comcontact@normation.com – 01.83.62.26.96 –– 01.83.62.26.96 – http://www.normation.com/http://www.normation.com/
Continuous Auditing
Continuous Configuration
Jonathan CLARKE
Co-founder & Product
jcl@normation.com