DevOps自動化工具廠商Puppet發布基準參考指標(Center of Internet Security,CIS)法遵服務,讓企業能夠確保使用的IT基礎設施符合CIS基準,並且可以隨時存取IT資產的狀態,而且會和用戶進一步合作,以量身訂做框架,讓用戶有能力繼續維護法遵狀態。基準參考指標是由非營利組織所定義出來的標準,這些標準訴求無偏頗,是產業共識下的最佳實踐,可讓企業評估並改善安全性。

Puppet提到,無論是在醫療保健還是金融業,要通過稽核都是一件棘手的任務,在必須符合監管標準的情況下,同時對技術和業務都帶來了挑戰,法遵尤其困難,因為有許多規則必須執行,而且還有許多例外情況需要處理,每個團隊可能都有專用的伺服器,或是不適用的基準測試,要掌握所有情況並不簡單。

為了試圖解決這樣的困境,Puppet對企業和開源用戶提供了新的CIS法遵服務,這是Puppet研究其客戶將Puppet產品用於法遵的案例,將這些知識與自家的工具結合,並將CIS基準和Puppet資料相對應,所開發出來實作CIS基準測試的端到端解決方案。

官方提到,要企業理解法規政策,並且使其基礎設施符合標準是一大挑戰,CIS法遵服務可以降低企業符合CIS基準測試的困難度,在應用安全系統配置的同時確保安全性。

用戶可以應用Puppet的法遵工具或是自有工具生成的報告,由CIS法遵服務掃描基礎設施,並產生報告找出未符合CIS基準測試的機器,該服務還會分類問題對法遵狀態進行評分,顯示每個節點通過測試與測試失敗的控制元件列表,透過找出企業中不符要求的地方,即時解決有問題的部分。Puppet會與企業團隊合作,除了讓IT資產符合法規要求之外,還會為企業的基礎架構訂製框架和內容,確保企業有能力維持法遵狀態。


Advertisement

更多 iThome相關內容