Infracoders Graz Meetup: Compliance-Automatisierung mit InSpec und Chef Automate

Das erste Infracoders/DevOps/CloudNative Meetup nach der Sommerpause fand am 11. September 2018, in Graz statt. 15 Infracoders warteten gespannt darauf, was Edmund Haselwanter, Geschäftsführer der Infralovers, über Compliance-Automatisierung erzählen wird.

Die Präsentation

Die Entstehung von InSpec

Edmund eröffnete seinen Vortrag mit der Entstehung von InSpec. Viele seiner Consulting-Kunden wollten ihre Compliance-Profile automatisieren. Im Rahmen eines Kundenprojektes wurde eine Proof of Concept implementiert: Dabei wurde ServerSpec für die Automatisierung der Compliance-Prüfung verwendet und Chef als auch Puppet für die Implementierung der gehärteten Konfiguration. ServerSpec ist Open Source und ein ausgezeichnetes Test Framework für Infrastruktur Code wie beispielsweise Chef, Puppet oder Ansible. Zusätzliche Anforderungen, die sich aus der Nutzung im Kontext der Compliance Automatisierung ergeben haben, führten zur Entwicklung von InSpec. InSpec ist von ServerSpec inspiriert und nun Edmunds bevorzugte Lösung, da es folgende Vorteile mit sich bringt:

• Compliance Primitives (Profile, Gewicht, Beschreibung, ...)
• Bessere Transportmöglichkeiten (SSH/WinRM/Docker)
• Viel mehr Ressourcen

InSpec 2.0 unterstützt sogar Cloud-Plattformen wie AWS, Azure, etc. Im Moment arbeitet Chef Inc. gerade an InSpec 3.0.

Was genau ist InSpec?

Mit InSpec können Sie Ihre Compliance-Profile in Code umwandeln. Alles was Sie dafür tun müssen ist Ihre Richtlinien zu definieren. Sobald Sie dies getan haben, hilft Ihnen InSpec, Risiken zu reduzieren. Zudem sparen Sie viel Zeit und senken Ihre Kosten, da Sie Probleme schneller finden, Code schneller schreiben und zudem überall ausführen können. Dies kann für Maschinen, Daten und auch APIs verwendet werden. InSpec ist somit ein wesentlicher Teil eines kontinuierlichen Workflows. Mit InSpec können Sie Ihre Sicherheitslücken entdecken und mit Chef, oder einem anderen Konfigurations-Verwaltungs-Tool, können Sie diese automatisiert korrigieren.

Die Entwicklung von manueller zu automatisierter Compliance führt zu folgenden Veränderungen:

• Sie können zukünftig proaktiv anstatt reaktiv handeln.
• Ihre Implementierungen benötigen keine manuelle Überprüfung mehr, da Sie die Richtlinien als testbaren Code ausdrücken.
• Die Einhaltung Ihrer Compliance-Richtlinien wird nicht mehr kurzfristig sein. Sie werden von langfristigen Prozessverbesserungen profitieren.

Nach dem theoretischen Input führte Edmund einige Demos mit Linux-, Windows- Maschinen und der AWS-API vor. Dies half uns InSpec besser zu verstehen.

Chef Automate

Edmund stellte auch Chef Automate, ein kommerzielles Angebot von Chef Inc., vor. Chef Automate ermöglicht den Aufbau, den Einsatz und das Management kontinuierlicher Automatisierung. Dies bietet folgende Vorteile:

• Erhöhung der Geschwindigkeit
• Steigerung der Effizienz
• Minimierung des Risikos

Chef Automate enthält bereits vorgefertigte Compliance-Profile und unterstützt Benachrichtigungen für Slack, ServiceNow, oder eigene benutzerdefinierte Lösung.

Das Netzwerken

Nach einigen zusätzlichen Demos für AWS und Windows und einer Frage- und Antwort-Session, fand das Netzwerken statt. Alle Infracoders gingen an die Bar und tauschten sich aus. Dies war aufgrund der vielen neuen Gesichter besonders aufschlussreich.

Wir freuen uns schon auf das nächste Infracoders/DevOps/CloudNative Meetup im November. Wenn Sie Fragen zu diesem Vortrag, oder zu Compliance-Automatisierung im Allgemeinen haben, kontaktieren Sie Edmund per E-Mail ehaselwanter@infracoders.com oder auf Twitter @ehaselwanter.