两个基于云的管理工具的故事

Anturis和CloudPassage Halo是互补产品，可从不同方向攻击基础设施监测。Anturis是一种基于云的门户，监控系统连接，系统，MySQL数据库和网站。CloudPassage Halo监控操作系统实例和实例状态机的相对粘性符合性。

两个都使用门户，其中包含基础架构的配置列表。门户网站被设计为来自实例的信息的外部收集员。当出现错误条件时，产品发送警报，但既不是“修复”它发现的问题 - 这取决于监控人员的管理和技术驱动。

[还：十大云工具]

无论是产品会谈到传统的企业系统管理或帮助台应用程序本身，虽然有一些可编程通过这两种产品。相反，它是由管理员来处理与报警条件，而导致故障识别的基本条件。两者都比IPMI或SNMP基于协议的监测工具不同，幸福，既监测Windows和Linux实例（但既不监视器的MacOS X）。CloudPassage晕扮演成固定或云构造，而Anturis是更好的准备（但不限于）固定基础设施。两者都可以办理“多租户”建设。

CloudPassage Halo.

CloudPassage全部是关于配置管理和合规性，并在部署的系统上进行注意的眼睛。Halo有三种形式，基本，NetSec和专业。至少，它允许多云防火墙自动化和安全警报。NetSec表单添加了访问控制（我们的觉得是强制性的），双因素身份验证，支持和帐户管理。专业（以及最昂贵的版本）是最全面且功能完整的版本。

所有三个版本的内部服务器基础架构资产，云或多云构造工作。光晕可以使用云堆栈部署，以便可以自动化合规和防火墙自动化/硬化以便快速更改和实例爆发。它有几个方面，但它是一个合规报告工具，除了防火墙硬化外，它扮演被动角色，并没有解决它发现的问题。

但是，它可以在与活动配置控制一起使用时，帮助管理员产生瘦的各种组合的“金色图像”，具有较小的攻击表面，是最新的，补丁和修正的，并创建基线图像正直。它是一个活跃的控制器，例如，固定工具也是如此作为根/服务授权工具在其位置完全危险 - 在敌对手中轻松爆炸。

队列晕民调/扫描，生成一个扫描比较实例软件和设置与已知的常见漏洞和暴露的NIST数据库。它管这个信息给CloudPassage门户报告的目的，但它也可以使用其基于服务器的守护进程直接查询 - 如果你有它的钥匙。

钥匙是静态的，但可能是管理，再生。我们的诚信可以被看作意味着一个静态密钥，在我们的估计，是一个坏主意的事实。按键寿命和潜在的密钥分配给其他员工，管理员或第三方增加了潜在的问题。这是控制的关键组成部分。

为此，CloudPassage还具有可选的多认证API，其关闭了客户端上的管理端口，仅当用户具有Yubikey（USB单键安全设备）和CloudPassage密码时打开它们，或者通过Ghostport发送短信认证令牌。在我们看来，Ghostports应该是强制性的。

如上所述，Halo无法修复它发现的问题，因为某些无法修复，其他人需要IT管理员的自由裁量权，技能或主动确认。可以使用Puppet（测试），厨师或RightScale应用程序逻辑来改变或管理图像/实例设置，以解决HALO找到的所有污垢。我们发现，如果他们在开始之前，我们发现了，考虑剥离漏洞应用程序的图像，然后在开始 - 改造之前，可以变得令人毛骨悚然。

测试/解析/配置问题引擎光环用途由CloudPassage申请，以满足各种规范要求，以满足众多的合规性测试，以及与各种国际系统基准进行满足。由于我们不执行这些合规性测试，我们不能为Halo的索赔保证。但是，我们这样做就像他们的方法。我们相信Halo在“街道级别”中为系统管理员提供了很长的路要地配置和安全工作。

我们发现每个服务器执行最多10,000个对象的基线扫描。对象可以是文件，文件夹，甚至是Windows注册表对象，并且在这样做时创建了SHA-256哈希。不幸的是，不能扫描大于技能的文件，但是可以扫描核心文件和大多数文件夹等对象以进行哈希和元数据（具有一些限制）。一旦建立基线，就重要文件的完整性，然后可以是错误和警告的关键。这些是用户定义的。当然，更新和修补程序和修复将触发问题管理，必须在轮询扫描期间为后续手表建立新的基线来解决。

CloudPassage还支持在所有版本中部署预构建的服务器硬化策略。这些来自股票策略，通过编辑/添加其他策略来添加，然后在免费或“专业”版本中部署策略。

这个怎么运作

使用HALO要求使用CloudPassage建立一个帐户，然后将一个下载和将守护程序软件配置为一个操作系统。该守护程序按计划运行，收集信息，然后通过在CloudPassage上通过分析引擎运行，然后，默认情况下，结果将显示它找到的所有策略违规行为。它发现了很多。我们找到了合规性缘故，最好重视除策略之外 - 这将被记录。

有辅助功能的控制晕。我们可以限制授权的IPv4（IPv6不！）地址或地址的CIDR块可以登录到门户。守护程序注册密钥也可以撤销和再生 - 如前所述应该有人离开组织。光环守护程序/服务通过分配的时间间隔检查到最后一战的门户网站内部生命的迹象（而不是IPMG“平”退货）主机。

程序性，在身份验证，下载和安装之后，守护程序/服务验证自己，然后继续将其环境作为在安装和调用的平台上的根系统进程中。数据被发送到CloudPassage门户。分析引擎是紧密的，并参考CVSS公告和详细的政策描述，您可以通过关闭策略的敏感性或添加自己的敏感性，或者通过添加自己的敏感性，或者通过拒绝严重性级别来添加或解开它的详细政策描述。CVSS威胁。

Halo具有广泛的配置设置列表，它在其所在的实例上执行。无论我们认为我们是否有多么完美，都会，Halo会拿出每一个配置错误它可以找到，它可以找到很多。然后是细节的魔鬼。

配置错误，经常引用的CVE然后上市，关键性，外部脆弱性进行分类，经常与CVE公告援引的已知漏洞的章节和诗句。这些列表操作版本所特有的系统，而细节是可怕的。不管你多么聪明相信你，会晕出你的错配置。它的郁闷，和horridly有效。

对于某些应用程序，CVES没有修复，并且存在触发配置漏洞的软件。一个人可以拒绝噪音水平，但并指出了策略改变。为什么不固定？啊 - 我们看到你改变了策略，允许致命的配置我们不想挂起你。

我们试图找到办法，使Linux和Windows的版本悦目将满足光环的强迫名单。这几乎是不可能的事，所以改变问题的关键性引用的关键是显而易见的幸福和遵守光环的最终目标。您将通过晕进行策略控制，你会爱生恨它。

Anturis.

Anturis提供单个组件监控适用于Windows（Vista的+和服务器）和Linux（X86 / X64）的情况。它的主要成分的功能，而不是由CloudPassage晕呈现的比较极端的配置信息的顶侧视图。Anturis手表一切从它的门户网站，一旦你开始你的监控，并有足够的资源，让您的网站和它的组件是如何反应到世界不同地区的“世界观”。

组件可以是服务器，数据库，邮件系统等。最聪明的监视器之一是一个交互式自动Web服务器监视器，可以被编程为与网站进行交互，看看是否有效地响应以获取/发布事务。

Anturis系统包含公共和私人代理商。主要门户网站在德国举办，但位于达拉斯，莫斯科，温哥华B.C.，阿姆斯特丹的代理主人，柏林的总部可用于做Ping主机进行响应时间的事情。

私人剂是守护进程的Anturis报告门户，在行政上定义的计划。公共或私人催生剂通讯在两种状态，问题，或不问题 - 这意味着好。人们可以不承认问题，并把它视为解决。

Portal的外部监视器页面允许我们查看门户或其代理的操作。内部监视器依次安装到服务器和其他组件中的守护进程，请检查CPU利用率，磁盘空间等特性等内容。服务器21磁盘空间太低了？使它成为一个问题，定义需要的空间，它将在磁盘空间太低时报告。这种监测陷阱是非常基本的，但也经常是系统疯狂的关键。

监视器还可以检查日志文件中是否存在错误。遗憾的是，没有股票的例子，我们判断了一个决定的失败。但是，您可以通过向导构建自己的日志文件监视器，通过指定路径（通常在文件系统中的同一个位置，如/ var / log在Linux中或在Windows中的事件日志中），然后是基准数据，以及日志是滚动文件，还是应该读取整个文件，而不是在第一个发现实例上闪烁。

代理还可以通过外部通过SMTP和POP3联系人在邮件服务器中测试生命。在内部，可以检查托运服务的相同服务器可以检查不同的条件。它们与Microsoft的系统中心配置管理器相比，它们并不像具有快速健康检查，那么轻松部署，如果有点肤浅。

服务器进程是由私人代理监控，但数据点很少相比非常细粒度监控产品，如什么是监测可能是微软的系统中心2012年：可用物理内存，磁盘空间;互换使用;上述日志文件行项存在，CPU或磁盘使用;一个SNMP设备得到特性;或由一个外壳命令生成自定义检查。此外，还包括MySQL数据库检查 - 超过15人。

shell命令可以查找有针对性主机上执行命令或脚本的范围或文本内容返回。如果要检查IP地址，则可以使用shell执行ifconfig / ipconfig，然后检查substring查找正确的地址。或者您可以检查一系列数字。无论哪种方式，您都可以指定执行段，如果执行命令/脚本的返回不起作用，则会弹出一个警报以提醒您，以提醒您，以便在您在海滩时更改磁带。

MySQL Monitor，我们只进行了纠正测试，显示了警告和错误条件的百分比率触发的故障。选中的属性率是：慢查询，慢速线程，重连接，表锁争用，磁盘临时表速率，密钥缓存未命中，查询缓存未命中，查询缓存修剪率，InnoDB缓冲池未命中，Log Cache等待速率，线程缓存未命例率，InnoDB缓冲池利用率和连接使用，都表示为速率。

我们可以将内部监视与我们选择的任何给定服务器的代理监控相结合，并且可以将组件（例如：服务器内部，外部，Web特征取决于另一台服务器）链接到以便在服务器内部的服务中切换依赖性检查彼此。

也许在盘片上最好的酱是Web服务器动态检测，任选在SSL / HTTPS登录。这种显示器可以检查证书，然后经过一系列的GET /职位，岗位检查的结果，并监测他们的响应时间。我们可以从我们自己的服务器（一个或多个）测试此或Anturis的按第二下主机的一个选择响应时间来检查我们的逻辑。一旦工作，然后我们可以查询我们的测试网站，看看是否进行交易所需的时间内完成。

如果任何监视器陷阱（失败），我们可以有Anturis电子邮件，短信，或者使自动呼叫。它也可以分配到组的人，并划分成草皮位置。

总体

Anturis通过无数的复杂竞争产品削减，以提供基础知识，尽管有一些复杂的曲折。这是一个比云通道更不同的野兽，但奇怪的是，它们是日常部署和行动的剑的两个边缘。对于需要一个问题的小型组织问题“我们是忙吗？”它做得非常好。将其视为最高宣传的服务。

亨德森是斯蒂芬斯，德国斯特洛布布斯的主要研究员。他可以达到他kitchen-sink@extremelabs.com。