Utilisation sécurisée de l'infrastructure d'automatisation

Dans la configuration d'agent par défaut, tous les détecteurs d'action sont désactivés (désactivés). Vous devez choisir d'utiliser les détecteurs d'action. Lorsque vous prenez en compte les agents à activer avec des détecteurs d'action, il est important de n'activer que les détecteurs dans lesquels les actions doivent être exécutées.

• HTTP, Ansible et les capteurs d'action : envisagez de n'activer qu'un seul agent pour chaque type de capteur souhaité, afin qu'il serve de point de contrôle pour l'exécution des actions.
• Actions de script: envisagez d'activer le détecteur de script sur de nombreux agents pour permettre aux scripts ou aux commandes de s'exécuter directement sur le système d'exploitation hôte. Assurez-vous que le détecteur de script est activé uniquement pour les agents destinés à exposer cette fonction.

Choisissez de manière sélective les agents sur lesquels vous souhaitez activer les détecteurs d'action afin de limiter la possibilité d'exécution d'action sur un hôte ou un système non intentionnel. En outre, créez un utilisateur dédié avec un accès limité pour l'exécution des actions de script.

• HTTP, Ansible et les capteurs d'action sur les incidents : ces capteurs étant conçus pour communiquer avec des systèmes tiers (externes) afin de déclencher des requêtes, vous devez utiliser un agent dédié qui servira de point de contrôle unique. L'utilisation d'un agent dédié permet de réduire le risque d'accès non souhaité à l'infrastructure d'automatisation et simplifie également la configuration et la maintenance du détecteur d'action.

• Actions de script: activez le détecteur uniquement pour les agents où il est sûr et souhaité d'activer l'accès potentiel aux commandes système sur l'hôte.

Utilisez les droits utilisateur d'automatisation pour accorder de manière sélective l'accès aux utilisateurs pour les différentes fonctions de l'infrastructure d'automatisation. Les autorisations utilisateur régissent l'accès aux différentes fonctionnalités de l'interface utilisateur d' Instana et via API; elles sont désactivées par défaut pour la plupart des utilisateurs.

• Configuration des actions d'automatisation: les utilisateurs disposant de ce droit peuvent créer, modifier et supprimer des actions du catalogue d'actions.

  • Seuls les utilisateurs authentifiés avec une authentification à deux facteurs peuvent utiliser les opérations d'écriture sur le catalogue d'actions. Cette authentification fournit une couche de sécurité supplémentaire pour s'assurer que seuls les utilisateurs vérifiés peuvent créer ou modifier des actions pouvant être exécutées via les détecteurs d'action.

• Exécution des actions d'automatisation: les utilisateurs disposant de ce droit peuvent exécuter les actions à partir du catalogue sur les agents avec des détecteurs activés qui correspondent au type d'action.

• Configuration des règles d'automatisation: les utilisateurs disposant de ce droit peuvent créer, modifier et supprimer des règles d'automatisation.

• Suppression de l'historique des actions d'automatisation : Les utilisateurs disposant de cette autorisation peuvent supprimer des actions de l'historique des actions.

Grâce à l'utilisation du cadre d'automatisation, l'accès aux différentes fonctionnalités de ce cadre, tant depuis l'interface utilisateur de Instana que depuis API, est réservé aux utilisateurs disposant des droits d'accès correspondants.

Le détecteur de script requiert que l'utilisateur runAs soit spécifié pour exécuter des scripts ou des commandes sur le système hôte. Créez un utilisateur dédié avec un accès système limité à cette fin. Utilisez les fonctions de système d'exploitation appropriées pour créer et limiter la portée de cet utilisateur. L'accès limité de cet utilisateur doit inclure:

• Accès limité aux commandes système, interpréteurs, binaires, bibliothèques et exécutables nécessaires à l'appel d'actions depuis Instana.

• Accès uniquement aux emplacements du système de fichiers, tels que les fichiers et les dossiers requis pour que les scripts de l'infrastructure d'automatisation s'exécutent correctement.

  • Au minimum, l'utilisateur doit disposer d'un accès en lecture, écriture et exécution au scriptExecutionHome répertoire, comme indiqué dans la configuration du capteur du script.

L'utilisation prévue des capteurs de script avec le cadre d'automatisation comprend des actions de script dans le catalogue qui peuvent être exécutées par tout utilisateur d' Instana disposant des autorisations nécessaires. La création d'un utilisateur dédié disposant d'un accès limité au système pour ces opérations empêche les actions déclenchées par Instana d'accéder à du contenu ou à des fichiers binaires non autorisés sur le système de fichiers.

Utilisez un gestionnaire de secrets pour gérer toutes les données sensibles dont le cadre d'automatisation pourrait avoir besoin aux emplacements suivants :

• Paramètres sensibles dans le catalogue. Utilisez le type Vault de paramètre pour récupérer les valeurs des paramètres à partir d'une instance d' Hashicorp Vault e configurée lors de l'exécution. Utilisez ce type de paramètre pour éviter de référencer ou de stocker des mots de passe en texte en clair, des jetons ou d'autres données sensibles lorsque vous définissez ou exécutez des actions.

• Données sensibles spécifiées dans la configuration de l'agent. La définition des données sensibles comprend des champs tels que les mots de passe de l'utilisateur Windows runAs (capteur de script) et le jeton Ansible (capteur Ansible ).

L'utilisation d' Secret Manager pour la gestion des secrets empêche toute exposition des mots de passe ou des jetons en clair lorsque vous utilisez l'interface utilisateur du framework d'automatisation ou API. De même, l'utilisation d' Vault permet d'éviter d'avoir à déclarer des mots de passe ou des jetons en clair dans un fichier de configuration d'agent.