lennlay.com EN
Blog
SPAS RELEASECOMPLIANCE

SPAS 1.5: Drift-Detection für regulierte Umgebungen

SPAS 1.5 führt automatisierte Drift-Detection ein: laufende Konfiguration wird gegen den Golden State geprüft, Abweichungen werden gemeldet.

Autor
Matthias Siegl
Veröffentlicht
Lesezeit
2 Min. Lesezeit

SPAS 1.5 ist verfügbar

Version 1.5 führt Drift-Detection als eigenständiges Modul ein. Ziel ist es, unautorisierte oder ungeplante Konfigurationsänderungen in regulierten Umgebungen frühzeitig zu erkennen, bevor sie zum Compliance-Problem oder zur Ursache eines Vorfalls werden.

Was neu ist

Automatisierter Konfigurationsvergleich

  • SPAS vergleicht den tatsächlichen Laufzeitstand eines Hosts mit dem definierten Golden State.
  • Verglichen werden: JBoss-EAP-Konfiguration (standalone.xml / domain.xml), Tomcat-Konfiguration (server.xml, context.xml), Apache-HTTPD-Einstellungen (vhosts, SSL-Parameter, Module) und ausgewählte Betriebssystem-Controls.
  • Abweichungen werden zeilengenau protokolliert. Das Ergebnis liegt als strukturiertes JSON vor und ist maschinenlesbar.

Alert bei unautorisierten Änderungen

  • Abweichungen vom Golden State lösen konfigurierbare Alerts aus.
  • Unterstützte Ziele: E-Mail, Webhook (Slack, Teams, generisch), AAP-Notification-Integration.
  • Alert-Schwellwerte sind je Control-Typ einstellbar: informativ, Warning, Critical.
  • Wer nur bestimmte Controls überwachen will, kann über Tags filtern.

Geplante Scans

  • Drift-Scans lassen sich als wiederkehrender Job in Red Hat AAP einplanen.
  • Empfohlene Basisfrequenz: täglich. Kritische Umgebungen können stündliche Scans konfigurieren.
  • Scan-Ergebnisse werden historisiert und sind über die AAP-UI abrufbar.

Baseline-Management

  • Der Golden State wird als versionierte Datei im Repository gehalten.
  • Geplante Konfigurationsänderungen werden als neue Baseline committed, bevor sie ausgerollt werden. Damit bleibt der Drift-Vergleich konsistent mit dem tatsächlichen Sollzustand.
  • SPAS 2.0 baut auf dieser Baseline die Golden-Image-Pipeline auf.

Warum das in regulierten Umgebungen relevant ist

Viele Compliance-Frameworks (BSI IT-Grundschutz, ISO 27001, SOC 2) verlangen den Nachweis, dass Systeme im definierten, geprüften Zustand betrieben werden. Ohne automatisierten Abgleich lässt sich das nur durch manuelle Kontrollen belegen, die personal- und zeitintensiv sind und Prüflücken erzeugen.

Drift-Detection macht diesen Nachweis reproduzierbar und kontinuierlich, ohne zusätzlichen manuellen Aufwand.

Voraussetzungen

  • SPAS 1.4 oder neuer als Basis
  • Red Hat Ansible Automation Platform 2.3 oder neuer
  • Definierter Golden State im SPAS-Repository (Ansible-Variablen oder separates Baseline-File)

Upgrade

Das Modul wird als neue Rolle (spas_drift_detection) in die bestehende Collection eingespielt. Bestehende Inventare und Variablen bleiben kompatibel. Konfiguration der Alert-Targets erfolgt über neue group_vars-Definitionen, die in der Dokumentation beschrieben sind.