Eu preciso implantar alguns softwares de monitoramento de integridade de arquivos e detecções de intrusões em instâncias da AWS.
Eu realmente queria usar o OSSEC, mas ele não funciona bem em um ambiente em que os servidores podem ser implantados e desligados automaticamente com base na carga, porque exige que as chaves gerenciadas pelo servidor sejam geradas. Incluir o agente na AMI não permitirá o monitoramento assim que surgir por causa disso.
Há muitas opções por aí, e várias estão listadas em outras postagens neste site, mas nenhuma que eu tenha visto até agora lida com os problemas exclusivos inerentes à AWS ou implantações baseadas em nuvem em geral.
Alguém pode me indicar alguns produtos, de preferência código aberto, que podemos usar para cobrir as partes do PCI DSS que exigem esse software?
Alguém mais conseguiu isso na AWS?
Eu acho que você ainda pode usar o OSSEC. Um tempo atrás eu encontrei um blog que parece indicar que você pode, pelo menos, automatizá-lo com fantoche, o que significa que você provavelmente poderia criar um monte de excesso de chaves, em seguida, basta atribuí-los conforme necessário, possivelmente.
Existe uma opção para mudar para PKI em vez de criptografia simétrica com o ossec-authd. link
Isso tornaria muito fácil a adição de agentes gerados automaticamente (scale out) ao servidor. Mas a remoção de agentes na escala é a parte difícil. link
Uma ideia sugerida no link acima é ter um macaco para limpar as instâncias mortas do servidor periodicamente consultando a AWS. Isso funcionaria porque uma vez que uma instância morre como resultado do scale-in, ela começará a falhar nos sinais keep-alive do servidor OSSEC. Assim, o macaco pode detectar agentes inativos, em seguida, verificar o AWS para ver se a instância é finalizada e removê-lo do servidor OSSEC.