Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Konformitätsscans in AWS OpsWorks for Chef Automate
<a name="opscm-chefcompliance"></a>

**Wichtig**  
AWS OpsWorks for Chef Automate hat am 5. Mai 2024 das Lebensende erreicht und wurde sowohl für Neu- als auch für Bestandskunden deaktiviert. Wir empfehlen bestehenden Kunden, zu Chef SaaS oder einer alternativen Lösung zu migrieren. Wenn du Fragen hast, kannst du dich auf [AWS re:POST](https://repost.aws/) oder über den [AWS Premium-Support](https://aws.amazon.com/support) an das AWS Support Team wenden.

Mit Compliance-Scans können Sie die Compliance verwalteter Knoten in Ihrer Infrastruktur basierend auf vordefinierten Richtlinien nachverfolgen, die auch als *Regeln* bezeichnet werden. Compliance-Ansichten ermöglichen Ihnen, Ihre Anwendungen regelmäßig auf Schwachstellen und nicht konforme Konfigurationen zu überprüfen. Chef bietet über 100 vordefinierter Compliance-*Profile* – Regelsammlungen, die für bestimmte Knotenkonfigurationen gelten –, die Sie für Ihre Compliance-Scans verwenden können. Sie können auch die [ InSpec Chef-Sprache](https://www.inspec.io/docs/) verwenden, um Ihre eigenen benutzerdefinierten Profile zu erstellen.

Wenn auf Ihrem Server noch nicht Chef Automate 2.0 ausgeführt wird, können Sie[Chef-Compliance](https://www.chef.io/solutions/compliance/)manuell einrichten, indem Sie das Audit-Rezeptbuch installieren.

**Anmerkung**  
Die unterstützte Mindestversion der Chef Infra-Client-Agent-Software (`chef-client`) auf Knoten, die einem AWS OpsWorks for Chef Automate Server zugeordnet sind, ist 13. *x.* Wir empfehlen, die aktuellste, stabilste `chef-client` Version oder mindestens 14.10.9 zu verwenden.

**Topics**
+ [Compliance in Chef Automate 2.0](#opscm-compliance-ca20)
+ [Compliance in Chef Automate 1.*x*](#opscm-compliance-ca1x)
+ [Aktualisierungen der Compliance](#opscm-chefcompliance-updates)
+ [Community- und benutzerdefiniertes Compliance-Profile](#opscm-compliance-custom)
+ [Weitere Informationen finden Sie unter:](#opscm-compliance-seealso)

## Compliance in Chef Automate 2.0
<a name="opscm-compliance-ca20"></a>

Wenn auf Ihrem AWS OpsWorks for Chef Automate Server Chef Automate 2.0 ausgeführt wird, richten Sie Chef Compliance mithilfe der Verfahren in diesem Abschnitt ein.

### Ausführen von Compliance Scan-Aufgaben mit Chef Automate 2.0
<a name="opscm-compliance-scanjob"></a>

Chef Automate 2.0 beinhaltet die Funktion Chef InSpec Compliance-Scanning, für die früher eine manuelle Einrichtung und Kochbuchkonfiguration erforderlich war. Sie können *Scanjobs* auf einem AWS OpsWorks for Chef Automate Server ausführen, auf dem Chef Automate 2.0 ausgeführt wird. Aufgaben können (einmalig) sofort ausgeführt, für einen späteren Zeitpunkt geplant oder in regelmäßigen Abständen, beispielsweise täglich oder alle zwei Stunden, ausgeführt werden. Die Ergebnisse einer Scan-Aufgabe werden an die Compliance-Berichterstellung gesendet. Sie können die Ergebnisse des Compliance-Scans im Dashboard von Chef Automate anzeigen und Maßnahmen dazu ergreifen. Wenn Sie die Registerkarte **Compliance** öffnen und Berichte auf der Registerkarte **Scan-Aufgaben** im Chef Automate-Dashboard anzeigen möchten, wählen rechts neben derSpalte verwalteter Knoten die Option **Bericht** aus.

Für Scan-Aufgaben auf verwalteten Knoten ist Folgendes erforderlich:
+ Mindestens ein in Ihrem Namespace installiertes Compliance-Profil.
+ Mindestens ein Zielknoten, entweder manuell hinzugefügt oder eine automatisch [hinzugefügte EC2 ](opscm-unattend-assoc.md) Instanz.

In AWS OpsWorks for Chef Automate werden Scanaufträge auf den folgenden Zielen unterstützt.
+ Manuell hinzugefügte Knoten
+ `aws-ec2`-Instances
+ AWS-Regionen

Detaillierte Anweisungen zum Ausführen von Scan-Aufgaben finden Sie unter [Scan-Aufgaben in Chef Automate](https://automate.chef.io/docs/scan-jobs/) in der Chef-Dokumentation.

### (Optional, Chef Automate 2.0) Einrichten von Compliance mit dem Audit-Rezeptbuch
<a name="opscm-chefcompliance-setup"></a>

Sie können die Konformität auf jedem AWS OpsWorks for Chef Automate Server konfigurieren. Nachdem Sie einen AWS OpsWorks for Chef Automate -Server gestartet haben, können Sie Profile aus dem Chef Automate-Dashboard installieren, oder die gewünschten Profile den Audit-Rezeptbuchattributen in der `Policyfile.rb`-Richtliniendatei hinzufügen. Eine vorbelegte `Policyfile.rb`-Datei ist im Starter Kit enthalten.

Nach dem Sie `Policyfile.rb` mit Profilen als Attribute des Audit-Rezeptbuchs bearbeitet haben, führen Sie `chef push`-Befehle zum Hochladen des [Audit-Rezeptbuchs](https://supermarket.chef.io/cookbooks/audit) und anderer in `Policyfile.rb` angegebener Rezeptbücher auf Ihren Chef Automate-Server hoch. Durch die Installation des Audit-Kochbuchs wird auch das Gem für [Chef](https://www.inspec.io/) installiert InSpec, ein Open-Source-Framework für Tests und Prüfungen, das von Chef entwickelt wurde. Für Chef Automate [2.0](https://discourse.chef.io/t/automate-2-version-20190410001346-released/14930) wählen Sie Version 7.1.0 des Audit-Rezeptbuchs oder höher aus. Das InSpec Gem muss Version 2.2.102 oder höher sein.

Die Anweisungen in diesem Abschnitt verdeutlichen, wie Sie das `opsworks-audit`-Rezeptbuch implementieren. Das Audit-Kochbuch lädt bestimmte Profile vom Chef Automate-Server herunter, bewertet Knoten anhand des **DevSec SSH-Baseline-Profils** und meldet bei jedem Lauf das Ergebnis der Konformitätsscans. `chef-client`<a name="compliance-installprof"></a>

**So installieren Sie Compliance-Profile**

1. [Melden Sie sich beim web-basierten Dashboard von Chef Automate an](opscm-chef-dashboard.md), falls Sie dies noch nicht getan haben. Verwenden Sie die Anmeldeinformationen, die Sie beim Herunterladen des Starter Kits während der Erstellung Ihres AWS OpsWorks for Chef Automate -Servers erhalten haben.

1. Wählen Sie im Chef Automate-Dashboard die Registerkarte ** Asset Store (Objekt-Store)** aus.  
![\[Compliance-Profile\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_compliance_profiles.png)

1. Wählen Sie die Registerkarte **Available (Verfügbar)** aus, um vordefinierte Profile anzuzeigen.

1. Durchsuchen Sie die Liste der Profile. Wählen Sie ein Profil, das mit dem Betriebssystem und der Konfiguration von mindestens einem Ihrer verwalteten Knoten übereinstimmt. Um Details über das Profil anzuzeigen, einschließlich einer Beschreibung der Verletzungen, auf die das Profil ausgelegt ist, und des zugrunde liegenden Regelcodes, wählen Sie **>** rechts neben dem Profileintrag. Sie können mehrere Profile auswählen. **Wenn Sie das Beispiel im Starter Kit einrichten, wählen Sie DevSec SSH Baseline.**  
![\[Chef Compliance-Profil – Detailansicht\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_compliance_rule.png)

1. Um die ausgewählten Profile auf Ihrem Chef Automate-Server zu installieren, wählen Sie **Get (Abrufen)**.

1. Nachdem Sie Profile installiert haben, werden sie in der Registerkarte **Profiles (Profile)** des Chef Automate-Dashboards angezeigt.<a name="opscm-compliance-setup-policyfile"></a>

**So installieren Sie Rezeptbücher mit `Policyfile.rb`**

1. Zeigen Sie `Policyfile.rb` in Ihrem Starter Kit an, um zu sehen, dass die Attribute für das Audit-Rezeptbuch das `ssh-baseline`-Profil in `['profiles']` angeben.

   ```
   # Define audit cookbook attributes
   default["opsworks-demo"]["audit"]["reporter"] = "chef-server-automate"
   default["opsworks-demo"]["audit"]["profiles"] = [
     {
       "name": "DevSec SSH Baseline",
       "compliance": "admin/ssh-baseline"
     }
   ]
   ```

1. Laden Sie die in `Policyfile.rb` definierten Rezeptbücher herunter und installieren Sie sie.

   ```
   chef install
   ```

   Alle Rezeptbücher sind in der `metadata.rb`-Datei des Rezeptbuchs versioniert. Immer wenn Sie ein Rezeptbuch ändern, müssen Sie die Version des Rezeptbuchs ändern, die sich in seiner `metadata.rb` befindet.

1. Leiten Sie die in `Policyfile.rb` definierte `opsworks-demo`-Richtlinie an Ihren Server weiter.

   ```
   chef push opsworks-demo
   ```

1. Überprüfen Sie die Installation Ihrer Richtlinie. Führen Sie den folgenden Befehl aus.

   ```
   chef show-policy
   ```

   Die Ergebnisse sollten etwa wie folgt aussehen:

   ```
   opsworks-demo-webserver 
   ======================= 
   * opsworks-demo:  ec0fe46314
   ```

1. Fügen Sie Ihrem Server zu verwaltende Knoten hinzu, sofern Sie dies nicht bereits getan haben. Verwenden Sie das `userdata.sh` Skript, das in diesem Starterkit enthalten ist, um Ihren ersten Knoten mit dem AWS OpsWorks for Chef Automate Server zu verbinden. Es verwendet die OpsWorks `AssociateNode` API, um einen Knoten mit Ihrem Server zu verbinden.

   Sie können die Zuordnung von Knoten automatisieren, indem Sie die Schritte in [Fügen Sie Knoten automatisch hinzu AWS OpsWorks for Chef Automate](opscm-unattend-assoc.md) ausführen, oder Knoten einzeln hinzufügen, indem Sie die Schritte in [Fügen Sie Knoten einzeln hinzu](opscm-addnodes-individually.md) ausführen. 

1. Nachdem Sie die Ausführungsliste für Ihre Knoten aktualisiert haben, führt der `chef-client`-Agent bei der nächsten Ausführung die von Ihnen spezifizierten Rezepte aus. Dies erfolgt standardmäßig alle 1800 Sekunden (30 Minuten). Nach der Ausführung können Sie Compliance-Ergebnisse in der Registerkarte **Compliance** auf dem Chef Automate-Dashboard anzeigen und entsprechende Maßnahmen ergreifen.  
![\[Ergebnisse der Compliance-Scans in Chef\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_compliance_scan.png)

### Ausführen eines Compliance-Scans
<a name="opscm-chefcompliance-scan"></a>

Sie sollten die Ergebnisse des Compliance-Scans kurz nach der ersten Ausführung des Agenten-Daemons nach der Konfiguration Knoten-Ausführungslisten im Dashboard von Chef Automate sehen.

![\[Chef Compliance Reporting – Seitenansicht\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_compliance_reporting.png)


Wählen Sie im Chef Automate-Dashboard die Registerkarte **Compliance**. Wählen Sie im linken Navigationsbereich die Option **Reporting (Berichterstellung)** aus. Wählen Sie auf die Registerkarte **Profiles (Profile)**, dort **Scan Results (Scan-Ergebnisse)** und dann einen Knoten mit Scan-Fehlern aus, um mehr über die Regeln zu erfahren, gegen die ein Knoten verstoßen hat.

![\[Compliance-Liste der fehlgeschlagenen Ergebnisse\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_compliance_results.png)


In der Regel werden fehlerhafte Scanergebnisse angezeigt, da neue Knoten noch nicht alle Regeln im **DevSec SSH-Baseline-Profil** erfüllen. **Das [DevSec Hardening Framework](https://github.com/dev-sec), ein Community-Projekt, bietet Kochbücher zur Behebung von Problemen, die gegen die Regeln im SSH-Baseline-Profil verstoßen. DevSec **

### (Optional) Auflösen nicht konformer Ergebnisse
<a name="opscm-chefcompliance-resolve"></a>

**Das Starterkit enthält ein Open-Source-Kochbuch, das Sie ausführen können`ssh-hardening`, um fehlerhafte Ergebnisse von Läufen gegen das SSH-Baseline-Profil zu korrigieren. DevSec **

**Anmerkung**  
**Das `ssh-hardening` Cookbook nimmt Änderungen an Ihren Knoten vor, um den SSH-Baseline-Regeln zu entsprechen. DevSec ** Bevor Sie dieses Kochbuch auf Produktionsknoten ausführen, überprüfen Sie die Details zum **DevSec SSH-Baseline-Profil** in der Chef Automate-Konsole, um zu verstehen, auf welche Regelverstöße das Cookbook abzielt. Sehen Sie sich die Informationen über das als Open-Source bereitgestellte [https://github.com/dev-sec/chef-ssh-hardening](https://github.com/dev-sec/chef-ssh-hardening)-Rezeptbuch an, bevor Sie es auf Produktionsknoten ausführen.

**So führen Sie das `ssh-hardening`-Rezeptbuch aus**

1. Wesen Sie in einem Texteditor das `ssh-hardening`-Rezeptbuch einer `Policyfile.rb`-Ausführungsliste zu. Die `Policyfile.rb`-Ausführungsliste sollte wie folgt aussehen.

   ```
   run_list  'chef-client', 'opsworks-webserver', 'audit', 'ssh-hardening'
   ```

1. Aktualisieren Sie `Policyfile.rb` und leiten Sie die Datei an Ihrem AWS OpsWorks for Chef Automate -Server weiter.

   ```
   chef update Policyfile.rb
      chef push opsworks-demo
   ```

1. Knoten, der die `opsworks-demo`-Richtlinien zugewiesen sind, aktualisieren die Ausführungsliste automatisch und wenden das `ssh-hardening`-Rezeptbuch bei der nächsten Ausführung von `chef-client` an.

   Da Sie das `chef-client`-Rezeptbuch verwenden, meldet sich Ihr Knoten in regelmäßigen Zeitabständen an (standardmäßig alle 30 Minuten). Beim nächsten Check-in wird das `ssh-hardening` Cookbook ausgeführt und trägt dazu bei, die Knotensicherheit zu verbessern, um die Regeln des **DevSec SSH-Baseline-Profils** zu erfüllen.

1. Warten Sie nach der ersten Ausführung des `ssh-hardening`-Rezeptbuchs 30 Minuten, bevor Sie wieder einen Compliance-Scan ausführen. Sehen Sie sich die Ergebnisse im Chef Automate-Dashboard an. Die fehlerhaften Ergebnisse, die beim ersten Durchlauf des **DevSec SSH-Baseline-Scans** aufgetreten sind, sollten behoben werden.

## Compliance in Chef Automate 1.*x*
<a name="opscm-compliance-ca1x"></a>

Wenn auf Ihrem AWS OpsWorks for Chef Automate Server Chef Automate 1 ausgeführt wird. *x*, richten Sie Chef Compliance mithilfe der Verfahren in diesem Abschnitt ein.

### (Optional, Chef Automate 1.*x*) Einrichten von Chef-Compliance
<a name="opscm-chefcompliance-setup"></a>

Sie können Chef Compliance auf jedem AWS OpsWorks for Chef Automate Server konfigurieren. Nachdem Sie einen AWS OpsWorks for Chef Automate -Server gestartet haben, wählen Sie Profile aus, die Sie von den Profilen auf dem Chef Automate-Dashboard aus ausführen wollen. Nachdem Sie Profile installiert haben, führen Sie `berks`-Befehle zum Hochladen des [Audit-Rezeptbuchs](https://supermarket.chef.io/cookbooks/audit) auf Ihren Chef Automate-Server aus. Durch die Installation des Audit-Kochbuchs wird auch das Gem for installiert [InSpec](https://www.inspec.io/), ein von Chef entwickeltes Open-Source-Test-Framework, mit dem Sie automatisierte Tests in jede Phase Ihrer Bereitstellungspipeline integrieren können. Für Chef Automate 1.*x* wählen Sie Version 5.0.1 oder höher des Audit-Rezeptbuchs aus. Das InSpec Gem muss Version 1.24.0 oder höher sein.

Das AWS OpsWorks for Chef Automate Starterkit enthält ein Wrapper-Kochbuch`opsworks-audit`, das die richtige Version des Kochbuches von Chef's Audit für Sie herunterlädt und installiert. Das `opsworks-audit` Kochbuch weist den `chef-client` Agenten außerdem an, Knoten anhand des **DevSecSSH-Baseline-Profils** zu bewerten, das Sie später in diesem Thema über die Compliance-Konsole von Chef installieren. Sie können Compliance unter Verwendung eines beliebigen Rezeptbuchs nach Ihren Anforderungen einrichten. Die Anweisungen in diesem Abschnitt verdeutlichen, wie Sie das `opsworks-audit`-Rezeptbuch implementieren.<a name="compliance-installprof"></a>

**So installieren Sie Compliance-Profile**

1. [Melden Sie sich beim web-basierten Dashboard von Chef Automate an](opscm-chef-dashboard.md), falls Sie dies noch nicht getan haben. Verwenden Sie bei der Erstellung Ihres Servers die Anmeldeinformationen, die Sie beim Herunterladen des Starter Kits erhalten haben. AWS OpsWorks for Chef Automate 

1. Wählen Sie im Chef Automate-Dashboard die Registerkarte **Compliance**.  
![\[Chef Compliance-Profile\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_compliance_profiles_ca1.png)

1. Wählen Sie in der linken Navigationsleiste **Profile Store (Profilspeicher)** und gehen Sie auf die Registerkarte **Available (Verfügbar)**, um vordefinierte Profile anzuzeigen.

1. Durchsuchen Sie die Liste der Profile. Wählen Sie ein Profil, das mit dem Betriebssystem und der Konfiguration von mindestens einem Ihrer verwalteten Knoten übereinstimmt. Um Details über das Profil anzuzeigen, einschließlich einer Beschreibung der Verletzungen, auf die das Profil ausgelegt ist, und des zugrunde liegenden Regelcodes, wählen Sie **>** rechts neben dem Profileintrag. Sie können mehrere Profile auswählen.  
![\[Chef Compliance-Profil – Detailansicht\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_compliance_rule_ca1.png)

1. Um die ausgewählten Profile auf Ihrem Chef Automate-Server zu installieren, wählen Sie **Get (Abrufen)**.

1. Wenn der Download abgeschlossen ist, gehen Sie zum nächsten Verfahren über.<a name="opscm-compliance-setup-cookbook"></a>

**So installieren Sie das `opsworks-audit`-Rezeptbuch und richten es ein**

1. Dieser Schritt ist optional, aber spart Zeit in Schritt 6, wenn Sie den Knotenausführungslisten Rezepte hinzufügen. Bearbeiten Sie die `roles/opsworks-example-role.rb`-Datei aus dem Starter Kit, das Sie bei der Erstellung Ihres AWS OpsWorks for Chef Automate -Servers heruntergeladen haben. Fügen Sie die folgende Zeilen hinzu. Die letzte Zeile ist auskommentiert, weil das Hinzufügen des `ssh-hardening`-Rezeptbuchs und des Rezepts für die Auflösung nichtkonformer Knoten nach der Ausführung Ihres Compliance-Scans optional ist.

   ```
   run_list(
        "recipe[chef-client]",
        "recipe[apache2]",
        "recipe[opsworks-audit]"
        # "recipe[ssh-hardening]"
          )
   ```

1. Verwenden Sie einen Texteditor, um die gewünschten Rezeptbücher in Ihrer Berksfile-Datei anzugeben. Ein Beispiel für eine Berksfile-Datei finden Sie im Starter Kit. In diesem Beispiel installieren wir das Chef Infra-Client(`chef-client`)-Rezeptbuch, das `apache2`-Rezeptbuch und das `opsworks-audit`-Rezeptbuch. Ihr Berksfile sollte etwa folgendermaßen aussehen.

   ```
   source 'https://supermarket.chef.io
        cookbook 'chef-client'
        cookbook 'apache2', '~> 5.0.1'
        cookbook 'opsworks-audit', path: 'cookbooks/opsworks-audit', '~> 1.0.0'
   ```

   Alle Rezeptbücher sind in der `metadata.rb`-Datei des Rezeptbuchs versioniert. Immer wenn Sie ein Rezeptbuch ändern, müssen Sie die Version des Rezeptbuchs ändern, die sich in seiner `metadata.rb` befindet.

1. Führen Sie den folgenden Befehl aus, um die Rezeptbücher in den Ordner `cookbooks` auf Ihrem lokalen oder auf Ihrem Arbeitscomputer herunterzuladen und zu installieren.

   ```
   berks vendor cookbooks
   ```

1. Führen Sie den folgenden Befehl aus, um die von Anbietern bereitgestellten Rezeptbücher auf Ihren AWS OpsWorks for Chef Automate -Server hochzuladen.

   ```
   knife upload .
   ```

1. Führen Sie den folgenden Befehl aus, um die Installation des `opsworks-audit`-Rezeptbuchs zu überprüfen, indem Sie eine Liste der Rezeptbücher anzeigen, die gegenwärtig auf dem Server verfügbar sind.

   ```
   knife cookbook list
   ```

1. Fügen Sie Ihrem Server zu verwaltende Knoten hinzu, sofern Sie dies nicht bereits getan haben. Sie können die Zuordnung von Knoten automatisieren, indem Sie die Schritte in [Fügen Sie Knoten automatisch hinzu AWS OpsWorks for Chef Automate](opscm-unattend-assoc.md) ausführen, oder Knoten einzeln hinzufügen, indem Sie die Schritte in [Fügen Sie Knoten einzeln hinzu](opscm-addnodes-individually.md) ausführen. Bearbeiten Sie die Liste Ihrer Knoten, um die in Schritt 1 spezifizierte Rolle hinzuzufügen, `opsworks-example-role`. In diesem Beispiel bearbeiten wir das `RUN_LIST`-Attribut im `userdata`-Skript, das Sie verwenden, um die Zuordnung von Knoten zu automatisieren.

   ```
   RUN_LIST="role[opsworks-example-role]"
   ```

   Wenn Sie Schritt 1 übersprungen und die Rolle nicht eingerichtet haben, fügen Sie der Ausführungsliste die Namen der einzelnen Rezepte hinzu. Speichern Sie Ihre Änderungen und folgen Sie den Schritten unter, [Schritt 3: Erstellen von Instances mit einem unbeaufsichtigten Skript für die Zuordnung](opscm-unattend-assoc.md#opscm-unattend-script) um Ihr Benutzerdatenskript auf EC2 Amazon-Instances anzuwenden.

   ```
   RUN_LIST="recipe[chef-client],recipe[apache2],recipe[opworks-audit]"
   ```

1. Nachdem Sie die Ausführungsliste für Ihre Knoten aktualisiert haben, führt der `chef-client`-Agent bei der nächsten Ausführung die von Ihnen spezifizierten Rezepte aus. Dies erfolgt standardmäßig alle 1800 Sekunden (30 Minuten). Nach der Ausführung werden Ihre Compliance-Ergebnisse auf dem Chef Automate-Dashboard angezeigt.

### Ausführen eines Compliance-Scans
<a name="opscm-chefcompliance-scan"></a>

Sie sollten die Ergebnisse des Compliance-Scans im Dashboard von Chef Automate kurz nach der ersten Ausführung des Agenten-Daemons sehen, der stattfindet, nachdem Sie Knoten-Ausführungslisten konfiguriert haben.

![\[Chef Compliance Reporting – Seitenansicht\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_compliance_reporting_ca1.png)


Wählen Sie im Chef Automate-Dashboard die Registerkarte **Compliance**. Wählen Sie im linken Navigationsbereich die Option **Reporting (Berichterstellung)** aus. Wählen Sie auf die Registerkarte **Profiles (Profile)**, dort **Scan Results (Scan-Ergebnisse)** und dann einen Knoten mit Scan-Fehlern aus, um mehr über die Regeln zu erfahren, gegen die ein Knoten verstoßen hat.

![\[Chef Compliance-Liste der fehlgeschlagenen Ergebnisse\]](http://docs.aws.amazon.com/de_de/opsworks/latest/userguide/images/opscm_compliance_results_ca1.png)


In der Regel werden fehlerhafte Scanergebnisse angezeigt, da neue Knoten noch nicht alle Regeln im **DevSec SSH-Baseline-Profil** erfüllen. **Das [DevSec Hardening Framework](https://github.com/dev-sec), ein Community-Projekt, bietet Kochbücher zur Behebung von Problemen, die gegen die Regeln im SSH-Baseline-Profil verstoßen. DevSec **

### (Optional) Auflösen nicht konformer Ergebnisse
<a name="opscm-chefcompliance-resolve"></a>

**Das Starterkit enthält ein Open-Source-Kochbuch, das Sie ausführen können`ssh-hardening`, um fehlerhafte Ergebnisse von Läufen gegen das SSH-Baseline-Profil zu korrigieren. DevSec **

**Anmerkung**  
**Das `ssh-hardening` Cookbook nimmt Änderungen an Ihren Knoten vor, um den SSH-Baseline-Regeln zu entsprechen. DevSec ** Bevor Sie dieses Kochbuch auf Produktionsknoten ausführen, überprüfen Sie die Details zum **DevSec SSH-Baseline-Profil** in der Chef Automate-Konsole, um zu verstehen, auf welche Regelverstöße das Cookbook abzielt. Sehen Sie sich die Informationen über das als Open-Source bereitgestellte [https://github.com/dev-sec/chef-ssh-hardening](https://github.com/dev-sec/chef-ssh-hardening)-Rezeptbuch an, bevor Sie es auf Produktionsknoten ausführen.

**So führen Sie das `ssh-hardening`-Rezeptbuch aus**

1. Fügen Sie das `ssh-hardening`-Rezeptbuch in einem Texteditor Ihrer Berksfile-Datei hinzu. Ihr Berksfile sollte etwa folgendermaßen aussehen.

   ```
   source 'https://supermarket.chef.io'
        cookbook 'chef-client'
        cookbook 'apache2', '~> 5.0.1'
        cookbook 'opsworks-audit', path: 'cookbooks/opsworks-audit', '~> 1.0.0' # optional
        cookbook 'ssh-hardening'
   ```

1. Führen Sie die folgenden Befehle zum Herunterladen des `ssh-hardening`-Rezeptbuchs in Ihren lokalen Rezeptbuchordner aus, und laden Sie es dann auf Ihren AWS OpsWorks for Chef Automate -Server hoch.

   ```
   berks vendor cookbooks
   knife upload .
   ```

1. Fügen Sie Ihrer Knotenausführungsliste das `ssh-hardening`-Rezept hinzu, wie in den Schritten 1 und 6 von [So installieren Sie das `opsworks-audit`-Rezeptbuch und richten es ein](#opscm-compliance-setup-cookbook) beschrieben.

   Wenn Sie die `opsworks-example-role.rb`-Datei aktualisieren, laden Sie Ihre Änderungen auf Ihren Server hoch, indem Sie den folgenden Befehl ausführen.

   ```
   knife upload .
   ```

   Wenn Sie die Ausführungsliste direkt aktualisieren, laden Sie Änderungen hoch, indem Sie den folgenden Befehl ausführen. Der Knotenname ist in der Regel die Instance-ID.

   ```
   knife node run_list add <node name> 'recipe[ssh-hardening]'
   ```

1. Da Sie das `chef-client`-Rezeptbuch verwenden, meldet sich Ihr Knoten in regelmäßigen Zeitabständen an (standardmäßig alle 30 Minuten). Beim nächsten Check-in wird das `ssh-hardening` Cookbook ausgeführt und trägt dazu bei, die Knotensicherheit zu verbessern, um die Regeln des **DevSec SSH-Baseline-Profils** zu erfüllen.

1. Warten Sie nach der ersten Ausführung des `ssh-hardening`-Rezeptbuchs 30 Minuten, bevor Sie wieder einen Compliance-Scan ausführen. Sehen Sie sich die Ergebnisse im Chef Automate-Dashboard an. Die fehlerhaften Ergebnisse, die beim ersten Durchlauf des **DevSec SSH-Baseline-Scans** aufgetreten sind, sollten behoben werden.

## Aktualisierungen der Compliance
<a name="opscm-chefcompliance-updates"></a>

Auf einem AWS OpsWorks for Chef Automate Server wird die Compliance-Funktionalität automatisch durch Ihre geplante [Systemwartung](opscm-maintenance.md) aktualisiert. Sobald aktualisierte Versionen von Chef Automate, Chef Infra Server und Chef für Ihren AWS OpsWorks for Chef Automate Server verfügbar InSpec werden, müssen Sie möglicherweise die unterstützten Versionen des Audit-Kochbuchs und des InSpec Chef-Gems, die auf Ihrem Server laufen, überprüfen und aktualisieren. Profile, die Sie bereits auf Ihrem AWS OpsWorks for Chef Automate Server installiert haben, werden im Rahmen der Wartung nicht aktualisiert.

## Community- und benutzerdefiniertes Compliance-Profile
<a name="opscm-compliance-custom"></a>

Chef umfasst derzeit fast über 100 Compliance-Scan-Profile. Sie können der Liste Community- und benutzerdefinierten Profile hinzufügen und dann basierend auf diesen Profilen Compliance-Scans ausführen, genau wie für eingebundene Profile. Community-basierte Compliance-Profile stehen über den [Chef Supermarket](https://supermarket.chef.io/tools?q=&type=compliance_profile) zur Verfügung. Benutzerdefinierte Profile sind auf Ruby basierende Programme, die einen Ordner mit Steuerelementen zur Spezifizierung Ihrer Scan-Regeln enthalten.

## Weitere Informationen finden Sie unter:
<a name="opscm-compliance-seealso"></a>
+ [Blogbeitrag zur Ankündigung von Chef Compliance](https://blog.chef.io/2017/07/05/chef-automate-release-july-2017/)
+ [Online-Schulung zu Chef Automate Compliance](https://training.chef.io/instructor-led-training/chef-automate-compliance)
+ [ InSpecChef-Webseite](https://www.inspec.io/)
+ [ InSpec Anleitungen für Köche](https://www.inspec.io/tutorials/)