stevefulme1/cisco-hypershield

# Ansible 集合：stevefulme1.cisco_hypershield 用于 Cisco Hypershield 分布式安全平台的 Ansible 集合。提供全面的自动化功能，涵盖 Tesseract 代理管理、微分段策略、漏洞防护、DPU 安全卸载、可观测性、合规性报告以及事件驱动 Ansible 集成。 ## 要求 - **ansible-core** >= 2.16.0 - **Python** >= 3.10 - 部署了可访问 **安全云控制** 的 **Cisco Hypershield** API ## 安装 ``` ansible-galaxy collection install stevefulme1.cisco_hypershield ``` 或从源码安装： ``` ansible-galaxy collection install git+https://github.com/stevefulme1/cisco-hypershield.git ``` ## 认证 所有模块均需连接到 Hypershield 安全云控制 API： ``` - name: Example with auth parameters stevefulme1.cisco_hypershield.hypershield_agent_info: api_url: "https://hypershield.example.com/api/v1" api_key: "{{ vault_hypershield_api_key }}" ``` 或设置环境变量： ``` export HYPERSHIELD_API_URL="https://hypershield.example.com/api/v1" export HYPERSHIELD_API_KEY="your-api-key" ``` ## 模块 ### 代理管理 | 模块 | 描述 | |--------|-------------| | `hypershield_agent` | 部署、配置和管理 Tesseract 安全代理 | | `hypershield_agent_info` | 查询整个代理集群的状态、版本和运行状况 | | `hypershield_agent_upgrade` | 通过置信度评分协调代理升级 | | `hypershield_agent_group` | 管理用于策略定向的代理组 | | `hypershield_agent_group_info` | 查询代理组成员资格和配置 | | `hypershield_agent_label` | 管理代理上的标签 | | `hypershield_agent_health_check` | 运行健康检查并返回诊断信息 | | `hypershield_agent_registration` | 向管理平面注册或注销代理 | | `hypershield_dpu_config` | 配置 NVIDIA BlueField DPU 安全卸载功能 | | `hypershield_dpu_info` | 查询 DPU 状态、固件和卸载配置 | ### 策略管理 | 模块 | 描述 | |--------|-------------| | `hypershield_microsegmentation_policy` | 微分段策略的增删改查操作 | | `hypershield_microsegmentation_policy_info` | 查询微分段策略状态 | | `hypershield_zone_policy` | 管理基于区域的防火墙策略 | | `hypershield_zone_policy_info` | 查询区域策略及成员资格 | | `hypershield_exploit_protection` | 配置分布式漏洞防护规则 | | `hypershield_exploit_protection_info` | 查询漏洞防护覆盖范围 | | `hypershield_policy_recommendation` | 获取 AI 推荐的策略 | | `hypershield_policy_recommendation_info` | 查询推荐历史记录 | | `hypershield_network_rule` | 管理 L3/L4 网络访问规则 | | `hypershield_network_rule_info` | 查询网络规则 | ### 更新管理 | 模块 | 描述 | |--------|-------------| | `hypershield_update` | 管理自我验证的安全更新 | | `hypershield_update_info` | 查询更新活动状态和历史记录 | | `hypershield_dual_dataplane` | 为更新测试配置影子数据平面 | | `hypershield_update_confidence` | 查询部署置信度评分 | | `hypershield_update_promote` | 将更新从影子环境提升至生产环境 | ### 可观测性与 Day-2 运维 | 模块 | 描述 | |--------|-------------| | `hypershield_telemetry` | 配置遥测数据收集与导出 | | `hypershield_telemetry_info` | 查询遥测管道状态 | | `hypershield_splunk_integration` | 设置 Splunk 遥测数据关联 | | `hypershield_threat_info` | 查询检测到的威胁和安全事件 | | `hypershield_compliance_report` | 生成合规性报告（CIS, NIST, PCI-DSS） | | `hypershield_backup` | 备份与恢复配置 | | `hypershield_audit_log_info` | 查询配置变更的审计日志 | ## 角色 | 角色 | 描述 | |------|-------------| | `deploy_agent` | 在整个集群中进行端到端的 Tesseract 代理部署 | | `dpu_setup` | NVIDIA BlueField DPU 安全配置 | | `baseline_policy` | 应用基线微分段和区域策略 | | `upgrade` | 通过双数据平面协调的代理升级 | | `observability` | 完整的遥测与监控设置 | ## 插件 ### EDA 事件源 | 插件 | 描述 | |--------|-------------| | `hypershield_events` | 为事件驱动 Ansible 流式传输 Hypershield 安全事件 | ### EDA 事件过滤器 | 插件 | 描述 | |--------|-------------| | `severity_filter` | 按严重性阈值过滤事件 | ### 过滤器插件 | 插件 | 描述 | |--------|-------------| | `parse_cve` | 从漏洞防护数据中解析 CVE 标识符 | | `policy_diff` | 比较两个策略状态并返回差异 | ### 清单插件 | 插件 | 描述 | |--------|-------------| | `hypershield_inventory` | 来自 Hypershield 代理集群的动态清单 | ## 事件驱动 Ansible 集成 该集合包含用于实时安全响应的 EDA 事件源： ``` - name: Respond to critical threats hosts: localhost sources: - stevefulme1.cisco_hypershield.hypershield_events: api_url: "{{ hypershield_api_url }}" api_key: "{{ hypershield_api_key }}" severity_filter: critical rules: - name: Auto-shield critical CVEs condition: event.threat.severity == "critical" action: run_playbook: name: remediate_threat.yml ``` ## 示例 ### 在整个数据中心部署代理 ``` - name: Deploy Hypershield agents hosts: datacenter roles: - role: stevefulme1.cisco_hypershield.deploy_agent vars: hypershield_api_url: "{{ vault_api_url }}" hypershield_api_key: "{{ vault_api_key }}" agent_enforcement_mode: observe ``` ### 应用微分段策略 ``` - name: Apply zero-trust microsegmentation stevefulme1.cisco_hypershield.hypershield_microsegmentation_policy: api_url: "{{ hypershield_api_url }}" api_key: "{{ hypershield_api_key }}" name: "web-tier-isolation" description: "Isolate web tier from database tier" rules: - action: allow source_zone: web destination_zone: app protocols: [tcp] ports: [8080, 8443] - action: deny source_zone: web destination_zone: database enforcement_mode: enforce state: present ``` ### 紧急 CVE 防护 ``` - name: Deploy exploit protection for critical CVE stevefulme1.cisco_hypershield.hypershield_exploit_protection: api_url: "{{ hypershield_api_url }}" api_key: "{{ hypershield_api_key }}" cve_id: "CVE-2024-21762" action: block scope: all_agents state: present ``` ## 许可证 GPL-3.0-or-later ## 作者 Steve Fulmer (sfulmer@redhat.com)

标签：Ansible, API集成, Cisco Hypershield, DPU, Tesseract代理, 事件驱动, 健康检查, 可观测性, 合规性报告, 微分段, 漏洞防护, 系统提示词, 网络安全, 逆向工具, 隐私保护