Red Hat Summit第3章 コンプライアンスの管理
3.1. コンプライアンス 1.0 機能の管理
Red Hat Advanced Cluster Security for Kubernetes を使用すると、コンテナー化されたインフラストラクチャーのコンプライアンスステータスの評価、確認、報告が可能です。以下のような業界標準に基づいて、追加設定なしでコンプライアンススキャンを実行できます。
- Docker および Kubernetesの CIS Benchmarks (インターネットセキュリティーセンター)
- HIPAA (Health Insurance Portability and Accountability Act)
- NIST Special Publication 800-190 および 800-53 (米国国立標準技術研究所)
- PCI DSS (Payment Card Industry Data Security Standard)
- OpenSCAP (Open Security Content Automation Protocol): Compliance Operator がインストールされ、RHACS に結果を提供するように設定されている場合は、OpenShift Container Platform クラスターの RHACS で使用できます。
これらの標準に基づいて環境をスキャンすることで、以下が可能になります。
- 規制コンプライアンスに関するインフラストラクチャーを評価します。
- Docker Engine および Kubernetes オーケストレーターを強化します。
- 環境の全体的なセキュリティーポジションについて理解して管理します。
- クラスター、namespace、およびノードのコンプライアンスステータスの詳細ビューを取得します。
3.1.1. コンプライアンスダッシュボードの表示
コンプライアンスダッシュボードは、環境内のすべてのクラスター、namespace、およびノードにおけるコンプライアンス標準の概要ビューを提供します。
コンプライアンスダッシュボードにはチャートが含まれており、コンプライアンスに関する潜在的な問題を調査するためのオプションを提供します。単一クラスター、namespace、またはノードのコンプライアンススキャン結果に移動できます。さらに、コンテナー化された環境内のコンプライアンスの状態に関するレポートを生成できます。
手順
- RHACS ポータルで、ナビゲーションメニューから Compliance (1.0) を選択します。
Compliance ダッシュボードを初めて開くと、空のダッシュボードが表示されます。コンプライアンススキャンを実行してダッシュボードにデータを入力する必要があります。
3.1.2. コンプライアンススキャンの実行
コンプライアンススキャンを実行すると、すべてのコンプライアンス標準においてインフラストラクチャー全体のコンプライアンスステータスがチェックされます。コンプライアンススキャンを実行すると、Red Hat Advanced Cluster Security for Kubernetes は環境のデータスナップショットを作成します。データスナップショットには、アラート、イメージ、ネットワークポリシー、デプロイメント、および関連するホストベースのデータが含まれます。Central は、クラスターで実行している Sensor からホストベースのデータを収集します。その後、Central は各コレクター Pod で実行されているコンプライアンスコンテナーからより多くのデータを収集します。コンプライアンスコンテナーは、環境に関する以下のデータを収集します。
- Docker デーモン、Docker イメージ、および Docker コンテナーの設定。
- Docker ネットワークに関する情報。
- Docker、Kubernetes、および OpenShift Container Platform のコマンドライン引数およびプロセス。
- 特定のファイルパスのパーミッション。
- コア Kubernetes および OpenShift Container Platform サービスの設定ファイル。
データ収集が完了すると、Central はデータに対するチェックを実行して結果を判別します。コンプライアンスダッシュボードから結果を表示し、結果に基づいてコンプライアンスレポートを生成することもできます。
コンプライアンススキャンでは、以下のようになります。
- コントロール は、監査人が情報システムのコンプライアンスを評価する業界または規制コンプライアンス標準の項目 1 つを表します。Red Hat Advanced Cluster Security for Kubernetes は、1 つ以上のチェックを実行して、単一のコントロールへの準拠の感度をチェックします。
- チェック は、1 つのコントロール評価中に実行される 1 回のテストです。
-
コントロールによっては、複数のチェックが関連付けられています。関連付けられたチェックのいずれかがコントロールに失敗した場合に、コントロールの状態がすべて
Failとマークされます。
手順
- RHACS ポータルに移動し、ナビゲーションメニューから Compliance (1.0) を選択してコンプライアンスダッシュボードを開きます。
オプション: デフォルトでは、すべての規格に基づく情報がコンプライアンス結果に表示されます。特定の規格の情報のみを表示するには、次の手順を実行します。
- Manage standards をクリックします。
- デフォルトでは、すべての標準が選択されます。表示したくない特定の規格のチェックボックスをオフにして、Save をクリックします。選択されていない規格は、ダッシュボード表示 (ウィジェットを含む)、ダッシュボードからアクセスされるコンプライアンス結果テーブル、および Export ボタンを使用して作成された PDF ファイルには表示されません。ただし、結果が CSV ファイルとしてエクスポートされる場合は、すべてのデフォルト標準が含まれます。
Scan environment をクリックします。
注記環境全体のスキャンが完了するまでに約 2 分かかります。この時間は、環境内のクラスターおよびノード数によって異なる可能性があります。
検証
- RHACS ポータルで、Configuration Management に移動します。
- CIS Kubernetes v1.5 ウィジェットで、Scan をクリックします。
- RHACS にコンプライアンススキャンが進行中であることを示すメッセージが表示されます。
3.1.3. コンプライアンススキャン結果の表示
コンプライアンススキャンを実行すると、コンプライアンスダッシュボードには、環境のコンプライアンスステータスとして結果が表示されます。ダッシュボードから直接コンプライアンス違反を表示し、詳細ビューをフィルタリングして、環境が特定のベンチマークに準拠しているかどうかを確認することができます。本セクションでは、コンプライアンススキャン結果を表示し、フィルターする方法を説明します。
ショートカットを使用して、クラスター、namespace、およびノードのコンプライアンスステータスを確認できます。コンプライアンスダッシュボードの上部にあるショートカットを探します。これらのショートカットをクリックすると、コンプライアンススナップショットを表示し、クラスター、namespace、またはノードの全体的なコンプライアンスに関するレポートを生成できます。
コンプライアンスのステータス
| ステータス | 説明 |
|---|---|
|
| コンプライアンスチェックに失敗しました。 |
|
| コンプライアンスチェックに合格しました。 |
|
| Red Hat Advanced Cluster Security for Kubernetes は、該当しないためチェックをスキップしました。 |
|
|
コンプライアンスチェックでデータが収集されましたが、Red Hat Advanced Cluster Security for Kubernetes は |
|
| 技術的な問題が原因でコンプライアンスチェックに失敗しました。 |
3.1.3.1. クラスターのコンプライアンスステータスの表示
コンプライアンスダッシュボードから、すべてのクラスターまたは単一のクラスターのコンプライアンスステータスを表示できます。
手順
環境内の全クラスターのコンプライアンスステータスを表示するには、以下を実行します。
- RHACS ポータルに移動し、ナビゲーションメニューから Compliance (1.0) を選択してコンプライアンスダッシュボードを開きます。
- コンプライアンスダッシュボードで Clusters をクリックします。
環境内の特定のクラスターのコンプライアンスステータスを表示するには、以下を実行します。
- RHACS ポータルに移動し、ナビゲーションメニューから Compliance (1.0) を選択してコンプライアンスダッシュボードを開きます。
- コンプライアンスダッシュボードで、Passing standards by cluster ウィジェットを探します。
- このウィジェットで、クラスター名をクリックしてコンプライアンスのステータスを表示します。
3.1.3.2. namespace のコンプライアンスステータスの表示
コンプライアンスダッシュボードから、すべての namespace または単一の namespace のコンプライアンスステータスを表示できます。
手順
環境内の全 namespace のコンプライアンスステータスを表示するには、以下を実行します。
- RHACS ポータルに移動し、ナビゲーションメニューから Compliance (1.0) を選択してコンプライアンスダッシュボードを開きます。
- コンプライアンスダッシュボードで Namespaces をクリックします。
環境内の特定の namespace のコンプライアンスステータスを表示するには、以下を実行します。
- RHACS ポータルに移動し、ナビゲーションメニューから Compliance (1.0) を選択してコンプライアンスダッシュボードを開きます。
- Namespaces をクリックし、namespace の詳細ページを開きます。
- Namespaces テーブルから、namespace をクリックします。右側にサイドパネルが開きます。
- サイドパネルで namespace の名前をクリックし、コンプライアンスのステータスを表示します。
3.1.3.3. 特定の規格のコンプライアンスステータスの表示
Red Hat Advanced Cluster Security for Kubernetes は、NIST、PCI DSS、NIST、HIPAA、Kubernetes の CIS、Docker コンプライアンス標準の CIS をサポートしています。1 つのコンプライアンス標準のコンプライアンスコントロールをすべて表示できます。
手順
- RHACS ポータルに移動し、ナビゲーションメニューから Compliance (1.0) を選択してコンプライアンスダッシュボードを開きます。
- コンプライアンスダッシュボードで、Passing standards across clusters cluster ウィジェットを探します。
- このウィジェットで、標準をクリックすると、その標準に関連するすべてのコントロールに関する情報が表示されます。
CIS Docker のコントロールの多くは、各 Kubernetes ノードの Docker エンジンの設定を参照しています。多くの CIS Docker コントロールは、コンテナーを構築して使用するためのベストプラクティスでもあり、RHACS にはそれらの使用を強制するポリシーがあります。詳細は、関連情報セクションの「セキュリティーポリシーの管理」を参照してください。
3.1.3.4. 特定のコントロールのコンプライアンスステータスの表示
選択した標準の特定コントロールのコンプライアンスステータスを表示できます。
手順
- RHACS ポータルで、Compliance (1.0) に移動します。
- コンプライアンスダッシュボードで、Passing standards by cluster ウィジェットを探します。
- このウィジェットで、標準をクリックすると、その標準に関連するすべてのコントロールに関する情報が表示されます。
- Controls テーブルから、コントロールをクリックします。右側にサイドパネルが開きます。
- サイドパネルでコントロールの名前をクリックし、その詳細を表示します。
3.1.4. コンプライアンスステータスのフィルタリング
Red Hat Advanced Cluster Security for Kubernetes 検索を使用すると、コンプライアンスダッシュボードからデータをさまざまに組み合わせて簡単にフィルタリングできます。クラスターのサブセット、業界標準、合否のコントロールに注意を向けるために、コンプライアンスダッシュボードに表示されるデータの範囲を絞り込むことができます。
手順
- RHACS ポータルに移動し、ナビゲーションメニューから Compliance (1.0) を選択してコンプライアンスダッシュボードを開きます。
- コンプライアンスダッシュボードで Clusters、Namespaces または Nodes のいずれかを選択して、詳細ページを開きます。
- 検索バーにフィルター条件を入力してから Enter キーを押します。
3.1.5. コンプライアンスレポートの生成
Red Hat Advanced Cluster Security for Kubernetes を使用すると、レポートを生成して、環境のコンプライアンスステータスを追跡できます。これらのレポートを使用して、さまざまな業界の義務でコンプライアンスステータスを他のステークホルダーに伝えることができます。
以下を生成できます。
- ビジネス要素にフォーカスし、PDF 形式のコンプライアンスステータスのチャートや要約を含む エグゼクティブレポート。
- 技術的な側面に重点が置かれ、CSV 形式の詳細情報が含まれる エビデンスレポート。
手順
- RHACS ポータルに移動し、ナビゲーションメニューから Compliance (1.0) を選択してコンプライアンスダッシュボードを開きます。
コンプライアンスダッシュボードで、Export をクリックします。
- エグゼクティブレポートを生成するには、Download page as PDF を選択します。
- エビデンスレポートを生成するには、Download Evidence as CSV を選択します。
Export オプションは、すべてのコンプライアンスページおよびフィルターされたビューに表示されます。
3.1.5.1. エビデンスレポート
Red Hat Advanced Cluster Security for Kubernetes からの包括的なコンプライアンス関連のデータは、エビデンスレポートとして CSV 形式でエクスポートできます。この証拠レポートには、コンプライアンス評価に関する詳細情報が含まれており、コンプライアンス監査人、DevOps エンジニア、セキュリティー担当者などの技術的ロールに合わせて調整されています。
エビデンスレポートには、以下の情報が含まれています。
| CSV フィールド | 説明 |
|---|---|
| Standard | CIS Kubernetes などのコンプライアンス標準。 |
| Cluster | 評価したクラスターの名前。 |
| Namespace | デプロイメントが存在する namespace またはプロジェクトの名前。 |
| Object Type |
オブジェクトの Kubernetes エンティティータイプ。たとえば、 |
| オブジェクト名 |
オブジェクトを一意に識別する Kubernetes システムによって生成された文字列であるオブジェクトの名前。例: |
| Control | コンプライアンス標準に表示されるのと同じコントロールの番号。 |
| Control Description | コントロールによって実行されるコンプライアンスチェックに関する説明。 |
| State |
コンプライアンスチェックの合否。たとえば、 |
| エビデンス | 特定のコンプライアンスチェックが失敗または合格した理由に関する説明。 |
| Assessment Time | コンプライアンススキャンを実行した時刻と日付。 |
3.1.6. サポート対象のベンチマークバージョン
Red Hat Advanced Cluster Security for Kubernetes は、以下の業界標準および規制フレームワークに対するコンプライアンスチェックをサポートします。
| ベンチマーク | サポート対象バージョン |
|---|---|
| Docker および Kubernetes の CIS Benchmarks (インターネットセキュリティーのセンター) | CIS Kubernetes v1.5.0 および CIS Docker v1.2.0 |
| HIPAA (Health Insurance Portability and Accountability Act) | HIPAA 164 |
| 米国立標準技術研究所 (NIST)、 | NIST Special Publication 800-190 and 800-53 Rev. 4 |
| PCI DSS (Payment Card Industry Data Security Standard) | PCI DSS 3.2.1 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}