ホーム
製品
Red Hat Advanced Cluster Security for Kubernetes
4.4
運用
第2章 Compliance Operator の使用

第2章 Compliance Operator の使用

2.1. Red Hat Advanced Cluster Security for Kubernetes で Compliance Operator を使用する
リンクのコピー

Compliance Operator を使用して、OpenShift Container Platform クラスターでコンプライアンスのレポートと修正を行うように RHACS を設定できます。Compliance Operator の結果は、RHACS コンプライアンスダッシュボードに報告されます。

注記

Central がインストールされているクラスターと、コンプライアンスを確認する各セキュアクラスターに Compliance Operator をインストールする必要があります。

Compliance Operator は、多数の技術実装のレビューを自動化し、それらを業界標準、ベンチマーク、およびベースラインの特定の側面と比較します。

Compliance Operator は監査人ではありません。このようなさまざまな標準に対する準拠または認定を実現するには、Qualified Security Assessor (QSA)、Joint Authorization Board (JAB)、または業界で認められたその他の規制当局など、認定監査機関と協力して、環境を評価する必要があります。

Compliance Operator は、このような標準に関する一般に入手可能な情報とプラクティスに基づいて推奨事項を作成し、場合によっては修復を支援します。ただし、実際の準拠はお客様の責任となります。標準への準拠を実現するには、認定監査人と協力する必要があります。

最新の更新は、Compliance Operator リリースノートを参照してください。

2.1.1. Compliance Operator のインストール
リンクのコピー

Operator Hub を使用して Compliance Operator をインストールします。

重要

Sensor が完全に稼働した後に Compliance Operator をインストールする場合は、セキュアクラスターで Sensor を再起動する必要があります。

Sensor の再起動の詳細は、「関連情報」セクションの「セキュアクラスターでの Sensor の再起動」を参照してください。

手順

Web コンソールで、Operators OperatorHub ページに移動します。
compliance operator を Filter by keyword ボックスに入力して、Compliance Operator を検索します。
Compliance Operator を選択して、詳細ページを表示します。
Operator に関する情報を読み、Install をクリックします。

次のステップ

ScanSettingBinding オブジェクトの設定

関連情報

セキュアクラスターでの Sensor の再起動

2.1.2. セキュアクラスターでの Sensor の再起動
リンクのコピー

RHACS をインストールしてから Compliance Operator をインストールした場合は、コマンドラインインターフェイス (CLI) またはユーザーインターフェイス (UI) を使用して、セキュアクラスターで Sensor を再起動する必要があります。

手順

CLI からセンサーを再起動するには、次のコマンドを実行します。
```
oc -n stackrox delete pod -lapp=sensor
```
```
$ oc -n stackrox delete pod -lapp=sensor
```
Copy to Clipboard Toggle word wrap
UI からセンサーを再起動するには、次の手順を実行します。
1. アクティブなプロジェクトを stackrox に変更します。
2. Workloads Pods に移動します。
3. sensor- で始まる名前の Pod を見つけて、Actions Delete Pod をクリックします。

2.1.3. ScanSettingBinding オブジェクトの設定
リンクのコピー

openshift-compliance namespace で ScanSettingBinding オブジェクトを作成し、cis および cis-node プロファイルを使用してクラスターをスキャンします。

重要

コンプライアンス 2.0 機能を使用している場合は、Compliance Operator で ScanSettingBinding を作成する代わりに、RHACS を使用してコンプライアンススキャンスケジュールを作成することで、スキャンをスケジュールできます。
コンプライアンス 2.0 機能を使用してコンプライアンススキャンをスケジュールする方法の詳細は、関連情報セクションの「コンプライアンススキャンのカスタマイズと自動化」を参照してください。
この例では ocp4-cis および ocp4-cis-node プロファイルを使用しますが、OpenShift Container Platform にはその他のプロファイルもあります。詳細は、関連情報セクションの「コンプライアンスオペレーターについて」を参照してください。

重要

Compliance 2.0 はテクノロジープレビューのみの機能です。テクノロジープレビュー機能は、Red Hat 製品のサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat では、実稼働環境での使用を推奨していません。テクノロジープレビューの機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行いフィードバックを提供していただくことを目的としています。

Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲を参照してください。

手順

以下のオプションのいずれかを選択します。

CLI を使用して、YAML ファイルとオブジェクトを作成します。以下に例を示します。

次のテキストを使用して、sscan.yaml という名前のファイルを作成します。

apiVersion: compliance.openshift.io/v1alpha1
kind: ScanSettingBinding
metadata:
  name: cis-compliance
profiles:
  - name: ocp4-cis-node
    kind: Profile
    apiGroup: compliance.openshift.io/v1alpha1
  - name: ocp4-cis
    kind: Profile
    apiGroup: compliance.openshift.io/v1alpha1
settingsRef:
  name: default
  kind: ScanSetting
  apiGroup: compliance.openshift.io/v1alpha1

apiVersion: compliance.openshift.io/v1alpha1
kind: ScanSettingBinding
metadata:
  name: cis-compliance
profiles:
  - name: ocp4-cis-node
    kind: Profile
    apiGroup: compliance.openshift.io/v1alpha1
  - name: ocp4-cis
    kind: Profile
    apiGroup: compliance.openshift.io/v1alpha1
settingsRef:
  name: default
  kind: ScanSetting
  apiGroup: compliance.openshift.io/v1alpha1

Copy to Clipboard

Toggle word wrap

次のコマンドを実行して、ScanSettingBinding オブジェクトを作成します。
```
oc create -f sscan.yaml -n openshift-compliance
```
```
$ oc create -f sscan.yaml -n openshift-compliance
```
Copy to Clipboard Toggle word wrap
成功すると、次のメッセージが表示されます。
```
scansettingbinding.compliance.openshift.io/cis-compliance created
```
```
$ scansettingbinding.compliance.openshift.io/cis-compliance created
```
Copy to Clipboard Toggle word wrap

Web コンソールを使用して、次の手順を実行してオブジェクトを作成します。
1. アクティブなプロジェクトを openshift-compliance に変更します。
2. + をクリックして、Import YAML ページを開きます。
3. 前の例の YAML を貼り付けて、Create をクリックします。

検証

RHACS でコンプライアンススキャンを実行します。
コンプライアンス 1.0 機能を使用したコンプライアンススキャンの実行の詳細は、「関連情報」セクションの「コンプライアンススキャンの実行」を参照してください。
ocp4-cis および ocp4-cis-node の結果が表示されていることを確認します。

関連情報

トップに戻る

第2章 Compliance Operator の使用

2.1. Red Hat Advanced Cluster Security for Kubernetes で Compliance Operator を使用する
リンクのコピー

2.1.1. Compliance Operator のインストール
リンクのコピー

2.1.2. セキュアクラスターでの Sensor の再起動
リンクのコピー

2.1.3. ScanSettingBinding オブジェクトの設定
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第2章 Compliance Operator の使用

2.1. Red Hat Advanced Cluster Security for Kubernetes で Compliance Operator を使用するリンクのコピーリンクがクリップボードにコピーされました!

2.1.1. Compliance Operator のインストールリンクのコピーリンクがクリップボードにコピーされました!

2.1.2. セキュアクラスターでの Sensor の再起動リンクのコピーリンクがクリップボードにコピーされました!

2.1.3. ScanSettingBinding オブジェクトの設定リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

2.1. Red Hat Advanced Cluster Security for Kubernetes で Compliance Operator を使用する
リンクのコピー

2.1.1. Compliance Operator のインストール
リンクのコピー

2.1.2. セキュアクラスターでの Sensor の再起動
リンクのコピー

2.1.3. ScanSettingBinding オブジェクトの設定
リンクのコピー