検索
サポートコンソール開発者トライアルの開始お問い合わせ

3.3. コンプライアンススキャンのスケジュールとプロファイルコンプライアンスの評価 (テクノロジープレビュー)

download PDF
重要

コンプライアンススキャンのスケジュールとプロファイルコンプライアンスの評価は、テクノロジープレビュー機能です。テクノロジープレビュー機能は、Red Hat 製品のサービスレベルアグリーメント (SLA) の対象外であり、機能的に完全ではないことがあります。Red Hat では、実稼働環境での使用を推奨していません。テクノロジープレビュー機能は、最新の製品機能をいち早く提供して、開発段階で機能のテストを行いフィードバックを提供していただくことを目的としています。

Red Hat のテクノロジープレビュー機能のサポート範囲に関する詳細は、テクノロジープレビュー機能のサポート範囲 を参照してください。

Schedules ページで、運用上のニーズに合わせてコンプライアンススキャンスケジュールを作成および管理できます。同じクラスターで同じプロファイルをスキャンするスケジュールを、1 つだけ作成できます。

Coverage ページでスキャン結果を表示およびフィルタリングすることで、すべてのクラスターのコンプライアンスステータスを監視できます。

3.3.1. コンプライアンススキャンのカスタマイズと自動化

コンプライアンススキャンスケジュールを作成すると、運用要件に合わせてコンプライアンススキャンをカスタマイズおよび自動化できます。

注記

同じクラスターで同じプロファイルをスキャンするスケジュールを、1 つだけ作成できます。つまり、1 つのクラスターで同じプロファイルに対して複数のスキャンスケジュールを作成することはできません。

前提条件

  • Compliance Operator がインストールされている。

    Compliance Operator のインストール方法の詳細は、「Red Hat Advanced Cluster Security for Kubernetes での Compliance Operator の使用」を参照してください。

    注記
    • 現在、コンプライアンス機能と Compliance Operator は、インフラストラクチャーとプラットフォームのコンプライアンスのみを評価します。
    • コンプライアンス機能を使用するには、Compliance Operator が実行されている必要があります。この機能は、Amazon Elastic Kubernetes Service (EKS) では サポートされていません

手順

  1. RHACS ポータルで、Compliance Schedules をクリックします。
  2. Create scan schedule をクリックします。

  3. Create scan schedule ページで、次の情報を入力します。

    • Name: 各コンプライアンススキャンを識別するための名前を入力します。
    • Description: 各コンプライアンススキャンの理由を指定します。

    • Schedule: 必要なスケジュールに合わせてスキャンスケジュールを調整します。

      • Frequency: ドロップダウンリストから、スキャンを実行する頻度を選択します。

        次の値は、スキャンを実行する頻度に関連するものです。

        • Daily
        • Weekly
        • Monthly

      • On day(s): リストから、スキャンを実行する曜日を 1 つ以上選択します。

        次の値は、スキャンを実行する曜日に関連するものです。

        • Monday
        • Tuesday
        • Wednesday
        • Thursday
        • Friday
        • Saturday
        • Sunday
        • The first of the month

        • The middle of the month

          注記

          これらの値は、スキャンの頻度を Weekly または Monthly に指定した場合にのみ適用されます。

      • Time: hh:mm 形式でスキャンを実行する時刻の入力を開始します。表示されるリストから時刻を選択します。
  4. Next をクリックします。
  5. Clusters ページで、スキャンの対象とする 1 つ以上のクラスターを選択します。
  6. Next をクリックします。
  7. Profiles ページで、スキャンの対象とする 1 つ以上のプロファイルを選択します。
  8. Next をクリックします。

  9. オプション: 手動でトリガーするレポートのメール配信先を設定するには、次の手順を実行します。

    注記

    配信先は 1 つ以上追加できます。

    1. Add delivery destination を展開します。

    2. Delivery destination ページで、次の情報を入力します。

      • Email notifier: ドロップダウンリストからメール通知を選択します。

        オプション: 新しいメール通知機能の統合を設定するには、次の手順を実行します。

        1. Select a notifier ドロップダウンリストから、Create email notifier クリックします。

        2. Create email notifier ページで、次の情報を入力します。

          • Integration name: メール通知設定の一意の名前を入力します。この名前は、この特定のメール通知設定を識別および管理するのに役立ちます。
          • Email server: メールの送信に使用する SMTP サーバーのアドレスを指定します。
          • Username: SMTP サーバーでの認証に必要なユーザー名を入力します。これは通常、メールの送信に使用されるメールアドレスです。
          • Password: SMTP ユーザー名に関連付けられているパスワードを入力します。このパスワードは SMTP サーバーによる認証に使用されます。
          • From: このメールアドレスは通常、メールの送信者を表し、受信者に表示されます。これは任意です。
          • Sender: 送信者の名前を入力します。これは、From のメールアドレスと一緒に表示されます。この名前は、受信者がメールの送信者を識別するのに役立ちます。
          • Default recipient: 特定の受信者が指定されていない場合に通知を届けるデフォルトのメールアドレスを入力します。これにより、メールが必ず誰かに届くようになります。
          • Annotation key for recipient: アノテーションキーを指定して、特定のデプロイメントまたは namespace に関連するポリシー違反について通知する受信者を定義します。これは任意です。
          • オプション: SMTP サーバーが認証を必要としない場合は、Enable unauthenticated SMTP チェックボックスをオンにします。セキュリティー上の理由から、これは推奨されません。
          • オプション: TLS 証明書の検証を無効にする場合は、Disable TLS certificate validation (insecure) チェックボックスをオンにします。セキュリティー上の理由から、これは推奨されません。

          • オプション: Use STARTTLS (requires TLS to be disabled) フィールドで、ドロップダウンリストから SMTP サーバーへの接続を保護するための STARTTLS の種類を選択します。

            重要

            このオプションを使用するには、TLS 証明書の検証を無効にする必要があります。

            次の値は、SMTP サーバーへの接続を保護するための STARTTLS のタイプに関連するものです。

            • Disabled

              データが暗号化されません。

            • Plain

              ユーザー名とパスワードを base64 でエンコードします。

            • Login

              セキュリティーを強化するために、ユーザー名とパスワードを別々の base64 エンコード文字列として送信します。

        3. Save integration をクリックします。
      • Distribution list: レポートを受信する受信者のメールアドレスを 1 つ以上コンマで区切って入力します。

      • Email template: デフォルトのテンプレートが自動的に適用されます。

        オプション: 必要に応じてメールの件名と本文をカスタマイズするには、次の手順を実行します。

        1. 鉛筆アイコンをクリックします。

        2. Edit email template ページで、次の情報を入力します。

          • Email subject: 希望するメールの件名を入力します。この件名は受信者の受信トレイに表示されます。メールの目的を明確に示すものにしてください。
          • Email body: メールのテキストを作成します。これはメールのメインコンテンツです。テキスト、動的コンテンツ用のプレースホルダー、メッセージを効果的に伝えるために必要な書式設定を含めることができます。
        3. Apply をクリックします。
  10. Next をクリックします。
  11. スキャン設定を確認し、Save をクリックします。

検証

  1. RHACS ポータルで、Compliance Schedules をクリックします。
  2. 作成したコンプライアンススキャンを選択します。
  3. Clusters セクションで、Operator のステータスが健全であることを確認します。

  4. オプション: スキャンスケジュールを編集するには、次の手順を実行します。

    1. Actions ドロップダウンリストから、Edit scan schedule を選択します。
    2. 変更を加えます。
    3. Save をクリックします。

  5. オプション: スキャンレポートを手動で送信するには、次の手順を実行します。

    注記

    メールの配信先を設定している場合にのみ、スキャンレポートを手動で送信できます。

    • Actions ドロップダウンリストから、Send report を選択します。

      レポートの送信を要求したことを確認するメールが届きます。

関連情報

3.3.2. クラスター全体のプロファイルコンプライアンスの評価

Coverage ページを表示すると、クラスター全体のノードとプラットフォームリソースのプロファイルコンプライアンスを評価できます。

前提条件

  • Compliance Operator がインストールされている。

    Compliance Operator のインストール方法の詳細は、「Red Hat Advanced Cluster Security for Kubernetes での Compliance Operator の使用」を参照してください。

    注記
    • 現在、コンプライアンス機能と Compliance Operator は、インフラストラクチャーとプラットフォームのコンプライアンスのみを評価します。
    • コンプライアンス機能を使用するには、Compliance Operator が実行されている必要があります。この機能は、Amazon Elastic Kubernetes Service (EKS) では サポートされていません

  • コンプライアンススキャンスケジュールを作成した。

    コンプライアンススキャンスケジュールを作成する方法の詳細は、「コンプライアンススキャンのカスタマイズと自動化」を参照してください。

手順

  • RHACS ポータルで、Compliance Coverage をクリックします。

関連情報

3.3.3. Coverage ページの概要

Coverage ページを表示し、スケジュールにフィルターを適用すると、すべての結果がそれに応じてフィルタリングされます。このフィルターは、削除するまですべての Coverage ページに対して有効になります。1 つのプロファイルに基づく結果をいつでも表示できます。

トグルグループを使用して、関連するベンチマークに基づいてグループ化されたプロファイルを選択できます。チェックの合計数と合格したチェックの数をもとに、準拠率を算出してください。

Checks ビューには、プロファイルチェックがリスト表示されます。これを使用して、コンプライアンスステータスを簡単に確認して把握できます。

プロファイルチェックの情報は、次のグループに分かれています。

  • Check: プロファイルチェックの名前。
  • Controls: 各チェックに関連するさまざまなコントロールを示します。
  • Fail status: 失敗し、注意が必要なチェックを示します。
  • Pass status: 正常に合格したチェックを示します。
  • Manual status: 自動化できない組織または技術に関する知識がさらに必要なため、手動レビューが必要なチェックを示します。
  • Other status: 警告や情報ステータスなど、合格または不合格以外のステータスのチェックを示します。
  • Compliance: 全体的なコンプライアンスステータスを示します。環境が必要な標準を満たしていることを確認するのに役立ちます。

Clusters ビューには、クラスターがリスト表示されます。これを使用して、クラスターを効果的に監視および管理できます。

クラスター情報は次のグループに分かれています。

  • Cluster: クラスターの名前。
  • Last scanned: 個々のクラスターが最後にスキャンされた日時を示します。
  • Fail status: スキャンが失敗し、注意が必要なクラスターを示します。
  • Pass status: すべてのチェックに合格したクラスターを示します。
  • Manual status: 自動化できない組織または技術に関する知識がさらに必要なため、手動レビューが必要なチェックを示します。
  • Other status: 警告や情報アラートなど、合格または不合格以外のステータスのクラスターを表示します。
  • Compliance: クラスターの全体的なコンプライアンスステータスを示します。クラスターが必要な標準を満たしていることを確認するのに役立ちます。

3.3.4. クラスターの健全性の監視および分析

プロファイルチェックのステータスを表示することで、クラスターの健全性を効率的に監視および分析できます。

重要

Compliance Operator がスキャン結果を返すまで待機してください。これには数分かかる場合があります。

手順

  1. RHACS ポータルで、Compliance Coverage をクリックします。
  2. クラスターを選択して、個々のスキャンの詳細を表示します。
  3. オプション: ステータスを表示するには、Filter by keyword box にプロファイルチェックの名前を入力します。

  4. オプション: Compliance status ドロップダウンリストから、スキャンの詳細をフィルタリングするために使用する 1 つ以上のステータスを選択します。

    次の値は、スキャンの詳細をフィルタリングする方法に関連するものです。

    • Pass
    • Fail
    • Error
    • Info
    • Manual
    • 該当なし
    • Inconsistent

3.3.5. コンプライアンススキャンステータスの概要

コンプライアンススキャンのステータスを理解することで、環境全体のセキュリティー体制を管理できます。

ステータス説明

Fail

コンプライアンスチェックに失敗しました。

Pass

コンプライアンスチェックに合格しました。

Not Applicable

該当しないため、コンプライアンスチェックをスキップしました。

Info

コンプライアンスチェックでデータが収集されましたが、RHACS が合否を判断できませんでした。

Error

技術的な問題が原因でコンプライアンスチェックに失敗しました。

Manual

コンプライアンスを確保するには手動による介入が必要です。

Inconsistent

コンプライアンススキャンデータに一貫性がないため、綿密な検査と目標を絞った解決策が必要です。

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.