Red Hat Summit3.3. OpenShift コンプライアンスの使用
Schedules ページで、運用上のニーズに合わせてコンプライアンススキャンスケジュールを作成および管理できます。同じクラスターで同じプロファイルをスキャンするスケジュールを、1 つだけ作成できます。
Coverage ページでスキャン結果を表示およびフィルタリングすることで、すべてのクラスターのコンプライアンスステータスを監視できます。
3.3.1. コンプライアンススキャンのカスタマイズと自動化
コンプライアンススキャンスケジュールを作成すると、運用要件に合わせてコンプライアンススキャンをカスタマイズおよび自動化できます。
同じクラスターで同じプロファイルをスキャンするスケジュールを、1 つだけ作成できます。つまり、1 つのクラスターで同じプロファイルに対して複数のスキャンスケジュールを作成することはできません。
前提条件
Compliance Operator バージョン 1.6.0 以降がインストールされている。
Compliance Operator のインストール方法の詳細は、「Red Hat Advanced Cluster Security for Kubernetes での Compliance Operator の使用」を参照してください。
注記- 現在、コンプライアンス機能と Compliance Operator は、インフラストラクチャーとプラットフォームのコンプライアンスのみを評価します。
- コンプライアンス機能を使用するには、Red Hat OpenShift クラスターで Compliance Operator を実行する必要があります。
手順
-
RHACS ポータルで、Compliance
OpenShift Schedules をクリックします。 - Create scan schedule をクリックします。
Create scan schedule ページで、次の情報を入力します。
- Name: 各コンプライアンススキャンを識別するための名前を入力します。
- Description: 各コンプライアンススキャンの理由を指定します。
Schedule: 必要なスケジュールに合わせてスキャンスケジュールを調整します。
Frequency: ドロップダウンリストから、スキャンを実行する頻度を選択します。頻度を選択しない場合は、
Dailyが自動的に選択されます。次の値は、スキャンを実行する頻度に関連するものです。
-
Daily -
Weekly -
Monthly
-
On day(s): リストから、スキャンを実行する曜日を 1 つ以上選択します。
次の値は、スキャンを実行する曜日に関連するものです。
-
Monday -
Tuesday -
Wednesday -
Thursday -
Friday -
Saturday -
Sunday -
The first of the month The middle of the month注記これらの値は、スキャンの頻度を
WeeklyまたはMonthlyに指定した場合にのみ適用されます。
-
-
Time:
hh:mm形式でスキャンを実行する時刻の入力を開始します。表示されるリストから時刻を選択します。
- Next をクリックします。
- スキャンに含める正常なクラスターを 1 つ以上選択します。
- Next をクリックします。
- スキャンに含めるプロファイルを 1 つ以上選択します。
- Next をクリックします。
オプション: 手動でトリガーするレポートのメール配信先を設定するには、次の手順を実行します。
注記配信先は 1 つ以上追加できます。
- Add delivery destination を展開します。
Delivery destination ページで、次の情報を入力します。
Email notifier: ドロップダウンリストからメール通知を選択します。
オプション: 新しいメール通知機能の統合を設定するには、次の手順を実行します。
- Select a notifier ドロップダウンリストから、Create email notifier クリックします。
Create email notifier ページで、次の情報を入力します。
- Integration name: メール通知設定の一意の名前を入力します。この名前は、この特定のメール通知設定を識別および管理するのに役立ちます。
- Email server: メールの送信に使用する SMTP サーバーのアドレスを指定します。
- Username: SMTP サーバーでの認証に必要なユーザー名を入力します。これは通常、メールの送信に使用されるメールアドレスです。
- Password: SMTP ユーザー名に関連付けられているパスワードを入力します。このパスワードは SMTP サーバーによる認証に使用されます。
- From: このメールアドレスは通常、メールの送信者を表し、受信者に表示されます。これは任意です。
- Sender: 送信者の名前を入力します。これは、From のメールアドレスと一緒に表示されます。この名前は、受信者がメールの送信者を識別するのに役立ちます。
- Default recipient: 特定の受信者が指定されていない場合に通知を届けるデフォルトのメールアドレスを入力します。これにより、メールが必ず誰かに届くようになります。
- Annotation key for recipient: アノテーションキーを指定して、特定のデプロイメントまたは namespace に関連するポリシー違反を通知する受信者を定義します。これは任意です。
- オプション: SMTP サーバーが認証を必要としない場合は、Enable unauthenticated SMTP チェックボックスをオンにします。セキュリティー上の理由から、これは推奨されません。
- オプション: TLS 証明書の検証を無効にする場合は、Disable TLS certificate validation (insecure) チェックボックスをオンにします。セキュリティー上の理由から、これは推奨されません。
オプション: Use STARTTLS (requires TLS to be disabled) フィールドで、ドロップダウンリストから SMTP サーバーへの接続を保護するための STARTTLS の種類を選択します。
重要このオプションを使用するには、TLS 証明書の検証を無効にする必要があります。
次の値は、SMTP サーバーへの接続を保護するための STARTTLS のタイプに関連するものです。
Disabledデータが暗号化されません。
Plainユーザー名とパスワードを base64 でエンコードします。
Loginセキュリティーを強化するために、ユーザー名とパスワードを別々の base64 エンコード文字列として送信します。
- Save integration をクリックします。
- Distribution list: レポートを受信する受信者のメールアドレスを 1 つ以上コンマで区切って入力します。
Email template: デフォルトのテンプレートが自動的に適用されます。
オプション: 必要に応じてメールの件名と本文をカスタマイズするには、次の手順を実行します。
- 鉛筆アイコンをクリックします。
Edit email template ページで、次の情報を入力します。
- Email subject: 希望するメールの件名を入力します。この件名は受信者の受信トレイに表示されます。メールの目的を明確に示すものにしてください。
- Email body: メールのテキストを作成します。これはメールのメインコンテンツです。テキスト、動的コンテンツ用のプレースホルダー、メッセージを効果的に伝えるために必要な書式設定を含めることができます。
- Apply をクリックします。
- Next をクリックします。
- スキャン設定を確認し、Save をクリックします。
検証
-
RHACS ポータルで、Compliance
OpenShift Schedules をクリックします。 - 作成したコンプライアンススキャンを選択します。
- Clusters セクションで、Operator のステータスが健全であることを確認します。
オプション: スキャンスケジュールを編集するには、次の手順を実行します。
- ページの右上にある Actions ドロップダウンリストから、Edit scan schedule を選択します。
- 変更を加えます。
- Save をクリックします。
オプション: スキャンレポートを手動で送信するには、次の手順を実行します。
注記- メールの配信先を設定している場合にのみ、スキャンレポートを手動で送信できます。
- コンプライアンスレポートは、Compliance Operator バージョン 1.6.0 以降を実行しているクラスターでのみ使用できます。
ページの右上にある Actions ドロップダウンリストから、Send report を選択します。
レポートの送信を要求したことを確認するメールが届きます。
オプション: スキャンレポートをダウンロードするには、次の手順を実行します。
注記コンプライアンスレポートは、Compliance Operator バージョン 1.6.0 以降を実行しているクラスターでのみ使用できます。
ページの右上にある Actions ドロップダウンリストから、Generate download を選択します。
レポート生成が開始されたことを確認するメッセージが表示されます。
- All report jobs タブをクリックします。
- オプション: View only my jobs をオンに設定します。
- 作成したレポートジョブを見つけます。
- ダウンロードが完了するまで待ってから、Ready for download をクリックします。
-
オプション: レポートジョブを削除するには、オーバーフローメニュー
をクリックしてから、Delete download を選択します。
3.3.1.1. コンプライアンススキャンスケジュールの分析
Schedules ページを表示すると、作成したコンプライアンススキャンスケジュールのさまざまな属性を分析できます。
前提条件
コンプライアンススキャンスケジュールを作成した。
コンプライアンススキャンスケジュールを作成する方法の詳細は、「コンプライアンススキャンのカスタマイズと自動化」を参照してください。
手順
-
RHACS ポータルで、Compliance
OpenShift Schedules をクリックします。 - オプション: コンプライアンススキャンスケジュールを昇順または降順で並べ替えるには、Name 列見出しを選択します。
- 作成したコンプライアンススキャンを選択します。
- オプション: クラスターの健全性情報を昇順または降順で並べ替えるには、Clusters セクションで列見出しを選択します。
オプション: 異なるユーザーから要求された 1 つ以上のジョブのステータスを表示するには、以下を実行します。
- All report jobs タブをクリックします。
- 1 つ以上のレポートジョブのステータスは、Status 列で確認できます。
オプション: All report jobs セクションの情報を再編成するには、適切な方法を選択します。
- ジョブを昇順または降順で並べ替えるには、Completed 列見出しを選択します。
レポート実行状態に基づいてフィルタリングするには、Filter by report run states ダウンリストから 1 つ以上の状態を選択します。
レポート実行状態には、次の値が関連付けられています。
-
Waiting -
Preparing -
Report ready for download -
Partial report ready for download -
Report successfully sent -
Partial report successfully sent -
Report failed to generate
-
- 自分が作成したジョブのみを表示するには、View only my jobs をオンに設定します。
オプション: レポートジョブに関連付けられたジョブの詳細を表示するには、次の手順を実行します。
- ジョブの詳細を表示するレポートジョブを見つけます。
- ジョブの詳細を表示するには、レポートジョブを展開します。
3.3.1.2. OpenShift Schedules ページの概要
OpenShift Schedules ページには、すべてのスキャンスケジュールがリスト表示され、情報が次のグループに整理されます。
- 名前
- 各スキャンスケジュールに付与される一意の識別子またはタイトルです。
- スケジュール
- スキャンの頻度とタイミングを示します。
- 最終スキャン
- そのスケジュールの最新のスキャンの日時を示します。
- クラスター
- スキャンスケジュールに含まれるクラスターをリスト表示します。
- プロファイル
- コンプライアンススキャンに適用された 1 つ以上のプロファイルを識別します。
- My last job ステータス
ジョブのステータスを表示します。
ジョブステータスには次の値が関連付けられています。
Waiting- レポートジョブはキュー内にあります。
Preparing- レポートジョブを処理中です。
Report ready for download- レポートは準備が整っており、ダウンロード可能です。
Partial report ready for download- レポートは部分的に完了しており、ダウンロードする準備が整いました。
Report successfully sent- レポートは正常にメール送信されました。
Partial report successfully sent- レポートは部分的に完了し、正常にメール送信されました。
Report failed to generate- レポートジョブに問題が発生しました。マウスをホバーするとエラーメッセージが表示されます。
なし- 最新の利用可能なジョブはありません。
コンプライアンススキャンに関連付けられた設定の詳細とレポートジョブのステータスを表示するには、作成したコンプライアンススキャンを選択します。
3.3.1.2.1. 設定詳細タブ
Configuration details タブには、重要なパラメーター、クラスターのステータス、関連付けられたプロファイル、メールの配信先などのスキャンスケジュール情報が表示されます。
パラメーターセクション
Parameters セクションでは、情報を次のグループに整理します。
- 名前
- コンプライアンススキャンの一意の識別子です。
- 説明
- コンプライアンススキャンに関する追加情報を指定します。
- スケジュール
- コンプライアンススキャンをいつ実行するかを指定します。
- 最終スキャン
- 最後に実行されたコンプライアンススキャンのタイムスタンプです。
- 最終更新日時
- コンプライアンススキャンデータが最後に変更された日時です。
クラスターセクション
Clusters セクションでは、情報を次のグループに整理します。
- Cluster
- コンプライアンススキャンに関連付けられている 1 つ以上のクラスターをリスト表示します。
- Operator のステータス
- Operator の現在の健全性または操作のステータスを示します。
Profiles セクション
Profiles セクションには、コンプライアンススキャンに関連付けられている 1 つ以上のプロファイルがリスト表示されます。
デリバリーセクション
Delivery destinations セクションでは、情報が次のグループに整理されます。
- メール通知
- レポートやアラートを配布するためにセットアップされたメール通知システムまたはツールを指定します。
- 配布リスト
- 通知またはレポートを受信する受信者をリスト表示します。
- メールテンプレート
- 通知に使用するメールの形式を指定します。デフォルトを使用することも、必要に応じてメールの件名と本文をカスタマイズすることもできます。
3.3.1.2.2. All report jobs タブ
All report jobs タブには、各レポートジョブの現在のステータスとリクエスターが表示され、完了したジョブは行の展開セクションに表示されます。
レポートジョブは次のグループに分類されます。
- Completed
- どのレポートジョブが完了したかを示します。
- ステータス
各レポートジョブの現在の状態を表示します。
レポートジョブのステータスには次の値が関連付けられています。
Waiting- レポートジョブはキュー内にあります。
Preparing- レポートジョブを処理中です。
Report ready for download- レポートは準備が整っており、ダウンロード可能です。
Partial report ready for download- レポートは部分的に完了しており、ダウンロードする準備が整いました。
Report successfully sent- レポートは正常にメール送信されました。
Partial report successfully sent- レポートは部分的に完了し、正常にメール送信されました。
Report failed to generate- レポートジョブに問題が発生しました。マウスをホバーするとエラーメッセージが表示されます。
なし- 最新の利用可能なジョブはありません。
- リクエスター
- レポートジョブを開始したユーザーまたはシステムアカウントを識別します。
3.3.2. クラスター全体のプロファイルコンプライアンスの評価
Coverage ページを表示すると、クラスター全体のノードとプラットフォームリソースのプロファイルコンプライアンスを評価できます。
前提条件
Compliance Operator バージョン 1.6.0 以降がインストールされている。
Compliance Operator のインストール方法の詳細は、「Red Hat Advanced Cluster Security for Kubernetes での Compliance Operator の使用」を参照してください。
注記- 現在、コンプライアンス機能と Compliance Operator は、インフラストラクチャーとプラットフォームのコンプライアンスのみを評価します。
- コンプライアンス機能を使用するには、Compliance Operator が実行されている必要があります。この機能は、Amazon Elastic Kubernetes Service (EKS) では サポートされていません。
コンプライアンススキャンスケジュールを作成した。
コンプライアンススキャンスケジュールを作成する方法の詳細は、「コンプライアンススキャンのカスタマイズと自動化」を参照してください。
手順
-
RHACS ポータルで、Compliance
OpenShift Coverage をクリックします。
3.3.2.1. OpenShift Coverage ページの概要
Coverage ページを表示し、スケジュールにフィルターを適用すると、すべての結果がそれに応じてフィルタリングされます。このフィルターは、削除するまですべての Coverage ページに対して有効になります。1 つのプロファイルに基づく結果をいつでも表示できます。
トグルグループを使用して、関連するベンチマークに基づいてグループ化されたプロファイルを選択できます。チェックの合計数と合格したチェックの数をもとに、準拠率を算出してください。
Coverage ページには、最後のスキャンの結果のみが表示されるようになりました。最後のスキャンが失敗した場合、Red Hat Advanced Cluster Security for Kubernetes (RHACS) は以前の結果を削除するため、このスキャンの情報は Coverage ページでは表示されません。
Checks ビューには、プロファイルチェックがリスト表示されます。これを使用して、コンプライアンスステータスを簡単に確認して把握できます。
プロファイルチェックの情報は、次のグループに分かれています。
- チェック
- プロファイルチェックの名前。
- Controls
- 各チェックに関連するさまざまなコントロールを示します。
- 不合格ステータス
- 失敗したため注意が必要なチェックが表示されます。
- パスステータス
- 正常に合格したチェックを表示します。
- 手動ステータス
- 自動化できない組織または技術に関する知識がさらに必要なため、手動レビューが必要なチェックを示します。
- その他のステータス
- 警告や情報ステータスなど、合格または不合格以外のステータスのチェックを示します。
- コンプライアンス
- 全体的なコンプライアンスステータスを示します。環境が必要な標準を満たしていることを確認するのに役立ちます。
Clusters ビューには、クラスターがリスト表示されます。これを使用して、クラスターを効果的に監視および管理できます。
クラスター情報は次のグループに分かれています。
- Cluster
- クラスターの名前。
- 最終スキャン
- 個々のクラスターが最後にスキャンされた日時を示します。
- 不合格ステータス
- スキャンが失敗し、注意が必要なクラスターを示します。
- パスステータス
- すべてのチェックに合格したクラスターを示します。
- 手動ステータス
- 自動化できない組織または技術に関する知識がさらに必要なため、手動レビューが必要なチェックを示します。
- その他のステータス
- 警告や情報アラートなど、合格または不合格以外のステータスのクラスターを表示します。
- コンプライアンス
- クラスターの全体的なコンプライアンスステータスを示します。クラスターが必要な標準を満たしていることを確認するのに役立ちます。
3.3.2.2. クラスターの健全性の監視および分析
プロファイルチェックのステータスを表示することで、クラスターの健全性を効率的に監視および分析できます。
Compliance Operator がスキャン結果を返すまで待機してください。これには数分かかる場合があります。
手順
-
RHACS ポータルで、Compliance
OpenShift Coverage をクリックします。 - クラスターを選択して、個々のスキャンの詳細を表示します。
オプション: Coverage ページで、情報を再編成するための適切な方法を選択します。
- スキャンスケジュールに基づいてスキャン結果をフィルタリングするには、ドロップダウンリストからスキャンスケジュールを選択します。特定のスキャンスケジュールを選択しない場合は、All scan schedules が自動的に選択されます。
エンティティーとその属性に基づいてスキャン結果をフィルタリングするには、次のいずれかのタスクを実行します。
重要複数のエンティティーと属性を選択するには、右矢印アイコンをクリックして別の検索条件を追加します。
- プロファイルチェックに基づいてスキャン結果をフィルタリングするには、検索バーにプロファイルチェックの名前を入力してステータスを表示します。
クラスター属性に基づいてスキャン結果をフィルタリングするには、ドロップダウンリストから Cluster を選択し、続いて属性を選択します。ステータスを表示するには、検索バーにクラスター属性の詳細を入力します。
クラスターの属性には、次の値が関連付けられています。
-
ID -
名前 -
ラベル -
タイプ -
Platform Type
-
オプション: Compliance status ドロップダウンリストから、スキャンの詳細をフィルタリングするために使用する 1 つ以上のステータスを選択します。
次の値は、スキャンの詳細をフィルタリングする方法に関連するものです。
-
Pass -
Fail -
Error -
Info -
Manual -
Not Applicable -
Inconsistent
-
3.3.2.3. コンプライアンススキャンステータスの概要
コンプライアンススキャンのステータスを理解することで、環境全体のセキュリティー体制を管理できます。
| ステータス | 説明 |
|---|---|
|
| コンプライアンスチェックに失敗しました。 |
|
| コンプライアンスチェックに合格しました。 |
|
| 該当しないため、コンプライアンスチェックをスキップしました。 |
|
| コンプライアンスチェックでデータが収集されましたが、RHACS が合否を判断できませんでした。 |
|
| 技術的な問題が原因でコンプライアンスチェックに失敗しました。 |
|
| コンプライアンスを確保するには手動による介入が必要です。 |
|
| コンプライアンススキャンデータに一貫性がないため、綿密な検査と目標を絞った解決策が必要です。 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}