Red Hat 認定クラウドおよびサービスプロバイダー認定ポリシーガイド

認定クラウドおよびサービスプロバイダー (CCSP) であるパートナーは、カタログで公開するイメージを認定する必要があります。認定プロセスには一連のテストが含まれています。このテストは、すべてのクラウドプロバイダーで一貫したエクスペリエンス、最高レベルのサポートエクスペリエンス、優れたセキュリティープラクティスを、Red Hat のお客様に確実に提供するためのものです。

クラウド認定テストスイート (redhat-certification-cloud) には 3 つのテスト (supportable、configuration、security) が含まれており、それぞれに以下で説明する一連のサブテストとチェックが含まれています。3 つのクラウドテストすべてとテストスイートのセルフチェックテスト (rhcert/selfcheck) を 1 回実行したときのログを、新規認定および再認定のために Red Hat に送信する必要があります。

ほとんどのクラウド認定サブテストでは、すぐにステータス (Pass/Fail) が返されますが、一部のサブテストでは、成功を確認するために Red Hat による詳細なレビューが必要な場合があります。このようなテストには、Red Hat Certification アプリケーションで REVIEW ステータスが表示されます。

また、一部のテストでは、潜在的な問題が特定され、WARN ステータスが返される場合があります。このステータスは、ベストプラクティスに従っていないことを示します。WARN ステータスが表示されたテストは、注意や対応が必要ですが、認定の成功を妨げるものではありません。パートナーは、このようなテストの出力を確認し、警告に含まれる情報に基づいて適切な処置を行うことを推奨します。

認定プロセスでは、最新バージョンの認定ツールをインストールし、最新のワークフローを使用する必要があります。新しいバージョンの認定ツールをリリースした後も、Red Hat はリリース後 90 日間、以前のツールとワークフローをサポートします。

90 日の期間が終了すると、以前のバージョンを使用して生成されたテストログ/結果は自動的に拒否され、最新のツールとワークフローを使用してテストログ/結果を再生成することが求められます。

最新バージョンの認定ツールとワークフローは、Red Hat Subscription Management を通じてデフォルトで提供され、CCSP 認定ワークフローガイド に記載されています。

認定は、以下の RHEL バージョンとアーキテクチャーでサポートされます。

ハイパーバイザーのサポートに関する情報は、Certified Guest Operating Systems in Red Hat OpenStack Platform, Red Hat Virtualization and OpenShift Virtualization を参照してください。

パススルー認定は、既存の認定済みクラウド認定のコピーと同じイメージを提供し、そのイメージを別のイメージ名で掲載する場合に使用します。

元々認定されているレギュラーまたはゴールド RHEL イメージから、パススルーのレギュラーまたはゴールド RHEL イメージを作成できます。

パススルーイメージ認定リクエストの提出に関するポリシーでは、次のことが求められます。

システムレポート (sosreport) テスト (cloud/sosreport とも呼ばれます) では、基本的な sosreport を取得します。

Red Hat では、sos というツールを使用して、RHEL システムから設定情報や診断情報を収集し、お客様が推奨された方法でシステムのトラブルシューティングを行うことを支援しています。システムレポートのサブテストでは、sos ツールがイメージ/システムで期待どおりに機能し、基本的な sosreport を取得することを確認します。

ログバージョン サブテストでは、テスト対象のホストにインストールされている RHEL バージョンとカーネルバージョンを検出できるかどうかを確認します。

カーネル サブテストでは、テスト環境で実行しているカーネルモジュールを確認します。カーネルのバージョンは、元の一般提供 (GA) バージョンと、RHEL メジャーリリースおよびマイナーリリース用にリリースされた後続のカーネル更新のどちらでも可能です。

また、カーネルサブテストでは、環境での実行時にカーネルがテイントされていないことも確認します。

カーネルモジュール サブテストでは、ロードされているカーネルモジュールが、カーネルパッケージの一部として Red Hat によってリリースされたものであるか、Red Hat Driver Update を使用して追加されたものであるかを確認します。また、カーネルモジュールサブテストでは、カーネルモジュールがテクノロジープレビューでないことも確認します。

ハードウェア正常性サブテストでは、ハードウェアがサポートされているか、要件を満たしているか、既知のハードウェアの脆弱性がないかをテストすることで、システムの正常性を確認します。このサブテストでは以下のことを行います。

これらのテストのいずれかに失敗すると、テストスイートから WARN が出力され、パートナーは、正しく意図された動作をするかどうかを検証する必要があります。

ハイパーバイザー/パーティショニングサブテストでは、RHEL イメージに表示されるホストアーキテクチャーが RHEL、CCSP プログラム、およびカーネルによってサポートされていることを確認します。現在、CCSP イメージの認定は、次の既存および今後の RHEL バージョンおよび対応するアーキテクチャーでサポートされています。

ファイルシステムレイアウトでは、イメージのタイプと最小サイズが各 RHEL リリースのガイドラインに従っていることを確認します。これにより、効果的な動作、アプリケーションの実行、お客様が使用するアップグレードのインストールに必要な、適切な量の領域がイメージに確保されます。

インストール済み RPM サブテストでは、システムにインストールされている RPM パッケージが Red Hat によってリリースされたものであり、それが変更されていないことを検証します。変更されたパッケージはリスクを引き起こす可能性があり、お客様の環境のサポート性に影響を与える可能性があります。必要に応じて Red Hat 以外のパッケージをインストールできますが、そのパッケージを製品のドキュメントに追加する必要があります。また、そのパッケージが Red Hat パッケージを変更したり、Red Hat パッケージと競合したりすることはできません。

Red Hat 以外のパッケージがインストールされている場合、Red Hat はこのテストの出力をレビューします。

ソフトウェアリポジトリーでは、関連する Red Hat リポジトリーが設定されていることを確認し、サポートされていないコンテンツが原因で重大なリスクに晒される可能性を回避するために GPG キーがすでにイメージにインポートされていることを確認します。

Red Hat は、配布ファイルの信頼性を確保するために GPG キーで署名されている (割り当てられたサブスクリプションに含まれる) Red Hat 公式ソフトウェアリポジトリーでコアソフトウェアパッケージ/コンテンツを提供します。これらのリポジトリーの一部として提供されるソフトウェアは、完全にサポートされており、お客様の実稼働環境で安定して動作します。

公開されているものの、Red Hat によってサポートされていないリポジトリー (EPEL や RHEL Supplementary および Optional など) や、Red Hat 以外のリポジトリーは、クラウド環境を有効にするために必要な場合、設定しても構いません。ただし、そのようなリポジトリーには、適切な説明と承認が必要です。

RHEL は、ハイブリッドクラウドでコンテナーを導入して使用しようとしているお客様をサポートします。

software/container テストでは、以下を検証します。

Insights サブテストは、RHEL 8 および 9 で insights-client rpm を検証します。

RHEL モジュール機能は、システムで利用可能なパッケージのコレクションです。ソフトウェアモジュールテストでは、RHEL 8 または RHEL 9 システムで利用可能なモジュールを検証します。

デフォルトのシステムロギングサービス (syslog) が、ログをイメージの /var/log/ ディレクトリーに保存するように設定されており、必要な場合に速やかに問題を解決できることを確認します。

ネットワーク設定テストでは、ファイアウォールサービスが実行されていること、ポート 22 が開いており SSHD が実行中であること、ポート 80 と 443 が開いているか閉じられていること、他のすべてのポートが閉じられていることを確認します。これにより、既知のアクセス設定を使用して、デフォルトでイメージが不正アクセスから保護されるようになります。

このテストでは、システムが RHEL のデフォルトのファイアウォールサービスと、クラウドインフラストラクチャーで提供されているファイアウォールサービスのどちらを使用しているかを確認します。クラウドインフラストラクチャーは、ユーザーが設定可能で、RHEL のデフォルトのファイアウォールサービスの使用を妨げることのないファイアウォールサービスを提供する必要があります。

これにより、お客様はイメージへの SSH アクセスが可能になり、追加の設定なしで HTTP アプリケーションを迅速にデプロイできるようになります。クラウドインフラストラクチャーの適切な運用に必要な場合は、イメージのその他のポートが開いていても構いませんが、そのようなポートはドキュメントに記載する必要があります。

このテストでは、イメージ上でポート 22、80 (オプション)、443 (オプション) が開いている場合にのみ、実行時にステータス (Pass) が表示されます。その他のポートが開いている場合、開いているポートの説明が要求されます。この説明は、成功か失敗かを確認するために、Red Hat のレビューで使用されます。

現在のシステムランレベルが 3、4、または 5 であることを確認します。このサブテストでは、イメージが必要なモード/状態で動作し、必要なすべてのシステムサービス (ネットワークなど) が実行されていることを確認します。

システムサービスでは、root ユーザーがシステム上でサービスを起動および停止できることを確認します。これにより、システム管理者権限を持つお客様が、システム上のアプリケーションおよびサービスにアクセスして操作し、管理者アクセスが必要なすべてのタスクをシームレスに実行できるようになります。また、システムサービスでは、インストールされているシステムサービスの設定された状態と実際の状態の間にギャップがないことを確認します。

必要な Red Hat サブスクリプションが設定され、利用可能で、対象のイメージ上で動作していること、および更新メカニズムが Red Hat Satellite または RHUI であることを確認します。これにより、お客様が、標準の Red Hat パッケージ更新または配信メカニズムを通じて、アプリケーションをサポートするために必要なパッケージと更新にアクセスできるようになります。

パスワード設定 テストでは、ログイン認証サービスが HUT で有効になっており、サービスが SHA512 暗号化アルゴリズムを使用していることを確認します。このテストでは、最適なセキュリティーのために、イメージが標準の SHA512 暗号化および復号化アルゴリズムを使用していることを確認します。

RHEL 8 および 9 では、authselect ユーティリティーを使用します。

イメージに含まれる Red Hat パッケージに対してリリースされた重要および重大なセキュリティーエラータがすべてインストールされていることを確認します。Red Hat は、エラータがリリースされるたびにイメージを更新して再認定することを推奨しています。このテストでは、成功か失敗かを確認するために Red Hat のレビューが必要なため、実行時にステータス (REVIEW) が表示されます。

SELinux (Security Enhanced Linux) Enforcing サブテストでは、イメージ上で SELinux が有効になっており、enforcing モードで実行されていることを確認します。

SELinux は、Linux カーネルに強制アクセス制御 (MAC) を追加するもので、Red Hat Enterprise Linux ではデフォルトで有効になっています。SELinux ポリシーは、管理者によって定義され、システム全体に適用されるもので、ユーザーの裁量では設定されません。これにより、特権エスカレーション攻撃に対する脆弱性が低減し、設定時の被害を制限できます。プロセスへのアクセスが不正に行われても、攻撃者は、そのプロセスの通常の機能と、そのプロセスがアクセスするように設定されているファイルにしかアクセスできません。