2.9. crypto_policies RHEL システムロールを使用した FUTURE 暗号化ポリシーによるセキュリティーの強化
crypto_policies
RHEL システムロールを使用して、管理対象ノードで FUTURE
ポリシーを設定できます。このポリシーは、たとえば次のことを実現するのに役立ちます。
- 将来を見据えた、新たな脅威に対する備え
- 計算能力の向上を見越して対策を講じます。
- セキュリティー強化
- より強力な暗号化規格では、より長い鍵長とよりセキュアなアルゴリズムが必要になります。
- 高度なセキュリティー基準への準拠
- 医療、通信、金融などの一部の業界では、データの機密性が高く、強力な暗号化の利用が不可欠です。
通常、FUTURE
は、機密性の高いデータを扱う環境、将来の規制に備える環境、長期的なセキュリティーストラテジーを採用する環境に適しています。
レガシーのシステムやソフトウェアでは、FUTURE
ポリシーによって強制される、より新しく厳格なアルゴリズムとプロトコルをサポートする必要はありません。たとえば、古いシステムでは TLS 1.3 以上の鍵サイズがサポートされていない可能性があります。これにより互換性の問題が発生する可能性があります。
また、強力なアルゴリズムを使用すると、通常、計算負荷が増加し、システムのパフォーマンスに悪影響が及ぶ可能性があります。
前提条件
- コントロールノードと管理対象ノードの準備が完了している。
- 管理対象ノードで Playbook を実行できるユーザーとしてコントロールノードにログインしている。
-
管理対象ノードへの接続に使用するアカウントに、そのノードに対する
sudo
権限がある。
手順
次の内容を含む Playbook ファイル (例:
~/playbook.yml
) を作成します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow サンプル Playbook で指定されている設定は次のとおりです。
crypto_policies_policy: FUTURE
-
管理対象ノードで必要な暗号化ポリシー (
FUTURE
) を設定します。これは、基本ポリシー、またはいくつかのサブポリシーを含む基本ポリシーのどちらかです。指定した基本ポリシーとサブポリシーが、管理対象ノードで使用可能である必要があります。デフォルト値はnull
です。つまり、設定は変更されず、crypto_policies
RHEL システムロールは Ansible ファクトのみを収集します。 crypto_policies_reboot_ok: true
-
すべてのサービスとアプリケーションが新しい設定ファイルを読み取るように、暗号化ポリシーの変更後にシステムを再起動します。デフォルト値は
false
です。
ロール変数と暗号化設定オプションの詳細は、
/usr/share/ansible/roles/rhel-system-roles.crypto_policies/README.md
ファイルと、コントロールノードのupdate-crypto-policies(8)
およびcrypto-policies(7)
man ページを参照してください。Playbook の構文を検証します。
ansible-playbook --syntax-check ~/playbook.yml
$ ansible-playbook --syntax-check ~/playbook.yml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow このコマンドは構文を検証するだけであり、有効だが不適切な設定から保護するものではないことに注意してください。
Playbook を実行します。
ansible-playbook ~/playbook.yml
$ ansible-playbook ~/playbook.yml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
検証
コントロールノードで、たとえば
verify_playbook.yml
という名前の別の Playbook を作成します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow サンプル Playbook で指定されている設定は次のとおりです。
crypto_policies_active
-
crypto_policies_policy
変数で受け入れられる形式の現在アクティブなポリシー名が含まれているエクスポートされた Ansible ファクト。
Playbook の構文を検証します。
ansible-playbook --syntax-check ~/verify_playbook.yml
$ ansible-playbook --syntax-check ~/verify_playbook.yml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Playbook を実行します。
ansible-playbook ~/verify_playbook.yml
$ ansible-playbook ~/verify_playbook.yml TASK [debug] ************************** ok: [host] => { "crypto_policies_active": "FUTURE" }
Copy to Clipboard Copied! Toggle word wrap Toggle overflow crypto_policies_active
変数は、管理対象ノード上のアクティブなポリシーを示します。