8.10. 特定のベースラインを使用したコンテナーまたはコンテナーイメージの設定コンプライアンスの評価
以下の手順に従い、Operating System Protection Profile (OSPP) や Payment Card Industry Data Security Standard (PCI-DSS) などの特定のセキュリティーベースラインのあるコンテナーまたはコンテナーイメージのコンプライアンスを評価します。
前提条件
- openscap-utils パッケージおよび scap-security-guide パッケージがインストールされている。
手順
- コンテナーまたはコンテナーイメージの ID を取得します。以下に例を示します。
~]#docker images REPOSITORY TAG IMAGE ID CREATED SIZE registry.access.redhat.com/ubi7/ubi latest 096cae65a207 7 weeks ago 239 MB - OSPP プロファイルでコンテナーイメージのコンプライアンスを評価し、スキャン結果を report.html HTML ファイルに保存します。
~]$sudo oscap-docker 096cae65a207 xccdf eval --report report.html --profile ospp /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xmlPCI-DSS ベースラインで設定コンプライアンスを評価する場合は、096cae65a207 をコンテナーイメージの ID に、ospp の値を pci-dss に置き換えてください。
検証
- 結果をブラウザーで確認します。以下に例を示します。
~]$firefox report.html &
注記
notapplicable が付いているルールは、コンテナー化されたシステムには適用されないルールです。これらのルールは、ベアメタルシステムまたは仮想化システムにのみ適用されます。
関連情報
- 詳細は、
oscap-docker (8)およびの man ページを参照してください。scap-security-guide (8)
