第3章 Insights for RHEL コンプライアンスサービスでの SCAP セキュリティーポリシーの管理
コンプライアンスサービス UI 内のみで SCAP セキュリティポリシーを作成して管理します。新しいポリシーを定義し、関連付けるルールおよびシステムを選択し、要件の変更に合わせて既存のポリシーを編集します。
その他のほとんどの Red Hat Insights for Red Hat Insights サービスとは異なり、コンプライアンスサービスはデフォルトのスケジュールで自動的に実行されません。OpenSCAP データを Insights for Red Hat Enterprise Linux アプリケーションにアップロードするには、insights-client --compliance
をオンデマンドで、または設定したスケジュールされたジョブで実行する必要があります。
3.1. 新しい SCAP ポリシーの作成
コンプライアンスサービス UI でスキャンを実行したり、そのスキャンの結果を確認したりする前に、Insights for Red Hat Enterprise Linux に登録された各システムを 1 つ以上のセキュリティーポリシーに追加する必要があります。新しいポリシーを作成して、特定のシステムおよびルールを含めるには、以下の手順を実行します。
RHEL サーバーで RHEL のメジャーリリースを複数使用する場合は、メジャーリリースごとに個別のポリシーを作成する必要があります。たとえば、全 RHEL 7 サーバーが Standard System Security Profile for RHEL ポリシーを、全 RHEL 8 サーバーに別のポリシーを使用する場合などです。
手順
- Security > Compliance > SCAP Policies ページに移動します。
- Create new policy ボタンをクリックします。
ウィザードの Create SCAP policy ページで、ポリシーに含まれるシステムの RHEL メジャーバージョン を選択します。
- 対象の RHEL メジャーバージョンで利用可能な ポリシータイプ の中から 1 つ選択して、Next をクリックします。
- Details ページで、すでに入力されている名前および説明を使用するか、わかりやすい名前や説明を入力します。
- 必要に応じて、ビジネスの目的 (例: “CISO mandate”) を追加して、コンテキストを追加します。
- 要件に合った コンプライアンスのしきい値 を定義して、Next をクリックします。
- このポリシーに含める システム を選択し、Next をクリックします。最初の手順で RHEL メジャーバージョンを選択すると、このポリシーに追加できるシステムが自動的に決定されます。
各ポリシーで 使用するルール を選択します。RHEL のマイナーバージョンごとに特定の SCAP Security Guide (SSG) バージョン (この場合は複数) を使用できるため、RHEL マイナーバージョンごとにルールセットは若干異なり、個別に選択する必要があります。
必要に応じて、フィルタリング機能および検索機能を使用して、ルールのリストを絞り込みます。
たとえば、重大度の最も高いルールのみを表示するには、主要なフィルターのドロップダウンメニューをクリックして、Severity を選択します。2 番目のフィルターで、High および Medium のチェックボックスを選択します。
- デフォルトで表示されるルールは、SSG の対象のポリシータイプおよびバージョンに指定されたものです。デフォルトでは、フィルターボックスの横にある Selected only のトグルを有効にします。必要に応じて、このトグルを削除できます。
- 必要に応じて、各 RHEL マイナーバージョンタブ でこのプロセスを繰り返します。
- 各 Red Hat Enterprise Linux マイナーバージョンの SSG ルールを選択したら、Next をクリックします。
- Review ページで、表示される情報が正しいことを確認してから、Finish をクリックします。
- アプリにポリシーを作成する時間を与えてから、Return to application ボタンをクリックして新しいポリシーを表示します。
結果がコンプライアンスサービス UI に表示される前に、システムに移動してコンプライアンススキャンを実行する必要があります。