7.7. コンプライアンスポリシーの管理
コンプライアンスポリシー は、SCAP コンテンツの特定の XCCDF プロファイルに対して、指定されたホストのコンプライアンスをチェックする定期的な監査です。
Satellite Server 上でスキャンのスケジュールを指定すると、ホスト上でスキャンが実行されます。スキャンが完了すると、ARF 形式のレポートが生成され、Satellite Server にアップロードされます。コンプライアンスポリシーがスキャンされたホストに変更を加えることはありません。
コンプライアンスポリシーは、SCAP クライアント設定と cron スケジュールを定義します。ポリシーは、ポリシーが割り当てられているホスト上に SCAP クライアントとともにデプロイされます。
7.7.1. コンプライアンスポリシー
コンプライアンスポリシー とも呼ばれる定期監査は、XCCDF プロファイルに対して指定したホストのコンプライアンスをチェックするスケジュールタスクです。スキャンのスケジュールは Satellite Server で指定され、スキャンはホストで実行されます。スキャンが完了すると、Asset Reporting File (ARF) が XML 形式で生成され、Satellite Server にアップロードされます。スキャンの結果はコンプライアンスポリシーダッシュボードで確認できます。コンプライアンスポリシーでは、スキャンされるホストに変更はなされません。SCAP コンテンツには、関連付けられたルールのあるいくつかのプロファイルが含まれますが、デフォルトではポリシーは含まれません。
7.7.2. コンプライアンスポリシーの作成
コンプライアンスポリシーを作成することで、セキュリティーコンプライアンス要件を定義および計画し、ホストがセキュリティーポリシーに準拠した状態を維持できます。
前提条件
- 選択した コンプライアンスポリシーのデプロイメント方法 に合わせて Satellite を設定している。
Satellite で、SCAP コンテンツ、最終的にはテーラリングファイルが利用可能である。
- 利用可能な SCAP コンテンツを確認するには、「利用可能な SCAP コンテンツのリスト」 を参照してください。
- SCAP コンテンツとテーラリングファイルをアップロードするには、「SCAP コンテンツの設定」 を参照してください。
-
ユーザーアカウントに
view_policies
権限とcreate_policies
権限がある。
手順
- Satellite Web UI で、Hosts > Compliance - Policies に移動します。
- New Policy または New Compliance Policy をクリックします。
- デプロイメント方法を Ansible、Puppet、または Manual から選択します。Next をクリックします。
- ポリシーの名前、説明 (省略可能) を入力してから 次へ をクリックします。
適用する SCAP Content および XCCDF Profile を選択し、Next をクリックします。
Satellite は、選択された XCCDF プロファイルにルールが含まれているかどうかを検出しないことに注意してください。
Default XCCDF Profile
などの空の XCCDF プロファイルは、空のレポートを返します。- オプション: XCCDF プロファイルをカスタマイズするには、Tailoring File と XCCDF Profile in Tailoring File を選択し、Next をクリックします。
ポリシーを適用するスケジュール時刻を指定します。Period のリストから、Weekly、Monthly、または Custom を選択します。Custom オプションを使用すると、ポリシーのスケジュールをより柔軟に行うことができます。
- Weekly を選択したら Weekday リストから曜日を選択します。
- Monthly を選択したら Day of month フィールドで日付を指定します。
- Custom を選択したら Cron line フィールドに有効な Cron 式を入力します。
- ポリシーを適用する場所を選択し、Next をクリックします。
- ポリシーを適用する組織を選択し、Next をクリックします。
- オプション: ポリシーを割り当てるホストグループを選択します。
- Submit をクリックします。
7.7.3. コンプライアンスポリシーの表示
特定の OpenSCAP コンテンツおよびプロファイルの組み合わせ別に適用されるルールをプレビューできます。これは、ポリシーを計画するときに役立ちます。
前提条件
-
ユーザーアカウントに
view_policies
権限がある。
手順
- Satellite Web UI で、Hosts > Compliance - Policies に移動します。
- 必要なポリシーの Actions 列で、Show Guide をクリックするか、リストから Show Guide を選択します。
7.7.4. コンプライアンスポリシーの編集
Satellite Web UI では、コンプライアンスポリシーを編集できます。
Puppet エージェントが、次回の実行時に、編集されたポリシーをホストに適用します。これはデフォルトで 30 分ごとに実行されます。Ansible を使用する場合は、Ansible ロールを手動で再度実行するか、ホスト上で Ansible ロールを実行する定期的なリモート実行ジョブを設定する必要があります。
前提条件
-
ユーザーアカウントに
view_policies
権限とedit_policies
権限がある。
手順
- Satellite Web UI で、Hosts > Compliance - Policies に移動します。
- 必要なポリシーの名前をクリックします。
- 必要な属性を編集します。
- Submit をクリックします。
7.7.5. コンプライアンスポリシーの削除
Satellite Web UI では、既存のコンプライアンスポリシーを削除できます。
前提条件
-
ユーザーアカウントに
view_policies
権限とdestroy_policies
権限がある。
手順
- Satellite Web UI で、Hosts > Compliance - Policies に移動します。
- 必要なポリシーの Actions 列で、リストから Delete を選択します。
- 確認メッセージで OK をクリックします。