付録E Red Hat Virtualization のセキュリティー保護
このトピックには、Red Hat Virtualization のセキュリティー保護に関する限定的な情報が記載されています。この情報は今後増えていく予定です。
この情報は Red Hat Virtualization に特化したものです。以下に関連する基本のセキュリティープラクティスは対象としていません。
- 不要なサービスの無効化
- 認証
- 認可
- アカウンティング
- RHV 以外のサービスの侵入テストおよび耐性
- 機密アプリケーションデータの暗号化
前提条件
- お客様は所属する組織のセキュリティー標準およびプラクティスを熟知している必要があります。可能な場合は、所属する組織のセキュリティー担当者にお問い合わせください。
- RHEL ホストをデプロイする前に セキュリティーガイド を参照してください。
E.1. DISA STIG for Red Hat Linux 7
国防情報システム局 (DISA: Defense Information Systems Agency) は、さまざまなプラットフォームおよびオペレーティングシステム向けにセキュリティー技術導入ガイド (STIG: Security Technical Implementation Guide) を配布しています。
Red Hat Virtualization Host (RHVH) のインストールに際して、利用可能なセキュリティーポリシーの 1 つに DISA STIG for Red Hat Linux 7 プロファイルがあります。インストール時にこのプロファイルをセキュリティーポリシーとして有効にすると、SSH キー、SSL 証明書を再生成する必要がなくなります。有効にしない場合は、デプロイメントプロセスでホストを再生成する必要があります。
DISA STIG セキュリティーポリシーは、Red Hat が正式にテストおよび認定する唯一のセキュリティーポリシーです。
DISA STIG は、DOD IA および IA 対応デバイス/システムの設定標準です。DISA は 1998 年以降、セキュリティー技術導入ガイド (STIG: Security Technical Implementation Guide) を提供することで、国防総省 (DoD: Department of Defense) のセキュリティーシステムの Security Posture を強化する上で重大なロールを果たしてきました。STIG には、悪意あるコンピューター攻撃に対して脆弱である可能性のある情報システム/ソフトウェアを 'ロックダウン' するテクニカルガイダンスが含まれています。
これらの STIG は、米国標準技術局 (NIST: National Institute of Standards and Technology) Special Publication 800-53 (NIST SP 800-53) がまとめた要件に基づくものです。NIST SP 800-53 とは、国家安全保障に関わるもの以外のすべての米連邦政府情報システムに関するセキュリティー管理のガイドラインです。
さまざまなプロファイルの中から重複するものを判断するため、Red Hat では、Cloud Security Alliance の Cloud Controls Matrix (CCM) を参照しています。この CCM は、クラウド固有のセキュリティー制御の包括的なセットを指定し、主要な標準、ベストプラクティス、および規制の要件にそれぞれをマッピングします。
Red Hat では、セキュリティーポリシーの検証をサポートするため、RHEL や RHV を含むさまざまな Red Hat プラットフォームに OpenSCAP ツールおよびセキュリティー設定共通化手順 (SCAP: Security Content Automation Protocol) プロファイルを提供しています。
Red Hat の OpenSCAP プロジェクトは、SCAP ベースラインを評価、査定、および実施するために、管理者および監査担当者にオープンソースツールを提供します。OpenSCAP は 2014 年に、NIST の SCAP 1.2 で認証されるようになりました。
NIST は SCAP 標準を保守します。SCAP 準拠のプロファイルは、オペレーティングシステムおよびアプリケーションのセキュリティー設定に関するローレベルの詳細なガイダンスを提供します。
Red Hat は、さまざまな製品およびプラットフォームの SCAP ベースラインを以下に公開しています。
- NIST National Checklist Program (NCP): 公開されているセキュリティーチェックリスト (またはベンチマーク) の米政府のリポジトリー
- 国防総省 (DoD: Department of Defense) Cyber Exchange