8.10. 특정 기준선을 사용하여 컨테이너 또는 컨테이너 이미지의 구성 규정 준수 평가
단계에 따라 컨테이너 또는 컨테이너 이미지의 규정 준수 여부에 따라 특정 보안 기준(예: Operating System Protection Profile) 또는 PCI-DSS(Payment Card Industry Data Security Standard)와 같은 특정 보안 기준을 평가합니다.
사전 요구 사항
- openscap-utils 및 scap-security-guide 패키지가 설치되어 있습니다.
절차
- 컨테이너 또는 컨테이너 이미지의 ID를 찾습니다. 예를 들면 다음과 같습니다.
~]#docker images REPOSITORY TAG IMAGE ID CREATED SIZE registry.access.redhat.com/ubi7/ubi latest 096cae65a207 7 weeks ago 239 MB - OSPP 프로필로 컨테이너 이미지의 규정 준수를 평가하고 검사 결과를 report.html HTML 파일에 저장합니다.
~]$sudo oscap-docker 096cae65a207 xccdf eval --report report.html --profile ospp /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml설정 준수 여부를 PCI-DSS 기준으로 평가하면 096cae65a207 을 컨테이너 이미지의 ID로, ospp 값을 pci-dss 로 바꿉니다.
검증
- 선택한 브라우저의 결과를 확인합니다. 예를 들면 다음과 같습니다.
~]$firefox report.html &
참고
적용되지 않음으로 표시된 규칙은 컨테이너화된 시스템에 적용되지 않는 규칙입니다. 이러한 규칙은 베어 메탈 또는 가상화 시스템에만 적용됩니다.
추가 리소스
- 자세한 내용은
oscap-docker(8)및scap-security-guide(8)매뉴얼 페이지를 참조하십시오. file:///usr/share/doc/scap-security-guide-doc-0.1.46/디렉터리에 설치된SCAP 보안가이드 설명서입니다.
