6.11. 특정 기준에서 컨테이너 또는 컨테이너 이미지의 보안 준수 평가
OSP(운영 체제 보호 프로필), PCI-DSS(Payment Card Industry Data Security Standard) 및 HIPAA(Health Insurance Portability and Accountability Act)와 같은 특정 보안 기준이 있는 컨테이너 또는 컨테이너 이미지의 규정 준수를 평가할 수 있습니다.
참고
oscap-podman 명령은 RHEL 8.2에서 사용할 수 있습니다. RHEL 8.1 및 8.0의 경우 RHEL 8 Knowledgebase의 컨테이너 스캔용 OpenSCAP 사용에 설명된 해결방법을 사용하십시오.
사전 요구 사항
-
openscap-utils및scap-security-guide패키지가 설치되어 있습니다. - 시스템에 대한 root 액세스 권한이 있습니다.
절차
컨테이너 또는 컨테이너 이미지의 ID를 찾습니다.
-
컨테이너 ID를 찾으려면
podman ps -a명령을 입력합니다. -
컨테이너 이미지의 ID를 찾으려면
podman images명령을 입력합니다.
-
컨테이너 ID를 찾으려면
프로필이 있는 컨테이너 또는 컨테이너 이미지의 규정 준수를 평가하고 검사 결과를 파일에 저장합니다.
# oscap-podman <ID> xccdf eval --report <scan-report.html> --profile <profileID> /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml교체:
-
컨테이너 또는 컨테이너 이미지의 ID가 있는 <ID>
-
oscap이 검사 결과를 저장하는 파일 이름이 <scan-report.html> -
<profileID> 시스템이 준수해야 하는 프로필 ID(예:hipaa,ospp또는pci-dss) 사용
-
컨테이너 또는 컨테이너 이미지의 ID가 있는 <ID>
검증
선택한 브라우저의 결과를 확인합니다. 예를 들면 다음과 같습니다.
$ firefox <scan-report.html> &
참고
notapplicable 로 표시된 규칙은 컨테이너 또는 컨테이너 이미지에는 적용되지 않고 베어 메탈 및 가상화된 시스템에만 적용됩니다.
추가 리소스
-
oscap-podman(8)및scap-security-guide(8)도움말 페이지. -
/usr/share/doc/scap-security-guide/디렉터리.
