6.11. 특정 기준에서 컨테이너 또는 컨테이너 이미지의 보안 준수 평가
OSP(운영 체제 보호 프로필), PCI-DSS(Payment Card Industry Data Security Standard) 및 HIPAA(Health Insurance Portability and Accountability Act)와 같은 특정 보안 기준이 있는 컨테이너 또는 컨테이너 이미지의 규정 준수를 평가할 수 있습니다.
사전 요구 사항
-
openscap-utils
및scap-security-guide
패키지가 설치되어 있습니다. - 시스템에 대한 root 액세스 권한이 있습니다.
절차
컨테이너 또는 컨테이너 이미지의 ID를 찾습니다.
-
컨테이너 ID를 찾으려면
podman ps -a
명령을 입력합니다. -
컨테이너 이미지의 ID를 찾으려면
podman images
명령을 입력합니다.
-
컨테이너 ID를 찾으려면
프로필이 있는 컨테이너 또는 컨테이너 이미지의 규정 준수를 평가하고 검사 결과를 파일에 저장합니다.
# oscap-podman <ID> xccdf eval --report <scan-report.html> --profile <profileID> /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml
교체:
-
컨테이너 또는 컨테이너 이미지의 ID가 있는 <ID>
-
oscap
이 검사 결과를 저장하는 파일 이름이 <scan-report.html
> -
<profileID
> 시스템이 준수해야 하는 프로필 ID(예:hipaa
,ospp
또는pci-dss
) 사용
-
컨테이너 또는 컨테이너 이미지의 ID가 있는 <ID>
검증
선택한 브라우저의 결과를 확인합니다. 예를 들면 다음과 같습니다.
$ firefox <scan-report.html> &
참고
notapplicable
로 표시된 규칙은 컨테이너 또는 컨테이너 이미지에는 적용되지 않고 베어 메탈 및 가상화된 시스템에만 적용됩니다.
추가 리소스
-
oscap-podman(8)
및scap-security-guide(8)
도움말 페이지. -
/usr/share/doc/scap-security-guide/
디렉터리.