红帽全球峰会第 5 章 安全合规性管理
安全合规管理是定义安全策略的持续流程,审计是否符合这些策略并解析不合规的实例。定义了安全策略后,将执行审计来验证与策略相符。任何不合规都根据机构的配置管理策略进行管理。安全策略的范围有所不同,从特定于主机的到行业,因此对其定义需要灵活性。
安全内容自动化协议(SCAP)启用安全配置策略的定义。例如,安全策略可能会指定对于运行 Red Hat Enterprise Linux 的主机,
root 帐户不允许通过 SSH 登录。在 Satellite 6 中,由 OpenSCAP 项目提供的工具用于实施安全合规审计。有关 OpenSCAP 的更多信息,请参阅 Red Hat Enterprise Linux 7 安全指南。Satellite Web UI 支持调度合规审计,并在由 Red Hat Satellite 管理下管理的所有主机上报告。
OpenSCAP 支持以下规格:
- XCCDF:可扩展配置清单描述格式(版本 1.2)
- OVAL:开放式漏洞和评估语言(版本 5.11)
- 资产识别(版本 1.1)
- ARF:资产报告格式(版本 1.1)
- CCE: Common Configuration Enumeration (版本 5.0)
- cpe: Common Platform Enumeration (版本 2.3)
- CVE: 常见漏洞和风险
- CVSS:常见漏洞评分系统(版本 2.0)
5.1. 什么是 SCAP
5.1.1. SCAP 内容
SCAP 内容是一个数据流格式,其中包含要检查主机的配置和安全基准。检查清单在 可扩展清单配置描述格式 (XCCDF)和漏洞中以开放漏洞和评估语言(OVAL)中进行描述。检查项目,也称为 规则 来表达系统项目所需的配置。例如,您可以指定没有人可以使用
root 用户帐户通过 SSH 登录到主机。规则可以分组到一个或多个 配置文件中,允许多个配置文件共享规则。SCAP 内容由规则和配置文件组成。
您可以创建 SCAP 内容,或者从供应商获取它。在 scap-security-guide 软件包中为 Red Hat Enterprise Linux 提供了支持的配置集。创建 SCAP 内容超出了本指南的范围,但请查看 Red Hat Enterprise Linux 7 安全指南 或 Red Hat Enterprise Linux 6 安全指南 以了解有关如何下载、部署、修改和创建自己的内容的信息。Red Hat Enterprise Linux 提供的 SCAP 内容符合 SCAP 规格 1.2。
Satellite 6 的 OpenSCAP 组件提供的默认 SCAP 内容取决于 Red Hat Enterprise Linux 的版本:
- 在 Red Hat Enterprise Linux 6 上,已安装 Red Hat Enterprise Linux 6 的内容。
- 在 Red Hat Enterprise Linux 7 中,同时安装了 Red Hat Enterprise Linux 6 和 Red Hat Enterprise Linux 7 的内容。
5.1.2. XCCDF Profile
XCCDF 配置集是评估主机或主机组的清单。通常会创建配置文件来验证是否符合标准标准,无论是行业标准还是自定义标准。
要列出所有可用的配置集,打开 Satellite Web UI,导航到
Satellite 6 提供的配置集从 OpenSCAP 项目获取。
5.1.3. 合规策略
调度的审计(也称为 合规策略 )是一个调度任务,用于检查指定的主机是否符合 XCCDF 配置集。运行扫描的调度由 Satellite 服务器指定,但扫描本身发生在主机上。扫描完成后,以 XML 格式生成 资产 报告文件(ARF)并上传到卫星服务器。您可以在合规策略仪表板中看到扫描结果。合规策略不会对扫描的主机进行任何更改。OpenSCAP 内容包含多个配置集及其关联的规则,但没有默认不包含任何策略。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}