Red Hat Training

A Red Hat training course is available for Red Hat Satellite

Capitolo 6. OpenSCAP

SCAP è una soluzione per il controllo della conformità standardizzata per una infrastruttura Linux di livello enterprise. Rappresenta una raccolta di specifiche gestita dalla National Institute of Standards and Technology (NIST) per la gestione della sicurezza per sistemi di tipo enterprise.
Con RHN Satellite Server 5.5, SCAP viene implementato dall'applicazione OpenSCAP. OpenSCAP è uno strumento di verifica che utilizza un Extensible Configuration Checklist Description Format (XCCDF). XCCDF è un metodo standard per esprimere il contenuto della checklist e definire le checklist di sicurezza. Può essere usato insieme ad altre specifiche come ad esempio CPE, CCE, e OVAL, per creare una checklist espressa tramite l'uso di SCAP e processata da prodotti convalidati con SCAP.

6.1. Funzioni di OpenSCAP

OpenSCAP verifica la presenza di patch usando un contenuto creato da Red Hat Security Response Team (SRT), controlla le impostazioni di configurazione per la sicurezza del sistema, esaminando i sistemi stessi per la presenza di errori usando regole basate su standard/specifiche.
Per utilizzare in modo efficiente OpenSCAP sarà necessario soddisfare due requisiti:
  • Strumento per la verifica della conformità di un sistema ad uno standard.
    RHN Satellite Server presenta un OpenSCAP integrato come funzione di verifica a partire dalla versione 5.5. È possibile programmare e visualizzare le scansioni conformi per il sistema attraverso l'interfaccia web.
  • Contenuto di SCAP
    È possibile creare un contenuto SCAP se siete a conoscenza di XCCDF o OVAL. Alternativamente è disponibile una seconda opzione. Il contenuto XCCDF viene pubblicato online nella sezione licenze della open source, il contenuto può essere personalizzato per soddisfare i propri requisiti.

    Nota

    Red Hat supporta l'uso di template per analizzare i sistemi. Tuttavia la scrittura di un contenuto personalizzato dei template non è supportato.
    Alcuni esempi di questi gruppi sono:
    • La United States Government Configuration Baseline (USGCB) per i desktop RHEL5 — Il contenuto SCAP ufficiale per desktop all'interno delle agenzie federali sviluppato dal NIST in collaborazione con Red Hat, Inc. ed il United States Department of Defense (DoD) usando OVAL.
    • Contenuto fornito dalla comunità
      • SCAP Security Guide per RHEL6 — Contenuto attivo gestito dalla comunità che acquisisce informazioni dai requisiti USGCB e dalle politiche relative; contiene i profili per desktop, server e server ftp.
      • Contenuto OpenSCAP per RHEL6 — Il pacchetto openscap-content del Canale opzionale di Red Hat Enterprise Linux 6 fornisce anche una guida del contenuto predefinito per i sistemi Red Hat Enterprise Linux 6 tramite un template.
Poichè SCAP è stato ideato per mantenere la sicurezza del sistema, gli standard usati vengono costantemente modificati per soddisfare i requisiti della comunità e degli enterprise. Le nuove specifiche sono gestite dal Ciclo di rilascio SCAP di NIST in modo da fornire un flusso di lavoro ripetibile e uniforme.