5.5. コンプライアンス Operator について

コンプライアンス Operator を使用すると、OpenShift Container Platform 管理者はクラスターの必要なコンプライアンス状態を記述し、存在するギャップやそれらを修復する方法についての概要を提供します。コンプライアンス Operator は、OpenShift Container Platform の Kubernetes API リソースと、クラスターを実行するノードの両方のコンプライアンスを評価します。コンプライアンス Operator は、NIST 認定ツールである OpenSCAP を使用して、コンテンツが提供するセキュリティーポリシーをスキャンし、これを適用します。

重要

コンプライアンス Operator は Red Hat Enterprise Linux CoreOS (RHCOS) デプロイメントでのみ利用できます。

5.5.1. コンプライアンス Operator のプロファイル

コンプライアンス Operator のインストールの一部として利用可能なプロファイルは複数あります。oc get コマンドを使用して、使用可能なプロファイル、プロファイルの詳細、および特定のルールを表示できます。

  • 利用可能なプロファイルを表示します。

    $ oc get -n <namespace> profiles.compliance

    次の例では、デフォルトの openshift-compliance 名前空間のプロファイルを表示します。

    $ oc get -n openshift-compliance profiles.compliance

    出力例

    NAME                 AGE
    ocp4-cis             32m
    ocp4-cis-node        32m
    ocp4-e8              32m
    ocp4-moderate        32m
    ocp4-moderate-node   32m
    ocp4-nerc-cip        32m
    ocp4-nerc-cip-node   32m
    ocp4-pci-dss         32m
    ocp4-pci-dss-node    32m
    rhcos4-e8            32m
    rhcos4-moderate      32m
    rhcos4-nerc-cip      32m

    これらのプロファイルは、複数の異なるコンプライアンスベンチマークを表します。各プロファイルには、適用先の製品名がプロファイル名の接頭辞として追加されます。ocp4-e8 は Essential 8 ベンチマークを OpenShift Container Platform 製品に適用し、rhcos4-e8 は Essential 8 ベンチマークを Red Hat Enterprise Linux CoreOS (RHCOS) 製品に適用します。

  • プロファイルの詳細を表示します。

    $ oc get -n <namespace> -oyaml profiles.compliance <profile name>

    この例では、rhcos4-e8 プロファイルの詳細を表示します。

    $ oc get -n openshift-compliance -oyaml profiles.compliance rhcos4-e8

    出力例

    apiVersion: compliance.openshift.io/v1alpha1
    description: |-
      This profile contains configuration checks for Red Hat
      Enterprise Linux CoreOS that align to the Australian
      Cyber Security Centre (ACSC) Essential Eight.
      A copy of the Essential Eight in Linux Environments guide can
      be found at the ACSC website: ...
      id: xccdf_org.ssgproject.content_profile_e8
      kind: Profile
      metadata:
        annotations:
          compliance.openshift.io/image-digest: pb-rhcos426smj
          compliance.openshift.io/product: redhat_enterprise_linux_coreos_4
          compliance.openshift.io/product-type: Node
        labels:
          compliance.openshift.io/profile-bundle: rhcos4
        name: rhcos4-e8
        namespace: openshift-compliance
        ownerReferences:
        - apiVersion: compliance.openshift.io/v1alpha1
          blockOwnerDeletion: true
          controller: true
          kind: ProfileBundle
          name: rhcos4
      rules:
      - rhcos4-accounts-no-uid-except-zero
      - rhcos4-audit-rules-dac-modification-chmod
      - rhcos4-audit-rules-dac-modification-chown
      - rhcos4-audit-rules-execution-chcon
      - rhcos4-audit-rules-execution-restorecon
      - rhcos4-audit-rules-execution-semanage
      - rhcos4-audit-rules-execution-setfiles
      - rhcos4-audit-rules-execution-setsebool
      - rhcos4-audit-rules-execution-seunshare
      - rhcos4-audit-rules-kernel-module-loading-delete
      - rhcos4-audit-rules-kernel-module-loading-finit
      - rhcos4-audit-rules-kernel-module-loading-init
      - rhcos4-audit-rules-login-events
      - rhcos4-audit-rules-login-events-faillock
      - rhcos4-audit-rules-login-events-lastlog
      - rhcos4-audit-rules-login-events-tallylog
      - rhcos4-audit-rules-networkconfig-modification
      - rhcos4-audit-rules-sysadmin-actions
      - rhcos4-audit-rules-time-adjtimex
      - rhcos4-audit-rules-time-clock-settime
      - rhcos4-audit-rules-time-settimeofday
      - rhcos4-audit-rules-time-stime
      - rhcos4-audit-rules-time-watch-localtime
      - rhcos4-audit-rules-usergroup-modification
      - rhcos4-auditd-data-retention-flush
      - rhcos4-auditd-freq
      - rhcos4-auditd-local-events
      - rhcos4-auditd-log-format
      - rhcos4-auditd-name-format
      - rhcos4-auditd-write-logs
      - rhcos4-configure-crypto-policy
      - rhcos4-configure-ssh-crypto-policy
      - rhcos4-no-empty-passwords
      - rhcos4-selinux-policytype
      - rhcos4-selinux-state
      - rhcos4-service-auditd-enabled
      - rhcos4-sshd-disable-empty-passwords
      - rhcos4-sshd-disable-gssapi-auth
      - rhcos4-sshd-disable-rhosts
      - rhcos4-sshd-disable-root-login
      - rhcos4-sshd-disable-user-known-hosts
      - rhcos4-sshd-do-not-permit-user-env
      - rhcos4-sshd-enable-strictmodes
      - rhcos4-sshd-print-last-log
      - rhcos4-sshd-set-loglevel-info
      - rhcos4-sysctl-kernel-dmesg-restrict
      - rhcos4-sysctl-kernel-kptr-restrict
      - rhcos4-sysctl-kernel-randomize-va-space
      - rhcos4-sysctl-kernel-unprivileged-bpf-disabled
      - rhcos4-sysctl-kernel-yama-ptrace-scope
      - rhcos4-sysctl-net-core-bpf-jit-harden
      title: Australian Cyber Security Centre (ACSC) Essential Eight

  • 必要なプロファイル内のルールを表示します。

    $ oc get -n <namespace> -oyaml rules.compliance <rule_name>

    この例では、rhcos4 プロファイルに rhcos4-audit-rules-login-events ルールを表示します。

    $ oc get -n openshift-compliance -oyaml rules.compliance rhcos4-audit-rules-login-events

    出力例

      apiVersion: compliance.openshift.io/v1alpha1
      checkType: Node
      description: |-
        The audit system already collects login information for all users and root. If the auditd daemon is configured to use the augenrules program to read audit rules during daemon startup (the default), add the following lines to a file with suffix.rules in the directory /etc/audit/rules.d in order to watch for attempted manual edits of files involved in storing logon events:
    
        -w /var/log/tallylog -p wa -k logins
        -w /var/run/faillock -p wa -k logins
        -w /var/log/lastlog -p wa -k logins
    
        If the auditd daemon is configured to use the auditctl utility to read audit rules during daemon startup, add the following lines to /etc/audit/audit.rules file in order to watch for unattempted manual edits of files involved in storing logon events:
    
        -w /var/log/tallylog -p wa -k logins
        -w /var/run/faillock -p wa -k logins
        -w /var/log/lastlog -p wa -k logins
      id: xccdf_org.ssgproject.content_rule_audit_rules_login_events
      kind: Rule
      metadata:
        annotations:
          compliance.openshift.io/image-digest: pb-rhcos426smj
          compliance.openshift.io/rule: audit-rules-login-events
          control.compliance.openshift.io/NIST-800-53: AU-2(d);AU-12(c);AC-6(9);CM-6(a)
          control.compliance.openshift.io/PCI-DSS: Req-10.2.3
          policies.open-cluster-management.io/controls: AU-2(d),AU-12(c),AC-6(9),CM-6(a),Req-10.2.3
          policies.open-cluster-management.io/standards: NIST-800-53,PCI-DSS
        labels:
          compliance.openshift.io/profile-bundle: rhcos4
        name: rhcos4-audit-rules-login-events
        namespace: openshift-compliance
        ownerReferences:
        - apiVersion: compliance.openshift.io/v1alpha1
          blockOwnerDeletion: true
          controller: true
          kind: ProfileBundle
          name: rhcos4
      rationale: Manual editing of these files may indicate nefarious activity, such as
        an attacker attempting to remove evidence of an intrusion.
      severity: medium
      title: Record Attempts to Alter Logon and Logout Events
      warning: Manual editing of these files may indicate nefarious activity, such as an attacker attempting to remove evidence of an intrusion.