セキュリティーおよびコンプライアンス
1. OpenShift Container Platform のセキュリティーおよびコンプライアンス
Expand section "1. OpenShift Container Platform のセキュリティーおよびコンプライアンス" Collapse section "1. OpenShift Container Platform のセキュリティーおよびコンプライアンス"
2. コンテナーのセキュリティー
Expand section "2. コンテナーのセキュリティー" Collapse section "2. コンテナーのセキュリティー"
1. 2.1. コンテナーのセキュリティーについて
  Expand section "2.1. コンテナーのセキュリティーについて" Collapse section "2.1. コンテナーのセキュリティーについて"
  1. 2.1.1. コンテナーについて
  2. 2.1.2. OpenShift Container Platform について
2. 2.2. ホストおよび仮想マシンのセキュリティーについて
  Expand section "2.2. ホストおよび仮想マシンのセキュリティーについて" Collapse section "2.2. ホストおよび仮想マシンのセキュリティーについて"
3. 2.3. RHCOS のハードニング
  Expand section "2.3. RHCOS のハードニング" Collapse section "2.3. RHCOS のハードニング"
  1. 2.3.1. RHCOS でのハードニングの内容の選択
  2. 2.3.2. RHCOS のハードニング方法の選択
    
    Expand section "2.3.2. RHCOS のハードニング方法の選択" Collapse section "2.3.2. RHCOS のハードニング方法の選択"
    
    2.3.2.1. インストール前のハードニング
    
    2.3.2.2. インストール時のハードニング
    
    2.3.2.3. クラスターの実行後のハードニング
4. 2.4. コンテナーイメージの署名
  Expand section "2.4. コンテナーイメージの署名" Collapse section "2.4. コンテナーイメージの署名"
5. 2.5. コンプライアンスについて
  Expand section "2.5. コンプライアンスについて" Collapse section "2.5. コンプライアンスについて"
  1. 2.5.1. コンプライアンスおよびリスク管理について
6. 2.6. コンテナーのコンテンツのセキュリティー保護
  Expand section "2.6. コンテナーのコンテンツのセキュリティー保護" Collapse section "2.6. コンテナーのコンテンツのセキュリティー保護"
  1. 2.6.1. コンテナー内のセキュリティー
  2. 2.6.2. UBI を使用した再配布可能なイメージの作成
  3. 2.6.3. RHEL におけるセキュリティースキャン
    
    Expand section "2.6.3. RHEL におけるセキュリティースキャン" Collapse section "2.6.3. RHEL におけるセキュリティースキャン"
    
    2.6.3.1. OpenShift イメージのスキャン
  4. 2.6.4. 外部サービスの統合
    
    Expand section "2.6.4. 外部サービスの統合" Collapse section "2.6.4. 外部サービスの統合"
    
    2.6.4.1. イメージのメタデータ
    
    Expand section "2.6.4.1. イメージのメタデータ" Collapse section "2.6.4.1. イメージのメタデータ"
    
    2.6.4.1.1. アノテーションキーの例
    
    2.6.4.1.2. アノテーション値の例
    
    2.6.4.2. イメージオブジェクトのアノテーション
    
    Expand section "2.6.4.2. イメージオブジェクトのアノテーション" Collapse section "2.6.4.2. イメージオブジェクトのアノテーション"
    
    2.6.4.2.1. アノテーションが使用されている CLI コマンドの例
    
    2.6.4.3. Pod 実行の制御
    
    Expand section "2.6.4.3. Pod 実行の制御" Collapse section "2.6.4.3. Pod 実行の制御"
    
    2.6.4.3.1. アノテーションの例
    
    2.6.4.4. 統合リファレンス
    
    Expand section "2.6.4.4. 統合リファレンス" Collapse section "2.6.4.4. 統合リファレンス"
    
    2.6.4.4.1. REST API 呼び出しの例
7. 2.7. コンテナーレジストリーのセキュアな使用
  Expand section "2.7. コンテナーレジストリーのセキュアな使用" Collapse section "2.7. コンテナーレジストリーのセキュアな使用"
8. 2.8. ビルドプロセスのセキュリティー保護
  Expand section "2.8. ビルドプロセスのセキュリティー保護" Collapse section "2.8. ビルドプロセスのセキュリティー保護"
9. 2.9. コンテナーのデプロイ
  Expand section "2.9. コンテナーのデプロイ" Collapse section "2.9. コンテナーのデプロイ"
10. 2.10. コンテナープラットフォームのセキュリティー保護
  Expand section "2.10. コンテナープラットフォームのセキュリティー保護" Collapse section "2.10. コンテナープラットフォームのセキュリティー保護"
  1. 2.10.1. マルチテナンシーによるコンテナーの分離
  2. 2.10.2. 受付プラグインでのコントロールプレーンの保護
    
    Expand section "2.10.2. 受付プラグインでのコントロールプレーンの保護" Collapse section "2.10.2. 受付プラグインでのコントロールプレーンの保護"
    
    2.10.2.1. SCC (Security Context Constraints)
    
    2.10.2.2. ロールのサービスアカウントへの付与
  3. 2.10.3. 認証および認可
    
    Expand section "2.10.3. 認証および認可" Collapse section "2.10.3. 認証および認可"
    
    2.10.3.1. OAuth を使用したアクセスの制御
    
    2.10.3.2. API アクセス制御および管理
    
    2.10.3.3. Red Hat Single Sign-On
    
    2.10.3.4. セルフサービス Web コンソールのセキュリティー保護
  4. 2.10.4. プラットフォームの証明書の管理
    
    Expand section "2.10.4. プラットフォームの証明書の管理" Collapse section "2.10.4. プラットフォームの証明書の管理"
    
    2.10.4.1. カスタム証明書の設定
11. 2.11. ネットワークのセキュリティー保護
  Expand section "2.11. ネットワークのセキュリティー保護" Collapse section "2.11. ネットワークのセキュリティー保護"
12. 2.12. 割り当てられたストレージのセキュリティー保護
  Expand section "2.12. 割り当てられたストレージのセキュリティー保護" Collapse section "2.12. 割り当てられたストレージのセキュリティー保護"
13. 2.13. クラスターイベントとログの監視
  Expand section "2.13. クラスターイベントとログの監視" Collapse section "2.13. クラスターイベントとログの監視"
3. 証明書の設定
Expand section "3. 証明書の設定" Collapse section "3. 証明書の設定"
1. 3.1. デフォルトの Ingress 証明書の置き換え
  Expand section "3.1. デフォルトの Ingress 証明書の置き換え" Collapse section "3.1. デフォルトの Ingress 証明書の置き換え"
  1. 3.1.1. デフォルトの Ingress 証明書について
  2. 3.1.2. デフォルトの Ingress 証明書の置き換え
2. 3.2. API サーバー証明書の追加
  Expand section "3.2. API サーバー証明書の追加" Collapse section "3.2. API サーバー証明書の追加"
  1. 3.2.1. API サーバーの名前付き証明書の追加
3. 3.3. サービス提供証明書のシークレットによるサービストラフィックのセキュリティー保護
  Expand section "3.3. サービス提供証明書のシークレットによるサービストラフィックのセキュリティー保護" Collapse section "3.3. サービス提供証明書のシークレットによるサービストラフィックのセキュリティー保護"
4. 証明書の種類および説明
Expand section "4. 証明書の種類および説明" Collapse section "4. 証明書の種類および説明"
1. 4.1. API サーバーのユーザーによって提供される証明書
  Expand section "4.1. API サーバーのユーザーによって提供される証明書" Collapse section "4.1. API サーバーのユーザーによって提供される証明書"
2. 4.2. プロキシー証明書
  Expand section "4.2. プロキシー証明書" Collapse section "4.2. プロキシー証明書"
3. 4.3. サービス CA 証明書
  Expand section "4.3. サービス CA 証明書" Collapse section "4.3. サービス CA 証明書"
4. 4.4. ノード証明書
  Expand section "4.4. ノード証明書" Collapse section "4.4. ノード証明書"
  1. 4.4.1. 目的
  2. 4.4.2. 管理
5. 4.5. ブートストラップ証明書
  Expand section "4.5. ブートストラップ証明書" Collapse section "4.5. ブートストラップ証明書"
6. 4.6. etcd 証明書
  Expand section "4.6. etcd 証明書" Collapse section "4.6. etcd 証明書"
7. 4.7. OLM 証明書
  Expand section "4.7. OLM 証明書" Collapse section "4.7. OLM 証明書"
  1. 4.7.1. 管理
8. 4.8. デフォルト ingress のユーザーによって提供される証明書
  Expand section "4.8. デフォルト ingress のユーザーによって提供される証明書" Collapse section "4.8. デフォルト ingress のユーザーによって提供される証明書"
9. 4.9. Ingress 証明書
  Expand section "4.9. Ingress 証明書" Collapse section "4.9. Ingress 証明書"
10. 4.10. モニタリングおよび OpenShift Logging Operator コンポーネント証明書
  Expand section "4.10. モニタリングおよび OpenShift Logging Operator コンポーネント証明書" Collapse section "4.10. モニタリングおよび OpenShift Logging Operator コンポーネント証明書"
  1. 4.10.1. 有効期限
  2. 4.10.2. 管理
11. 4.11. コントロールプレーンの証明書
  Expand section "4.11. コントロールプレーンの証明書" Collapse section "4.11. コントロールプレーンの証明書"
  1. 4.11.1. 場所
  2. 4.11.2. 管理
5. コンプライアンス Operator
Expand section "5. コンプライアンス Operator" Collapse section "5. コンプライアンス Operator"
1. 5.1. Compliance Operator リリースノート
  Expand section "5.1. Compliance Operator リリースノート" Collapse section "5.1. Compliance Operator リリースノート"
  1. 5.1.1. OpenShift Compliance Operator 0.1.49
    
    Expand section "5.1.1. OpenShift Compliance Operator 0.1.49" Collapse section "5.1.1. OpenShift Compliance Operator 0.1.49"
    
    5.1.1.1. 新機能および改良された機能
    
    5.1.1.2. バグ修正
  2. 5.1.2. OpenShift Compliance Operator 0.1.48
    
    Expand section "5.1.2. OpenShift Compliance Operator 0.1.48" Collapse section "5.1.2. OpenShift Compliance Operator 0.1.48"
    
    5.1.2.1. バグ修正
  3. 5.1.3. OpenShift Compliance Operator 0.1.47
    
    Expand section "5.1.3. OpenShift Compliance Operator 0.1.47" Collapse section "5.1.3. OpenShift Compliance Operator 0.1.47"
    
    5.1.3.1. 新機能および改良された機能
    
    5.1.3.2. バグ修正
  4. 5.1.4. OpenShift Compliance Operator 0.1.44
    
    Expand section "5.1.4. OpenShift Compliance Operator 0.1.44" Collapse section "5.1.4. OpenShift Compliance Operator 0.1.44"
    
    5.1.4.1. 新機能および改良された機能
    
    5.1.4.2. テンプレートと変数の使用
    
    5.1.4.3. バグ修正
  5. 5.1.5. Compliance Operator 0.1.39 リリースノート
    
    Expand section "5.1.5. Compliance Operator 0.1.39 リリースノート" Collapse section "5.1.5. Compliance Operator 0.1.39 リリースノート"
    
    5.1.5.1. 新機能および改良された機能
  6. 5.1.6. 関連情報
2. 5.2. サポートされているコンプライアンスプロファイル
  Expand section "5.2. サポートされているコンプライアンスプロファイル" Collapse section "5.2. サポートされているコンプライアンスプロファイル"
  1. 5.2.1. コンプライアンスプロファイル
  2. 5.2.2. 関連情報
3. 5.3. コンプライアンス Operator のインストール
  Expand section "5.3. コンプライアンス Operator のインストール" Collapse section "5.3. コンプライアンス Operator のインストール"
4. 5.4. コンプライアンス Operator のスキャン
  Expand section "5.4. コンプライアンス Operator のスキャン" Collapse section "5.4. コンプライアンス Operator のスキャン"
  1. 5.4.1. コンプライアンススキャンの実行
  2. 5.4.2. ワーカーノードでの結果サーバー Pod のスケジューリング
5. 5.5. コンプライアンス Operator について
  Expand section "5.5. コンプライアンス Operator について" Collapse section "5.5. コンプライアンス Operator について"
  1. 5.5.1. コンプライアンス Operator のプロファイル
6. 5.6. コンプライアンス Operator の管理
  Expand section "5.6. コンプライアンス Operator の管理" Collapse section "5.6. コンプライアンス Operator の管理"
7. 5.7. コンプライアンス Operator の調整
  Expand section "5.7. コンプライアンス Operator の調整" Collapse section "5.7. コンプライアンス Operator の調整"
  1. 5.7.1. 調整されたプロファイルの使用
8. 5.8. コンプライアンス Operator の未加工の結果の取得
  Expand section "5.8. コンプライアンス Operator の未加工の結果の取得" Collapse section "5.8. コンプライアンス Operator の未加工の結果の取得"
  1. 5.8.1. 永続ボリュームからのコンプライアンス Operator の未加工の結果の取得
9. 5.9. コンプライアンス Operator の結果および修復の管理
  Expand section "5.9. コンプライアンス Operator の結果および修復の管理" Collapse section "5.9. コンプライアンス Operator の結果および修復の管理"
10. 5.10. 高度なコンプライアンス Operator タスクの実行
  Expand section "5.10. 高度なコンプライアンス Operator タスクの実行" Collapse section "5.10. 高度なコンプライアンス Operator タスクの実行"
  1. 5.10.1. ComplianceSuite オブジェクトおよび ComplianceScan オブジェクトの直接使用
  2. 5.10.2. 未加工の調整済みプロファイルの使用
  3. 5.10.3. 再スキャンの実行
  4. 5.10.4. 結果についてのカスタムストレージサイズの設定
    
    Expand section "5.10.4. 結果についてのカスタムストレージサイズの設定" Collapse section "5.10.4. 結果についてのカスタムストレージサイズの設定"
    
    5.10.4.1. カスタム結果ストレージ値の使用
  5. 5.10.5. スイートスキャンによって生成される修復の適用
  6. 5.10.6. 修復の自動更新
  7. 5.10.7. コンプライアンス Operator のカスタム SCC の作成
  8. 5.10.8. 関連情報
11. 5.11. コンプライアンス Operator のトラブルシューティング
  Expand section "5.11. コンプライアンス Operator のトラブルシューティング" Collapse section "5.11. コンプライアンス Operator のトラブルシューティング"
  1. 5.11.1. スキャンの仕組み
    
    Expand section "5.11.1. スキャンの仕組み" Collapse section "5.11.1. スキャンの仕組み"
    
    5.11.1.1. コンプライアンスのソース
    
    5.11.1.2. ScanSetting および ScanSettingBinding のライフサイクルおよびデバッグ
    
    5.11.1.3. ComplianceSuite カスタムリソースのライフサイクルおよびデバッグ
    
    5.11.1.4. ComplianceScan カスタムリソースのライフサイクルおよびデバッグ
    
    Expand section "5.11.1.4. ComplianceScan カスタムリソースのライフサイクルおよびデバッグ" Collapse section "5.11.1.4. ComplianceScan カスタムリソースのライフサイクルおよびデバッグ"
    
    5.11.1.4.1. Pending (保留) フェーズ
    
    5.11.1.4.2. Launching (起動) フェーズ
    
    5.11.1.4.3. Running (実行) フェーズ
    
    5.11.1.4.4. Aggregating (集計) フェーズ
    
    5.11.1.4.5. Done (終了) フェーズ
    
    5.11.1.5. ComplianceRemediation コントローラーのライフサイクルおよびデバッグ
    
    5.11.1.6. 役に立つラベル
  2. 5.11.2. サポート
12. 5.12. コンプライアンス Operator のアンインストール
  Expand section "5.12. コンプライアンス Operator のアンインストール" Collapse section "5.12. コンプライアンス Operator のアンインストール"
  1. 5.12.1. OpenShift Container Platform からの OpenShift Compliance Operator のアンインストール
13. 5.13. oc-compliance プラグインの使用
  Expand section "5.13. oc-compliance プラグインの使用" Collapse section "5.13. oc-compliance プラグインの使用"
6. File Integrity Operator
Expand section "6. File Integrity Operator" Collapse section "6. File Integrity Operator"
1. 6.1. File Integrity Operator リリースノート
  Expand section "6.1. File Integrity Operator リリースノート" Collapse section "6.1. File Integrity Operator リリースノート"
  1. 6.1.1. OpenShift File Integrity Operator 0.1.22
    
    Expand section "6.1.1. OpenShift File Integrity Operator 0.1.22" Collapse section "6.1.1. OpenShift File Integrity Operator 0.1.22"
    
    6.1.1.1. バグ修正
  2. 6.1.2. OpenShift File Integrity Operator 0.1.21
    
    Expand section "6.1.2. OpenShift File Integrity Operator 0.1.21" Collapse section "6.1.2. OpenShift File Integrity Operator 0.1.21"
    
    6.1.2.1. 新機能および改良された機能
    
    6.1.2.2. バグ修正
  3. 6.1.3. 関連情報
2. 6.2. File Integrity Operator のインストール
  Expand section "6.2. File Integrity Operator のインストール" Collapse section "6.2. File Integrity Operator のインストール"
3. 6.3. File Integrity Operator について
  Expand section "6.3. File Integrity Operator について" Collapse section "6.3. File Integrity Operator について"
  1. 6.3.1. FileIntegrity カスタムリソースについて
  2. 6.3.2. FileIntegrity カスタムリソースのステータスの確認
  3. 6.3.3. FileIntegrity カスタムリソースの各種フェーズ
  4. 6.3.4. FileIntegrityNodeStatuses オブジェクトについて
  5. 6.3.5. FileIntegrityNodeStatus CR ステータスタイプ
    
    Expand section "6.3.5. FileIntegrityNodeStatus CR ステータスタイプ" Collapse section "6.3.5. FileIntegrityNodeStatus CR ステータスタイプ"
    
    6.3.5.1. FileIntegrityNodeStatus CR の成功例
    
    6.3.5.2. FileIntegrityNodeStatus CR の失敗ステータスの例
  6. 6.3.6. イベントについて
4. 6.4. カスタム File Integrity Operator の設定
  Expand section "6.4. カスタム File Integrity Operator の設定" Collapse section "6.4. カスタム File Integrity Operator の設定"
5. 6.5. 高度なカスタム File Integrity Operator タスクの実行
  Expand section "6.5. 高度なカスタム File Integrity Operator タスクの実行" Collapse section "6.5. 高度なカスタム File Integrity Operator タスクの実行"
6. 6.6. File Integrity Operator のトラブルシューティング
  Expand section "6.6. File Integrity Operator のトラブルシューティング" Collapse section "6.6. File Integrity Operator のトラブルシューティング"
7. 監査ログの表示
Expand section "7. 監査ログの表示" Collapse section "7. 監査ログの表示"
8. 監査ログポリシーの設定
Expand section "8. 監査ログポリシーの設定" Collapse section "8. 監査ログポリシーの設定"
1. 8.1. 監査ログポリシープロファイルについて
2. 8.2. 監査ログポリシーの設定
9. TLS セキュリティープロファイルの設定
Expand section "9. TLS セキュリティープロファイルの設定" Collapse section "9. TLS セキュリティープロファイルの設定"
10. seccomp プロファイルの設定
Expand section "10. seccomp プロファイルの設定" Collapse section "10. seccomp プロファイルの設定"
1. 10.1. デフォルトの seccomp プロファイルの設定
2. 10.2. カスタムseccompプロファイルの構成
  Expand section "10.2. カスタムseccompプロファイルの構成" Collapse section "10.2. カスタムseccompプロファイルの構成"
  1. 10.2.1. カスタム seccomp プロファイルの設定
  2. 10.2.2. カスタム seccomp プロファイルのワークロードへの適用
3. 10.3. 関連情報
11. 追加ホストから API サーバーへの JavaScript ベースのアクセスの許可
Expand section "11. 追加ホストから API サーバーへの JavaScript ベースのアクセスの許可" Collapse section "11. 追加ホストから API サーバーへの JavaScript ベースのアクセスの許可"
1. 11.1. 追加ホストから API サーバーへの JavaScript ベースのアクセスの許可
12. etcd データの暗号化
Expand section "12. etcd データの暗号化" Collapse section "12. etcd データの暗号化"
13. Pod の脆弱性のスキャン
Expand section "13. Pod の脆弱性のスキャン" Collapse section "13. Pod の脆弱性のスキャン"
1. 13.1. Container Security Operator の実行
2. 13.2. CLI でのイメージ脆弱性のクエリー

5.4.2. ワーカーノードでの結果サーバー Pod のスケジューリング

結果サーバー Pod は、生の Asset Reporting Format (ARF) スキャン結果を格納する永続ボリューム (PV) をマウントします。nodeSelector 属性および tolerations 属性を使用すると、結果サーバー Pod の場所を構成できます。

これは、コントロールプレーンノードが永続ボリュームをマウントすることを許可されていない環境で役立ちます。

手順

Compliance Operator 用の ScanSetting カスタムリソース (CR) を作成します。
1. ScanSetting CR を定義し、YAML ファイルを保存します (例: rs-workers.yaml)。
```
apiVersion: compliance.openshift.io/v1alpha1
kind: ScanSetting
metadata:
  name: rs-on-workers
  namespace: openshift-compliance
rawResultStorage:
  nodeSelector:
    node-role.kubernetes.io/worker: "" 1
  pvAccessModes:
  - ReadWriteOnce
  rotation: 3
  size: 1Gi
  tolerations:
  - operator: Exists 2
roles:
- worker
- master
scanTolerations:
  - operator: Exists
schedule: 0 1 * * *
```
  1
  Compliance Operator は、このノードを使用してスキャン結果を ARF 形式で保存します。
  2
  結果のサーバー Pod は、すべての汚染を許容します。
2. ScanSetting CR を作成するには、次のコマンドを実行します。
```
$ oc create -f rs-workers.yaml
```

検証

ScanSetting オブジェクトが作成されたことを確認するには、次のコマンドを実行します。

$ oc get scansettings rs-on-workers -n openshift-compliance -o yaml

出力例

apiVersion: compliance.openshift.io/v1alpha1
kind: ScanSetting
metadata:
  creationTimestamp: "2021-11-19T19:36:36Z"
  generation: 1
  name: rs-on-workers
  namespace: openshift-compliance
  resourceVersion: "48305"
  uid: 43fdfc5f-15a7-445a-8bbc-0e4a160cd46e
rawResultStorage:
  nodeSelector:
    node-role.kubernetes.io/worker: ""
  pvAccessModes:
  - ReadWriteOnce
  rotation: 3
  size: 1Gi
  tolerations:
  - operator: Exists
roles:
- worker
- master
scanTolerations:
- operator: Exists
schedule: 0 1 * * *
strictNodeScan: true

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

5.4.2. ワーカーノードでの結果サーバー Pod のスケジューリング