Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

8.10. 特定のベースラインを使用したコンテナーまたはコンテナーイメージの設定コンプライアンスの評価

この手順に従って、OSPP(Operating System Protection Profile)や PCI-DSS(Payment Card Industry Data Security Standard)などの特定のセキュリティーベースラインのあるコンテナーまたはコンテナーイメージのコンプライアンスを評価します。

前提条件

  • openscap-utils および scap-security-guide パッケージがインストールされている。

Procedure

  1. コンテナーまたはコンテナーイメージの ID を検索します。以下に例を示します。 
    ~]# docker images
REPOSITORY                            TAG      IMAGE ID       CREATED       SIZE
registry.access.redhat.com/ubi7/ubi   latest   096cae65a207   7 weeks ago   239 MB
  2. OSPP プロファイルでコンテナーイメージのコンプライアンスを評価し、スキャン結果を report.html ファイルに保存します。 
    ~]$ sudo oscap-docker 096cae65a207 xccdf eval --report report.html --profile ospp /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml
    PCI-DSS ベースラインで設定コンプライアンスを評価する場合は、096cae65a207 をコンテナーイメージの ID に、ospp の値を pci-dss に置き換えます。

検証

  1. 結果をブラウザーで確認します。以下に例を示します。 
    ~]$ firefox report.html &
注記
notapplicable が付いているルールは、コンテナー化されたシステムには適用されないルールです。これらのルールは、ベアメタルまたは仮想化システムにのみ適用されます。

関連情報

  • 詳細は、man ページの oscap-docker(8) および scap-security-guide(8) を参照してください。
  • file:///usr/share/doc/scap-security-guide-doc-0.1.46/ ディレクトリーにインストールされている SCAP セキュリティーガイドに関するドキュメント