Red Hat Training

A Red Hat training course is available for RHEL 8

第8章 RHEL Image Builder OpenSCAP 統合によるハードニング済みイメージの作成

オンプレミスの RHEL Image Builder は OpenSCAP 統合をサポートしています。この統合により、ハードニング済みの RHEL イメージの作成が可能になります。ブループリントを設定すると、次のアクションを実行できます。

  • 事前定義されたセキュリティープロファイルのセットを使用したカスタマイズ
  • パッケージまたはアドオンファイルのセットの追加
  • 環境により適した、選択したプラットフォームにデプロイ可能なカスタム RHEL イメージのビルド

Red Hat は、現在のデプロイメントガイドラインを満たすことができるように、システムを構築するときに選択できるセキュリティーハードニングプロファイルの定期的に更新されたバージョンを提供します。

警告

RHEL Image Builder には、FIPS ブートモードのサポートが含まれていません。したがって、DISA STIG など、FIPS モードを有効にする必要がある OpenSCAP プロファイルはサポートされません。

8.1. キックスタートイメージとハードニング済みイメージの違い

キックスタートファイルを使用した従来のイメージ作成では、インストールする必要があるパッケージを選択し、システムが脆弱性の影響を受けないようにする必要があります。RHEL Image Builder OpenSCAP 統合により、セキュリティーが強化されたイメージをビルドできます。イメージビルドプロセス中、OSBuild oscap remediation stage は、ファイルシステムツリーの chroot で OpenSCAP ツールを実行します。OpenSCAP ツールは、選択したプロファイルの標準評価を実行し、修復をイメージに適用します。これにより、稼働中のシステムで修復を実行する場合と比較すると、より完全にハードニングされたイメージをビルドできます。