第7章 RHEL Image Builder OpenSCAP 統合によるハードニング済みイメージの作成
オンプレミスの RHEL Image Builder は、ハードニング済み RHEL イメージを生成するための OpenSCAP 統合をサポートしています。OpenSCAP と統合されたオンプレミスの RHEL Image Builder を使用すると、ハードニング済み RHEL イメージを作成できます。ブループリントをセットアップし、事前定義されたセキュリティープロファイルのセットから選択し、一連のパッケージまたはアドオンファイルを追加して、指定のプラットフォームにすぐにデプロイできる、環境に適したカスタマイズ済みの RHEL イメージをビルドできます。
Red Hat は、現在のデプロイメントガイドラインを満たすことができるように、システムを構築するときに選択できるセキュリティーハードニングプロファイルの定期的に更新されたバージョンを提供します。
RHEL Image Builder には、FIPS ブートモードのサポートが含まれていません。その結果、FIPS モードの有効化が必要な OpenSCAP プロファイル (DISA STIG など) は、現在サポートされていません。
7.1. キックスタートイメージとハードニング済みイメージの違い
キックスタートファイルを使用した従来のイメージ作成では、インストールする必要があるパッケージを選択し、システムが脆弱性の影響を受けないようにする必要があります。RHEL Image Builder OpenSCAP 統合により、セキュリティーが強化されたイメージをビルドできます。イメージビルドプロセス中、OSBuild oscap remediation stage は、ファイルシステムツリーの chroot で OpenSCAP ツールを実行します。OpenSCAP ツールは、選択したプロファイルの標準評価を実行し、修復をイメージに適用します。これにより、稼働中のシステムで修復を実行する場合と比較すると、より完全にハードニングされたイメージをビルドできます。