第2章 Compliance サービスにおける SCAP セキュリティーポリシーの管理

Compliance サービス内のみで SCAP セキュリティポリシーを作成して管理します。新しいポリシーを定義し、関連付けるルールやシステムを選択します。要件の変更に合わせて、既存のポリシーを編集します。

重要

その他の Red Hat Insights サービスとは異なり、Compliance サービスはデフォルトのスケジュールで自動的に実行されません。OpenSCAP データをコンプライアンスサービスにアップロードするには、オンデマンドまたは設定したスケジュール済みジョブのいずれかで、insights-client --compliance を実行する必要があります。

2.1. 新しい SCAP ポリシーの作成

コンプライアンスサービスを使用するには、SCAP セキュリティーポリシーを、Insights で登録した RHEL システムに関連付ける必要があります。ポリシーは、RHEL 7 などの単一のメジャーリリースに対して定義されますが、複数のマイナーバージョンにまたがる可能性があります。RHEL サーバーが RHEL の複数のメジャーリリースにまたがる場合は、メジャーリリースごとにポリシーを 1 つ作成する必要があります。Compliance サービスユーザーは、コンプライアンスサービス内でポリシーを作成する必要があります。

Compliance サービスを使用して新しいポリシーを作成するには、次の手順を実行します。

手順

  1. コンプライアンスサービス > SCAP ポリシー ページに移動し、必要に応じてログインします。
  2. 青の Create new policy ボタンをクリックし、Create SCAP ポリシーウィザードを開きます。
  3. ウィザードの Create SCAP policy ページで、以下の選択を行います。

    1. 監視するシステム上の正しい RHEL オペレーティングシステム のバージョンを選択します。

      注記

      SCAP ポリシーは、RHEL バージョン固有のものです。たとえば、RHEL 7 を実行しているシステムや、RHEL 8 を実行しているシステムなど、DISA STIG ポリシータイプを使用する場合は、RHEL の各主要バージョンに対してポリシーを作成する必要があります。

    2. ポリシータイプを選択します。

      注記

      プロファイルオプションは、以前の手順で選択した OS バージョンに対して、最新の利用可能な scap-scurity-guide で事前に決められています。

      注記

      ポリシーがすでにその RHEL バージョンで使用されている場合は、新しいシステムを追加することができます。

    3. Next をクリックします。
  4. ポリシー詳細 ページで、各フィールドに事前に投入された情報を確認するか、必要に応じて変更します。

    1. 記述的なポリシー名を指定します。
    2. リファレンス ID を変更することはできません。
    3. 説明 には OpenSCAP のポリシー記述が事前に設定されていますが、さらに詳細を追加できます。
    4. このポリシーに関連付けられたシステムのコンプライアンスのしきい値を指定します。100% のコンプライアンスが現実的ではない場合、ここでコンプライアンスの許容レベルを指定できます。
    5. Next をクリックします。
  5. ルール ページで、ルールのリストを検索またはスクロールし、不要なルールをクリアして要件に合わせたポリシーを作成し、Next をクリックします。

    注記

    このとき、ルールセットを変更できるのは、ポリシーが作成されたときだけです。既存のポリシーでルールを変更することは、現在のところできません。

  6. System ページで、このポリシーに関連付ける各システムの横にあるチェックボックスにチェックを入れてから、Next をクリックします。

    注記

    検索ボックスにシステム名を入力します。システムのサブセットを表示するには、ステータスまたはソースでフィルターします。

  7. Review ページでポリシー情報が正しいことを確認てから、Finish をクリックします。
  8. Compliance サービス > レポート ページで、ポリシーをクリックし、システムを含む詳細が正しいことを確認します。

2.2. 既存のポリシーの編集

次の手順を使用して、ポリシーの詳細、事業目的、コンプライアンスのしきい値、および含まれるシステムを変更するために、Compliance サービスの既存のポリシーを編集します。

注記

既存のポリシーを編集する機能は、進化し続けます。これには、既存のポリシーに含まれるルールを追加または削除できる機能を含め、新しい機能が追加されます。

手順

  1. cloud.redhat.com にログインし、Compliance > SCAP Policy ページに移動します。
  2. 検索またはフィルタリング機能を使用して、編集するポリシーを検索します。
  3. ポリシー行の右端で、more-actions アイコンをクリックし、Edit policy を選択します。
  4. Edit <Policy name> カードで、各タブをクリックして以下の情報を編集します。

    1. Details で、Policy descriptionBusiness goal および Compliance のしきい値 を編集します。
    2. ルール の編集はまもなく実装されます。
    3. System タブで、ポリシーに追加するシステムを選択するか、検索およびフィルターを使用して、不要になったシステムを特定して消去します。
  5. SCAP Policies ページに移動し、編集したポリシーを見つけます。
  6. ポリシーをクリックし、詳細と含まれるシステムが、編集した内容と一致していることを確認します。