11.4. コンプライアンスポリシーの管理

コンプライアンスポリシー とも呼ばれる定期監査は、XCCDF プロファイルに対して指定したホストのコンプライアンスをチェックするスケジュールタスクです。スキャンのスケジュールは Satellite Server で指定され、スキャンはホストで実行されます。スキャンが完了すると、Asset Reporting File (ARF) が XML 形式で生成され、Satellite Server にアップロードされます。スキャンの結果はコンプライアンスポリシーダッシュボードで確認できます。コンプライアンスポリシーでは、スキャンされるホストに変更はなされません。SCAP コンテンツには、関連付けられたルールのあるいくつかのプロファイルが含まれますが、デフォルトではポリシーは含まれません。

11.4.1. コンプライアンスポリシーの作成

Satellite では、ホストがセキュリティー要件に準拠するように、コンテンツホストをスキャンするコンプライアンスポリシーを作成できます。

Puppet または Ansible を使用して、ホストにコンプライアンスポリシーをデプロイできます。デフォルトでは Puppet は 30 分ごとに実行される点にご留意ください。新規ポリシーを割り当てる場合には、次の Puppet の実行でホストにポリシーを同期します。ただし、Ansible では、実行をスケジューリングできません。新しいポリシーを追加するには、手動またはリモート実行を使用して、Ansible ロールを実行する必要があります。リモート実行の詳細は、ホストの管理リモートジョブの設定とセットアップ を参照してください。

前提条件

開始する前に、Puppet または Ansible のどちらのデプロイメントを使用するかを決定すること。

  • Puppet デプロイメントの場合は、監査する各ホストが Puppet 環境に関連付けられていることを確認します。詳細は、「OpenSCAP Puppet モジュールのインポート」 を参照してください。
  • Ansible デプロイメントの場合は、theforeman.foreman_scap_client Ansible ロールを必ずインポートしてください。Ansible ロールのインポートの詳細は、Red Hat Satellite での Ansible 統合を使用した設定の管理Satellite での Ansible の使用開始 を参照してください。

手順

  1. Satellite web UI で、Hosts > Policies に移動し、手動デプロイメント、Ansible デプロイメント、または Puppet デプロイメントのいずれを使用するかを選択します。
  2. ポリシーの名前、説明 (省略可能) を入力してから 次へ をクリックします。

  3. 適用する SCAP コンテンツおよび XCCDF プロファイルを選択してから 次へ をクリックします。

    openSCAP プラグインは、SCAP コンテンツロールにコンテンツがないかどうかを検出しないことに注意してください。これは、デフォルトの XCCDF プロファイル が空のレポートを返す可能性があることを意味します。

  4. ポリシーを適用する時間を指定してから 次へ をクリックします。

    期間 のリストから、毎週毎月、または カスタム を選択します。

    • 毎週 を選択したら 平日 リストから曜日を選択します。
    • Monthly を選択したら Day of month フィールドで日付を指定します。

    • カスタム を選択したら Cron 行 フィールドに有効な Cron 式を入力します。

      Custom オプションでは、毎週 もしくは 毎月 オプションよりもスケジュールに柔軟性を持たせることができます。

  5. ポリシーを適用するロケーションを選択してから 次へ をクリックします。
  6. ポリシーを適用する組織を選択してから 次へ をクリックします。
  7. ポリシーを適用するホストグループを選択してから 送信 をクリックします。

Puppet エージェントが選択したホストグループに属するホスト、またはポリシーが適用されているホストで実行される場合、OpenSCAP クライアントがインストールされ、Cron ジョブがポリシーの指定されたスケジュールとともに追加されます。SCAP Content タブでは、すべてのターゲットホストのディレクトリー /var/lib/openscap/content/ に配信される SCAP コンテンツの名前を指定します。

11.4.2. コンプライアンスポリシーの表示

特定の OpenSCAP コンテンツおよびプロファイルの組み合わせ別に適用されるルールをプレビューできます。これは、ポリシーを計画する場合に便利です。

手順

  1. Satellite Web UI で、Hosts > Policies に移動します。
  2. 必要なポリシーの Actions 列で、Show Guide をクリックするか、リストから Show Guide を選択します。

11.4.3. コンプライアンスポリシーの編集

Satellite web UI では、コンプライアンスポリシーを編集できます。

手順

  1. Satellite Web UI で、Hosts > Policies に移動します。
  2. ポリシーの名前の右側にあるドロップダウンリストから、編集 を選択します。
  3. 必要な属性を編集します。
  4. Submit をクリックします。

編集されたポリシーは、次に Puppet エージェントが Satellite Server で更新をチェックする際にホストに適用されます。これはデフォルトで 30 分ごとに実行されます。

11.4.4. コンプライアンスポリシーの削除

Satellite web UI では、既存のコンプライアンスポリシーを削除できます。

手順

  1. Satellite Web UI で、Hosts > Policies に移動します。
  2. ポリシーの名前の右側にあるドロップダウンリストから、削除 を選択します。
  3. 確認メッセージで OK をクリックします。