Red Hat Training

A Red Hat training course is available for Red Hat Satellite

6장. OpenSCAP

SCAP는 기업 수준의 Linux 인프라의 표준 컴플라이언스 확인 솔루션입니다. 이는 기업용 시스템의 시스템 보안 관리를 위한 NIST (National Institute of Standards and Technology)에 의해 관리되는 일련의 사양입니다.
RHN Satellite Server 5.5에서 SCAP는 OpenSCAP 애플리케이션에 의해 구현됩니다. OpenSCAP는 XCCDF (Extensible Configuration Checklist Description Format)를 사용하는 감사 도구입니다. XCCDF는 체크리스트 내용을 표현하는 표준 방법으로 보안 체크리스트를 정의합니다. 또한 CPE, CCE, OVAL 등의 다른 사양과 함께 SCAP 검증 제품에 의해 처리될 수 있는 SCAP 표현식 체크리스트를 생성합니다.

6.1. OpenSCAP 특징

OpenSCAP는 Red Hat 보안 대응팀 (SRT)에서 제공하는 컨텐츠를 사용하여 패치의 유무를 확인하고 시스템 보안 설정 구성을 확인하며 표준/사양에 따른 규칙을 사용하여 시스템 보안 침해의 징후를 검사합니다.
OpenSCAP를 효과적으로 사용하기 위해 다음과 같은 두 가지 요구 사항이 있습니다:
  • 시스템이 표준으로 되어 있음을 확인하는 도구
    RHN Satellite 서버는 5.5 버전에서 OpenSCAP를 감사 기능으로 통합하고 있습니다. 이는 웹 인터페이스를 통해 시스템의 컴플라이언스 검사를 예약하고 확인할 수 있습니다.
  • SCAP 컨텐츠
    SCAP 컨텐츠는 적어도 XCCDF 또는 OVAL을 이해하고 있으면 처음부터 만들 수 있습니다. 다른 방법으로 다른 옵션도 존재합니다. XCCDF 컨텐츠는 오픈 소스 라이선스하에 수시로 온라인 공개되며 필요에 따라 이 컨텐츠를 알맞게 사용자 정의할 수 있습니다.

    참고

    Red Hat은 시스템을 평가하기 위해 템플릿 사용을 지원합니다. 하지만 이러한 템플릿의 사용자 지정 컨텐츠 제작은 지원하지 않습니다.
    이러한 그룹의 몇 가지 예는 다음과 같습니다:
    • RHEL5 데스크탑 용 USGCB (United States Government Configuration Baseline) — 연방 기관의 데스크탑 용 공식 SCAP 컨텐츠로 OVAL을 사용하여 Red Hat, Inc 및 미국 국방부 (DoD)와의 협력하에 NIST에서 개발되었습니다.
    • 커뮤니티 제공 컨텐츠
      • RHEL6 용 SCAP 보안 가이드 — 활성 커뮤니티에 의해 운영되는 컨텐츠로 USGCB 요구 사항 및 널리 인정되는 정책을 소스로하여 데스크톱, 서버, ftp 서버 등의 프로파일이 포함되어 있습니다.
      • RHEL6 용 OpenSCAP 컨텐츠 — Red Hat Enterprise Linux 6 옵션 채널에서의 openscap-content 패키지는 템플릿을 통해 Red Hat Enterprise Linux 6 시스템의 기본 컨텐츠 설명을 제공합니다.
SCAP는 시스템 보안 관리를 목적으로 작성되었기 때문에 사용되는 표준은 커뮤니티와 기업의 요구에 맞도록 지속적으로 변화합니다. 일관성있고 반복적인 버전의 워크플로우를 제공하기 위해 새로운 사양은 NIST의 SCAP 릴리즈 주기에 의해 관리되고 있습니다.