第 3 章 在 Insights for RHEL 合规服务中管理 SCAP 安全策略

完全在合规服务 UI 中创建和管理您的 SCAP 安全策略。定义新策略并选择您要与它们关联的规则和系统,并在您的要求更改时编辑现有策略。

重要

与大多数 Red Hat Insights for Red Hat Enterprise Linux 服务不同,合规服务不会自动按默认调度运行。要将 OpenSCAP 数据上传到 Insights for Red Hat Enterprise Linux 应用程序,您必须运行 insights-client --compliance,可以是 on-demand 或您设置的调度作业。

3.1. 创建新的 SCAP 策略

您必须将每个 Insights for Red Hat Enterprise Linux 注册的系统添加到一个或多个安全策略,然后才能执行扫描或在合规服务 UI 中查看该扫描的结果。要创建新策略,并包括特定的系统和规则,请完成以下步骤:

重要

如果您的 RHEL 服务器跨越多个 RHEL 主版本,您必须为每个主版本创建单独的策略。例如,所有 RHEL 7 服务器都将位于一个 适用于 RHEL 策略的标准系统 安全配置文件,所有 RHEL 8 服务器都将位于另一个。

流程

  1. 进入到 Security > Compliance > SCAP Policies 页面。
  2. Create new policy 按钮。
  3. 向导的 Create SCAP 策略 页面中,选择您在策略中包含的系统的 RHEL 主版本

    img compl assess create policy wizard 1

  4. 选择那个 RHEL 主版本可用的策略类型之一,然后点 Next
  5. Details 页面中,接受已提供的名称和描述,或者提供您自己的有意义的条目。
  6. (可选)添加 商业目标 以提供上下文,例如"CISO 强制"。
  7. 根据您的要求定义可接受的 合规阈值,然后点 Next
  8. 选择要包含在 此策略 中的系统,然后单击 Next。在第一步中选择 RHEL 主版本会自动决定可以将哪些系统添加到此策略中。
  9. 选择要包含在每个策略中的规则。因为 RHEL 的每个次要版本都支持使用特定的 SCAP 安全指南(SSG)版本(有时多于一个版本,我们使用最新的),所以每个 RHEL 次版本的规则集稍有不同,必须单独选择。

    img compl assess create policy rules tabs

    1. (可选)使用过滤和搜索功能来优化规则列表。

      例如,若要只显示最高严重性规则,请单击主过滤器下拉菜单并选择 Severity。在第二个过滤器中,选中 HighMedium 框。

      img compl assess create policy filter rules

    2. 默认情况下显示的规则是为该策略类型和 SSG 版本指定的规则。默认情况下,启用过滤器框旁边的 Selected only 切换。如果需要,您可以删除此切换。
    3. 根据需要重复这个过程, 每个 RHEL 次要版本选项卡
    4. 在为每个 Red Hat Enterprise Linux 次版本 SSG 选择规则后,点 Next
  10. Review 页面中,验证显示的信息是否正确,然后点 Finish
  11. 为应用程序指定创建策略的时间,然后点 返回应用程序 按钮查看您的新策略。
注意

在合规服务 UI 中显示结果前,您必须进入系统并运行合规性扫描。