附录 E. 保护 Red Hat Virtualization
此主题包括如何保护 Red Hat Virtualization 的有限信息。此信息随着时间的推移会增加。
这些信息特定于 Red Hat Virtualization,它不包括与以下相关的基本安全实践:
- 禁用不必要的服务
- 身份验证
- 授权
- Accounting
- 非 RHV 服务的渗透测试和强化
- 加密敏感应用程序数据
先决条件
- 您应精通机构的安全标准和实践。如果可能,请咨询机构的负责安全的人员。
- 部署 RHEL 主机前,请参阅 Red Hat Enterprise Linux 安全指南。
E.1. Red Hat Linux 7 的 DISA STIG
国防信息系统局(DISA)为各种平台和操作系统发布安全技术实施指南(STIG)。
安装 Red Hat Virtualization 主机 (RHVH) 时,DISA STIG for Red Hat Linux 7 是可用的安全策略之一。在安装过程中启用此配置集不再需要重新生成 SSH 密钥、SSL 证书,或者稍后在部署过程中重新配置主机。
DISA STIG 安全策略是红帽官方测试和认证的唯一安全策略。
DISA STIG 是 DOD IA 和支持 IA 的设备/系统的配置标准自 1998 年以来,DISA 通过提供安全技术实施指南 (STIG) 在增强国防部安全系统的安全形象方面发挥了重要作用。STIG 含有有关"锁定"信息系统/软件的技术指导,否则可能容易遭受恶意计算机攻击"。
这些 STIG 基于国家标准与技术协会 (NIST) 800-53 提出的要求,这是美国联邦信息系统安全控制目录(美国联邦信息系统除外)。
要确定哪些配置文件重叠,红帽指的是云安全联盟的云控制矩阵(CCM)。此 CCM 指定一组全面的云安全控制,并将每一控制映射到领先标准、最佳实践和法规的要求。
为了帮助您验证安全策略,红帽为各种红帽平台(包括 RHEL 和 RHV)提供了 OpenSCAP 工具和安全内容自动化协议 (SCAP) 配置集。
红帽的 OpenSCAP 项目为管理员和审计员提供开源工具,用于评估、测量和执行 SCAP 基准。NIST 于 2014 年向 OpenSCAP 授予 SCAP 1.2 认证。
NIST 维护 SCAP 标准。SCAP 兼容配置集提供有关设置操作系统和应用程序安全配置的详细低级别指导。
红帽将各种产品和平台的 SCAP 基准发布到两个位置:
- NIST 国家检查清单 (NCP),是公开提供的安全检查清单(或基准测试)美国政府存储库。
- Department of Defense (DoD) Cyber Exchange
