OpenSCAP + SCAP Security Guide で ポリシー遵守をらくにしよう

Jun 9, 2019 | Publisher: moriwaka | Category: Technology |  | Collection: Red Hat | Views: 4 | Likes: 1

1 OpenSCAP + SCAP Security Guide で ポリシー遵守をらくにしよう遵守をらくにしようをらくにしよう レッドハット株式会社株式会社 ソリューションアーキテクト株式会社 森若和雄森若和雄 2018.09.10 2 「セキュリティポリシー遵守をらくにしよう遵守をらくにしようしてね」「はい」」「はい」」 ● システムがが 5 台 – 「ポリシーを遵守していることを確認してください」遵守していることを確認してください」していることを遵守していることを確認してください」確認してください」してください」 → 森若和雄(1 日 1台チェック、チェック、 1 週間後 ) 森若和雄 「遵守していることを確認してください」できてました」」 ● システムがが 50 台 – 「ポリシーを遵守していることを確認してください」遵守していることを確認してください」していることを遵守していることを確認してください」確認してください」してください」 → 森若和雄(2.5 ヶ月後月後 ) 森若和雄 「遵守していることを確認してください」できてました」」 ● システムがが50台チェック、 – 「ポリシーを遵守していることを確認してください」遵守していることを確認してください」していることを遵守していることを確認してください」毎月確認してください」してください」 → 森若和雄.oO( 絶対無理だからだから人をを 3 人をに増やして……やして…… ) ● コンテナやや VM が 200 台 – 「ポリシーを遵守していることを確認してください」遵守していることを確認してください」していることを遵守していることを確認してください」毎月確認してください」してください」 → 森若和雄 .oO(10 人をに増やして……員してして……いやさすがに無理だよな……無理だからだよな…… ) → 森若和雄 あきらめる ? 森若和雄 虚偽の報告の報告報告 ?自動化するする ? 3 チェック項目の例項目の例の例例 ● パスワードの報告ハッシュ関数はは SHA512 ● 空のパスワードを許可しないの報告パスワードを遵守していることを確認してください」許可しないしない ● chmod, 森若和雄chwon などの報告システムがコールやファイル削除やファイルやファイル削除削除 は監査ログに記録するログに記録するに無理だよな……記録するする ● 15 分以上何もしないで経過するともしないで経過するとすると ssh の報告セッション を遵守していることを確認してください」タイムがアウト株式会社させる ● パッケージのの報告 GPG 鍵チェックを必須にするチェックを遵守していることを確認してください」必須にするに無理だよな……する ● bluetooth の報告カーネルやファイル削除モジのュールやファイル削除を遵守していることを確認してください」無効にするに無理だよな……する ……などなど 4 脅威を数値化できるを遵守していることを確認してください」数は値化するできる 自動実行できるできる チェックリスト株式会社 識別子をつけてを遵守していることを確認してください」つけて 区別できる Security Content Automation Protocol ● セキュリティポリシーを遵守していることを確認してください」遵守していることを確認してください」しているかチェックする 作業を自動化したいを遵守していることを確認してください」自動化するした」い ! 森若和雄 森若和雄 森若和雄( 手動では無理だから ) ● その報告た」めに無理だよな……作られた」規格群をを遵守していることを確認してください」 SCAP と呼びますびます – 脆弱性の識別の報告識別 CVE – 設定の識別の報告識別 CCE – プラット株式会社フォームがの報告識別 CPE – 脆弱性の識別の報告分類と識別と識別 CWE – 脆弱性の識別の報告深刻さのスコア付けさの報告スコア付けけ CVSS – チェック手順の記述言語の報告記述言語OVAL – チェックリスト株式会社記述言語 XCCDF – など 5 SCAP 策定の背景の例背景 2002 年 森若和雄連邦情報セキュリティマネジのメント株式会社法 – 米国の政府省庁で、の報告政府省庁で、で、全情報システムにセキュリティシステムにセキュリティにセキュリティ 要求事項を反映するすることが必須にするに無理だよな…… 結果として……として…… – 現場が疲弊が疲弊 – ミスや判断の相違によるバラつきの報告相違によるバラつきに無理だよな……よるバラつき – バラバラの報告ツールやファイル削除群をに無理だよな……よる部分的な自動化な自動化する → 森若和雄標準化するされた」自動化する規格の報告必要性の識別が高まるまる 2010 年 森若和雄 NIST が SCAP 森若和雄1.0 を遵守していることを確認してください」リリース 6 OpenSCAP ● SCAP の報告処理だから系 – XCCDF で記述された」チェックリスト株式会社を遵守していることを確認してください」実行できるする – 評価結果として……を遵守していることを確認してください」出力 ,HTML の報告レポート株式会社生成 , 修正スクリプトスクリプト株式会社 生成 チェック リスト株式会社 OpenSCAP レポート株式会社 / 評価結果として…… システムがの報告 設定の識別や状態 修正スクリプト スクリプト株式会社 7 アンチウイルスや改竄検知等ではないではない」 ● OpenSCAP はセキュリティの報告維持に役立ちますが何に無理だよな……役立ちますが何ちますが何もしないで経過すると でもできるわけではありません ● 代表的な自動化なできないこと : – イベント株式会社ドリブンな動作 ( 「常駐してして xxを遵守していることを確認してください」監視しつづけしつづけ る」の報告ような動作 )全般 – ポリシーを遵守していることを確認してください」強制することすること ( チェックが主な仕事な仕事 ) – 過すると去レポートや他ホストのレポートと比較などのレポーレポート株式会社や他ホストのレポートと比較などのレポーホスト株式会社の報告レポート株式会社と比較などのレポーなどの報告レポー ト株式会社操作 – ウイルやファイル削除スやマルやファイル削除ウェアの報告検出 ( チェックリスト株式会社が開発ささ れれば部分的には可能部分的な自動化に無理だよな……は可しない能 ) 8 OpenSCAP で既知の例脆弱性を確認するを確認するする ● チェックリスト株式会社を遵守していることを確認してください」取得 – https://www.redhat.com/security/data/metrics/ 森若和雄 に無理だよな……て OVALおよび XCCDF形式で配布 – 「セキュリティ fixが出荷される前の古いバージョされる前の古いバージョの報告古いバージョいバージのョ ンの報告 rpm が適用されているか」をチェックするされているか」を遵守していることを確認してください」チェックする ● OpenSCAP でチェックを遵守していることを確認してください」実施 – oscap xccdf eval \ --results results-xccdf.xml \ --report report-xccdf.html \ com.redhat.rhsa-RHEL7.ds.xml 9 SCAP Security Guide(SSG) SCAP で記述された」 Linuxシステムが向けのチェックリストけの報告チェックリスト株式会社 ● システムが構成や各種設定の識別を遵守していることを確認してください」チェック – ソフト株式会社ウェアの報告脆弱性の識別は扱わないわない ● 各種セキュリティ規格用されているか」をチェックするプロファイルやファイル削除同梱 – DISA 森若和雄STIG, 森若和雄USGCB, 森若和雄PCI-DSS 森若和雄v3, 森若和雄CIS 森若和雄benchmark( に無理だよな……似たもた」も の報告 ) 森若和雄etc. ● 対象ソフトウェアはソフト株式会社ウェアは Fedora, 森若和雄RHEL, 森若和雄CentOS, 森若和雄Debian, 森若和雄 Ubuntu, 森若和雄Firefox, 森若和雄Chromium, 森若和雄JRE, 森若和雄OpenStackなど多数は 10 SCAP Security Guide の例特徴 ● NSA, 森若和雄DISA, 森若和雄NIST と Red 森若和雄Hat を遵守していることを確認してください」中心とするコミュニティで共同開発とするコミュニティで共同開発さ – SSG 以前の古いバージョ 「政府が規格を遵守していることを確認してください」策定の識別→ベンダがが SCAP でチェックリスト株式会社作成」 ~3 年 – SSG 以後 「共同で SCAP でチェックリスト株式会社を遵守していることを確認してください」作成」 ~1 年 – OVAL での報告チェック手順の記述言語に無理だよな……ついて作成ベンダがーに無理だよな……よる解釈ブレを排除ブレを遵守していることを確認してください」排除 ● 修正スクリプトスクリプト株式会社を遵守していることを確認してください」同梱 – 一部の報告問題には、に無理だよな……は、 bash また」は ansible に無理だよな……よる修正スクリプトスクリプト株式会社を遵守していることを確認してください」同梱 ● カスタマイズして独自プロファイルを作成可して独自プロファイルやファイル削除を遵守していることを確認してください」作成可しない – チェック項目を取捨選択を遵守していることを確認してください」取捨選択 – パスワード長などの項目はパラメータを設定できるなどの報告項目を取捨選択はパラメータを遵守していることを確認してください」設定の識別できる 11 SCAP Workbench ● SSG(XCCDF文書一般 ) の報告プロファイルやファイル削除を遵守していることを確認してください」作成 – 既存のチェック項目をの報告チェック項目を取捨選択を遵守していることを確認してください」 GUI で取捨選択、指定の識別 12 SSG と OpenSCAP での例チェック項目の例 ● SCAP 森若和雄Workbench で SSGから必要な項目を取捨選択を遵守していることを確認してください」取捨選択 ● 作成した」プロファイルやファイル削除を遵守していることを確認してください」利用されているか」をチェックするしてOpenSCAP でチェック OpenSCAP レポート株式会社 / 評価結果として…… システムがの報告 設定の識別や状態 SSG チェックリスト株式会社 プロファイルやファイル削除 修正スクリプト スクリプト株式会社 SCAP Workbench 13 レポー遵守をらくにしようト例例 チェックを遵守していることを確認してください」どの報告ように無理だよな…… 実施した」か ? 各種アドレス 対象ソフトウェアはシステムがの報告 バージのョン等 (CPE) 適合状況 不適合ルやファイル削除ールやファイル削除の報告深刻さのスコア付け度 重みつきのスコアみつきの報告スコア 各ルやファイル削除ールやファイル削除毎のの報告 pass/fail ● OpenSCAP は XCCDF形式で の報告結果として……の報告他ホストのレポートと比較などのレポーに無理だよな…… HTML 形式の報告 レポート株式会社も生 成 レポート株式会社 / 評価結果として…… 14 レポー遵守をらくにしようト例例 ● 各ルやファイル削除ールやファイル削除を遵守していることを確認してください」クリックする と詳細を表示を遵守していることを確認してください」表示 – チェック内容 – 関係する規格する規格 – 失敗 or成功した理由した」理だから由 – 対策用されているか」をチェックするの報告スクリプト株式会社 (bash, 森若和雄ansible) レポート株式会社 / 評価結果として…… 15 oscap コマンド例例 パッケージの導入 # yum install openscap scap-security-guide チェックリスト株式会社の報告諸元確認してください」 # oscap info /usr/share/xml/scap/ssg/content/ssg- rhel7-xccdf.xml “common”プロファイルやファイル削除での報告チェック実行できる # 森若和雄oscap xccdf eval --profile common \ --results /tmp/results.xml \ /usr/share/xml/scap/ssg/content/ssg-rhel7-xccdf.xml remediate スクリプト株式会社の報告生成 # 森若和雄oscap xccdf generate fix --fetch-remote-resources \ --profile common --output /tmp/remediate.sh \ /tmp/results.xml 16 SSG にない」独自のチェックはの例チェック項目の例は ? ● OVALでチェック方法を遵守していることを確認してください」記述するの報告は大変 – OVALは XMLでチェックを遵守していることを確認してください」記述する文法 – 「あるサービスが起動しているか?」だけで55行できる…… – やりた」いことが既存のチェック項目をの報告OVALリポジのト株式会社リに無理だよな……ないかを遵守していることを確認してください」探すす ● OVALの報告リポジのト株式会社リ 森若和雄 https://oval.cisecurity.org/repository – 独自の報告チェック追加や変更はや変更ははAnsible等で行できるう方が生産性の識別が高まるそう ● XCCDFの報告基本は「名前」「説明」「は「名前の古いバージョ」「説明」「」「OVALを遵守していることを確認してください」呼びますぶ」くらい なの報告で XCCDFだけ勉強するの報告はアリ ● 専用されているか」をチェックするエディタを遵守していることを確認してください」使う う 森若和雄 – VMware 森若和雄Modified 森若和雄Enhanced 森若和雄SCAP 森若和雄Content 森若和雄Editor ● https://github.com/vmware/vmware-scap-edit 17 複数台の例スキャンは…… ? ● Spacewalk 森若和雄 森若和雄 https://spacewalkproject.github.io/ ● Foreman 森若和雄OpenSCAP 森若和雄plugin 森若和雄 https://www.theforeman.org/plugins/foreman_openscap/0.9/ – チェックリスト株式会社配布、 puppet で定の識別期実行できる、レポート株式会社表示 18 まとめ ● SCAP: 森若和雄基本は「名前」「説明」「的な自動化なセキュリティチェックを遵守していることを確認してください」自動的な自動化に無理だよな……実行できる することを遵守していることを確認してください」目を取捨選択的な自動化とした」規格群を ● OpenSCAP: 森若和雄OSS の報告 SCAP 処理だから系 ● SCAP 森若和雄Security 森若和雄Guide: 森若和雄SCAP 規格に無理だよな……もとづくチェック リスト株式会社の報告ひな型 ● SCAP 森若和雄Workbench: 森若和雄 チェックリスト株式会社の報告カスタマイズして独自プロファイルを作成可を遵守していることを確認してください」 行できるいプロファイルやファイル削除を遵守していることを確認してください」生成 「 SSGから必要なところだけ SCAP 森若和雄Workbench で選択して OpenSCAP でチェックする」ことで基本は「名前」「説明」「的な自動化な確認してください」作業を自動化したいの報告多くを遵守していることを確認してください」自 動化するできる 19 Appendix 20 SCAP 関連リンクリンク項目の例 ● IPA の報告 SCAP概説 – https://www.ipa.go.jp/security/vuln/SCAP.html ● RHELドキュメント株式会社「Security 森若和雄Guide」 – http://red.ht/2yb6Zft 森若和雄 森若和雄(英語 ) – http://red.ht/2zps2yg 森若和雄( 和訳 ) ● OpenSCAPプロジのェクト株式会社 – https://www.open-scap.org/ – https://github.org/OpenSCAP/ – 今回紹介以外のツール、詳しいドキュメント、各種チュートリアルの報告ツールやファイル削除、詳しいドキュメント株式会社、各種チュート株式会社リアルやファイル削除 ● OVALの報告リポジのト株式会社リ 森若和雄 https://oval.cisecurity.org/repository ● OpenSCAP 森若和雄Scanning 森若和雄in 森若和雄Satellite 森若和雄6 森若和雄and 森若和雄CloudForms – http://red.ht/2AwBIFk 森若和雄 – Red 森若和雄Hat の報告管理だからツールやファイル削除との報告連携について紹介に無理だよな……ついて紹介 21 RHEL 特有の話題の例話題 ● oscap-anaconda-plugin – RHEL や Fedoraの報告インスト株式会社ーラ 森若和雄 anaconda 用されているか」をチェックするプラグに記録するイン – インスト株式会社ールやファイル削除時にスキャンを実施しに無理だよな……スキャンを遵守していることを確認してください」実施し remediation 森若和雄script を遵守していることを確認してください」 実行できるする ● Red 森若和雄Hat 森若和雄Satellite – Foreman を遵守していることを確認してください」ベースとする管理だからスイート株式会社 – OpenSCAP の報告定の識別期実行できる、結果として……を遵守していることを確認してください」収集・蓄積・表示 ● RHEL同梱 SSG の報告対象ソフトウェアはソフト株式会社ウェア – RHEL6, 森若和雄RHEL7, 森若和雄JRE, 森若和雄Firefox

Comments

You must log in to comment

×

Modal Header

Modal body