セキュリティ・プロファイルのコンプライアンスのためのシステムの修正

5 セキュリティ・プロファイルのコンプライアンスのためのシステムの修正

自動スキャンによってセキュリティおよびコンプライアンスの問題を識別することに加えて、OSCAPは、それらの問題を解決するための修正ステップを生成することで役立ちます。修正ステップには、選択したセキュリティ・ベースラインにシステムが準拠するように、構成の変更、パッケージのインストール、またはシステム設定の変更が含まれる場合があります。

多くの場合、XCCDFプロファイルから生成されるセキュリティ・ガイドおよび評価レポートには、推奨される変更を適用するために実行できるbashスクリプトやAnsibleプレイブックなどの修正情報が含まれます。
指定されたXCCDFプロファイルへの準拠に失敗した場合、OSCAPはスキャン中に修復ステップを自動的に適用できます。または、スキャン中にこれらの修正ステップを生成して後で適用できます。
また、最初にシステムをスキャンせずに、プロファイル内のすべてのルールに対して修正コンテンツを生成することもできます。これらの修正ステップは、Bash、Ansible、Puppet、Kickstartファイル、Image Builderのブループリントなどの自動化ワークフローへの統合に適したリソースなど、複数の形式で作成できます。

警告:

修正ステップは、OSのベース・インストールで実行するように設計されており、Oracle Linuxインストーラの「セキュリティ・プロファイル」オプションを使用してコンプライアンス・プロファイルを選択することで適用できます。 OSのインストール後にシステム構成を変更した場合、修正ステップではXCCDFプロファイルへの準拠は保証されません。

修正ステップでは、アクセスを制限したり、システムの機能を変更できます。修正が適用された後は、自動的に元に戻すことはできません。修復ステップをテストせずに本番システムに適用しないでください。

スキャン時の改善ステップの適用

このタスクでは、XCCDFプロファイルのスキャン中に修正ステップを適用するようにOSCAPに指示する方法を示します。システムのインストール時にセキュリティープロファイルが選択されなかったOSのインストール後に、このプロセスを実行することをお勧めします。

XCCDFプロファイル・スキャンの進行中にOSCAPで修正ステップを自動的に適用するには、--remediateオプションを含めます。

たとえば:

sudo oscap xccdf eval --profile standard \
                --remediate /usr/share/xml/scap/ssg/content/ssg-ol9-ds.xml

変更は、システムの評価時に自動的に適用されます。

コマンドの実行が終了したら、システムを再起動します。システムを再度スキャンして、変更を検証できます。

後のアプリケーションのスキャン時の改善ステップの生成

スキャンで修正スクリプトを適用せずに生成できるため、修正アクションを確認し、必要に応じて修正スクリプトを実装する前に変更することができます。

システム固有の修正を提供する修正スクリプトを生成するには、最初にXCCDFプロファイルに対してスキャンを実行し、--resultsオプションを使用してXMLファイルを出力します。「XCCDFプロファイルに対するスキャンの実行」を参照してください。

XML結果ファイルを使用して、oscap xccdf generate fixコマンドを実行し、使用できるbashスクリプトを生成します。たとえば:

oscap xccdf generate fix --profile profile id --fix-type bash --output remediations.sh ssg-results.xml

--fix-typeオプションの値をansibleに変更して、Ansible修正スクリプトをYAML形式で生成できます。その他のオプションには、puppet、anaconda、ignitionおよびkubernetesがあります。デフォルトはbashです。

OSCAP修正を使用したコンプライアンスの自動化

OpenSCAPツール(oscap)を使用すると、選択したセキュリティ・プロファイルに対するシステムのコンプライアンスを自動的に評価し、自動インストールおよび構成のためのBash、Ansible、Kickstart、Image Builderブループリントなどの使用可能な形式を使用して、そのルールの多くに対して修正ステップを適用できます。すべてのコンプライアンス・ルールに自動修正があるわけではなく、すべての形式で使用できるわけでもないため、OpenSCAP修正により強力なベースラインが提供されます。プロファイルを完全に遵守するために、追加の手動構成が必要になる場合があります。

プロファイルのすべての修正アクションを含むスクリプトを生成するには、データ・ストリームまたはXCCDFファイルに対してoscap xccdf generateコマンドを実行します。次に例を示します。

oscap xccdf generate fix --profile profile id --fix-type bash \
                --output all-remediations.sh /usr/share/xml/scap/ssg/content/ssg-ol9-ds.xml

--fix-typeの有効なオプションは、bash、ansible、puppet、anaconda、ignition、kubernetes、kickstart、blueprint、および bootcです。

たとえば、特定のXCCDFプロファイルに準拠するOracle Cloud Infrastructureイメージのイメージ・ビルダー・ブループリントを生成するには、次のコマンドを実行します:

oscap xccdf generate fix --profile profile id --fix-type blueprint \
                --output blueprint.toml /usr/share/xml/scap/ssg/content/ssg-ol9-ds.xml