{"id":2425,"date":"2020-06-22T07:00:00","date_gmt":"2020-06-22T05:00:00","guid":{"rendered":"https:\/\/www.my-it-brain.de\/wordpress\/?p=2425"},"modified":"2022-03-27T08:05:09","modified_gmt":"2022-03-27T07:05:09","slug":"einfuehrung-in-red-hat-insights","status":"publish","type":"post","link":"https:\/\/www.my-it-brain.de\/wordpress\/einfuehrung-in-red-hat-insights\/","title":{"rendered":"Einf\u00fchrung in Red Hat Insights"},"content":{"rendered":"\n<p>Bei <a rel=\"noreferrer noopener\" href=\"https:\/\/access.redhat.com\/products\/red-hat-insights\/\" target=\"_blank\">Red Hat Insights<\/a> handelt es sich um eine <a rel=\"noreferrer noopener\" href=\"https:\/\/de.wikipedia.org\/wiki\/Software_as_a_Service\" target=\"_blank\">SaaS<\/a>-Anwendung, welche Nutzern von RHEL-Subskriptionen kostenlos zur Verf\u00fcgung steht.<\/p>\n\n\n\n<p>Dieser Artikel bietet eine kurze Einf\u00fchrung in Red Hat Insights, zeigt, wie RHEL-Systeme in den Cloud-Dienst eingebunden werden und f\u00fchrt wichtige Dokumente und Quellen zum Dienst auf.<\/p>\n\n\n\n<p><em>Hinweis: Ich teste den Dienst im Rahmen meiner beruflichen T\u00e4tigkeit im <a rel=\"noreferrer noopener\" href=\"https:\/\/www.uni-bielefeld.de\/einrichtungen\/bits\/\" target=\"_blank\">Bielefelder IT-Service Zentrum (BITS)<\/a> der <a rel=\"noreferrer noopener\" href=\"https:\/\/www.uni-bielefeld.de\/\" target=\"_blank\">Universit\u00e4t Bielefeld<\/a>.<\/em> <em>Dies<\/em>er <em>Artikel spiegelt meine pers\u00f6nliche Ansicht zu Red Hat Insights wider. Des Weiteren weise ich darauf hin, dass ich Mitglied der Red Hat Accelerators Community bin (siehe <a href=\"https:\/\/www.my-it-brain.de\/wordpress\/zu-meiner-person\/\">&#8222;Zu meiner Person&#8220;<\/a>).<\/em><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Was ist Red Hat Insights?<\/h2>\n\n\n\n<p>Red Hat Insights, im folgenden Text auch kurz Insights genannt, ist ein von der Firma Red Hat angebotener Cloud-Service, welcher der proaktiven Analyse von Umgebungen mit Red Hat Enterprise Linux (RHEL) dient. Als Ergebnis dieser proaktiven Analyse erh\u00e4lt der Systemadministrator Hinweise auf vorhandene Konfigurationsprobleme, Sicherheitsl\u00fccken und Schwachstellen sowie Handlungsempfehlungen, wie diese behoben werden k\u00f6nnen.<\/p>\n\n\n\n<p>An Insights angebundene Systeme werden vom lokal installierten Insights-Client gescannt und gegen ein Regelwerk abgeglichen, um potenzielle Risiken in Bezug auf die System-Leistung, Skalierbarkeit, Verf\u00fcgbarkeit und Sicherheit zu identifizieren und zu melden. Red Hat ist dabei bestrebt, die Sammlung pers\u00f6nlicher Daten zu vermeiden.<\/p>\n\n\n\n<p>Neben dem Reporting k\u00f6nnen \u00fcber diesen Service auch Ansible-Playbooks zur Mitigation erkannter Probleme generiert und von einer on-premise vorhandenen Ansible Engine ausgef\u00fchrt werden. Das Regelwerk wird von der Firma Red Hat gepflegt und stetig erweitert.<\/p>\n\n\n\n<p>Seit 2019 ist Insights in allen aktiven RHEL-Subskriptionen enthalten. Somit entstehen keine zus\u00e4tzlichen Kosten durch die Nutzung des Dienstes.<br>Insights kann in RHEL-Installation verwendet werden, unabh\u00e4ngig davon, ob diese on-premise, in privaten oder \u00f6ffentlichen Clouds betrieben werden.<\/p>\n\n\n\n<p>Die Produktdokumentation und eine FAQ-Sektion finden sich unter den folgenden URLs:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><a rel=\"noreferrer noopener\" href=\"https:\/\/access.redhat.com\/documentation\/en-us\/red_hat_insights\/2020-10\/\" target=\"_blank\">Product Documentation for Red Hat Insights<\/a><\/li><li><a rel=\"noreferrer noopener\" href=\"https:\/\/access.redhat.com\/articles\/4602981\" target=\"_blank\">Red Hat Insights Technical FAQ<\/a> (Login required)<\/li><li><a rel=\"noreferrer noopener\" href=\"https:\/\/access.redhat.com\/articles\/1598863\" target=\"_blank\">System Information Collected by Red Hat Insights<\/a><\/li><li><a rel=\"noreferrer noopener\" href=\"https:\/\/access.redhat.com\/solutions\/3947481\" target=\"_blank\">How can I see what data is collected by Red Hat Insights?<\/a> (Login required)<\/li><\/ul>\n\n\n\n<p><em>Wer noch keine Zugangsdaten f\u00fcr die vorstehend verlinkten Seiten besitzt, kann sich f\u00fcr eine <a rel=\"noreferrer noopener\" href=\"https:\/\/developers.redhat.com\/blog\/2016\/03\/31\/no-cost-rhel-developer-subscription-now-available\/\" target=\"_blank\">kostenlose Red Hat Developer Subscription<\/a> registrieren. Mit dieser erh\u00e4lt man auch Zugriff zur Red Hat Wissensdatenbank.<\/em><\/p>\n\n\n\n<p>Ob Red Hat Insights den Mehrwert bietet, den es verspricht, versuche ich gerade in einem zeitlich und vom Umfang her begrenzten Test herauszufinden. Mit den folgenden Schritten k\u00f6nnt ihr euch auch selbst ein Bild davon machen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Datenschutz und Datensicherheit<\/h2>\n\n\n\n<p>F\u00fcr uns ist die Nutzung eines SaaS-Dienstes wie Insights nicht ganz unproblematisch. Wer die vorstehend verlinkte Dokumentation liest, wird schnell feststellen, dass zur Erbringung des Dienstes jeder angebundene Host eine Menge Daten sammelt und an den Cloud-Dienst \u00fcbertr\u00e4gt. Dies ist einerseits erforderlich, damit der Service funktioniert. Denn ohne zu analysierende Daten kann es keine Hinweise und Empfehlungen geben. Anderseits kann man anhand der \u00fcbertragenen Daten eine ziemlich genaue Karte der Netzwerkinfrastruktur zeichnen.<\/p>\n\n\n\n<p>Insights selbst wird auf OpenShift Dedicated in AWS (US East) gehostet. Aktuell gibt es keinerlei Pl\u00e4ne, den Dienst in weiteren Regionen zu hosten.<\/p>\n\n\n\n<p>Der <code>insights-client<\/code> bietet mit den Optionen <code>--no-upload<\/code> bzw. <code>--offline<\/code> die M\u00f6glichkeit, Daten lokal zu sammeln, <strong>ohne<\/strong> diese an den Cloud-Dienst zu \u00fcbertragen. Als Sysadmin hat man so die M\u00f6glichkeit, im Vorfeld zu inspizieren, welche Daten gesammelt wurden. Dazu gibt es die M\u00f6glichkeit, eine Blacklist zu pflegen und zu spezifizieren, welche Daten von der Sammlung und \u00dcbertragung auszuschlie\u00dfen sind.<\/p>\n\n\n\n<p>Die folgende Datei beinhaltet eine Baumansicht der Dateien und Informationen, die ein <code>insights-client<\/code> auf einem System mit installiertem MediaWiki gesammelt hat. Darunter befinden sich z.B. diverse Konfigurationsdateien und mit Hilfe verschiedener Kommandos gesammelte Informationen.<\/p>\n\n\n\n<div class=\"wp-block-file\"><a href=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/06\/inights-foo.example.com-20200604055128.txt\">inights-foo.example.com-20200604055128.txt<\/a><a href=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/06\/inights-foo.example.com-20200604055128.txt\" class=\"wp-block-file__button\" download>Herunterladen<\/a><\/div>\n\n\n\n<p>Stellt man sich den Betrieb von 100 RHEL-Servern vor, welche verschiedenste Dienste erbringen, wird jedoch deutlich, dass eine manuelle Kontrolle und Pflege individueller Blacklists f\u00fcr alle Systeme nicht leistbar ist. Zumal sich das Regelwerk, welches die zu sammelnden Daten bestimmt, dynamisch \u00e4ndert und eine Pr\u00fcfung vor jedem Upload erfolgen m\u00fcsste.<\/p>\n\n\n\n<p>Leider existiert Stand heute keine on-premise Appliance, welche die Nutzung des Dienstes innerhalb des eigenen Perimeters erm\u00f6glichen w\u00fcrde. Auch eine Whitelist f\u00fcr den <code>insights-client<\/code> existiert (noch) nicht. Letzteres w\u00fcrde dem Nutzer noch mehr Kontrolle \u00fcber die Daten-Sammlung\/-\u00dcbertragung geben. So k\u00f6nnte er einmal definieren, was \u00fcbertragen werden darf und m\u00fcsste nicht f\u00fcrchten, dass bereits einige Tage sp\u00e4ter weitere Daten ohne sein Wissen gesammelt und \u00fcbertragen werden.<\/p>\n\n\n\n<p>Sowohl den Wunsch nach einer on-premise Appliance, als auch den Vorschlag zur Einf\u00fchrung einer Whitelist, habe ich dem Insights-Team gemeldet. Die Meldung wurde nach meinem Empfinden konstruktiv aufgenommen. Und auch wenn mein gr\u00f6\u00dfter Wunsch nach der Appliance kurz- und mittelfristig nicht realisiert werden wird, f\u00fchle ich mich als Nutzer ernst genommen und habe das Gef\u00fchl, dass mein Feedback willkommen ist.<\/p>\n\n\n\n<p>Red Hat beschreibt in oben verlinkter Dokumentation, dass der Dienst keine pers\u00f6nlichen Daten sammelt. So sind <code><em>\/etc\/{passwd,group,shadow}<\/em><\/code> sowie <code><em>\/home<\/em><\/code> nicht in den gesammelten Daten enthalten. Auch werden keine vollst\u00e4ndigen Logdateien an den Dienst \u00fcbertragen. Generell legt Red Hat sehr viele Informationen \u00fcber den Dienst offen und handelt hier sehr transparent. Das Unternehmen verh\u00e4lt sich in dieser Hinsicht vorbildlich.<\/p>\n\n\n\n<p>Wenn ein Client keine Daten mehr \u00fcbermittelt, werden die zuletzt von ihm empfangenen Daten nach 14 Tagen automatisch gel\u00f6scht. Wird ein Client aus Insights entfernt, werden die f\u00fcr diesen Client gespeicherten Daten ebenfalls gel\u00f6scht.<\/p>\n\n\n\n<p>Nichtsdestotrotz verliert man die Gewalt \u00fcber einmal \u00fcbertragene Daten. Man muss dem Anbieter wie bei jedem SaaS-Dienst vertrauen, dass er sich an die eigenen Zusicherungen und Versprechen h\u00e4lt.<\/p>\n\n\n\n<p>M\u00f6chtet ihr Insights in eurer Dienststelle oder eurem Betrieb testen, rate ich euch deshalb, sprecht zuerst mit der\/dem Informationssicherheitsbeauftragten und Datenschutzbeauftragten und eurer\/eurem Vorgesetzten \u00fcber das Thema.<\/p>\n\n\n\n<p>Trotz aller Bedenken bietet Insights die Chance, Kenntnis \u00fcber Probleme und Schwachstellen zu erlangen, die bisher unbekannt sind und ein gr\u00f6\u00dferes Sicherheitsrisiko darstellen als die regelm\u00e4\u00dfige Daten\u00fcbertragung an Insights. Ob der Nutzen \u00fcberwiegt, muss allerdings jede Organisation f\u00fcr sich selbst beurteilen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Einrichtung von Red Hat Insights auf Red Hat Enterprise Linux<\/h2>\n\n\n\n<p>Die folgenden Schritte setzen voraus, dass die verwendeten RHEL-Systeme registriert sind und \u00fcber eine g\u00fcltige Subskription verf\u00fcgen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Manuelle Einrichtung<\/h3>\n\n\n\n<p>Um den vollen Funktionsumfang von Insights nutzen zu k\u00f6nnen, werden die folgenden Pakete installiert:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>$ sudo yum -y install openscap-scanner scap-security-guide insights-client<\/code><\/pre>\n\n\n\n<p>Die Installation des OpenSCAP-Scanners und des SCAP-Security-Guides sind optional. Diese Pakete sind erforderlich, um den Compliance Service nutzen zu k\u00f6nnen. Da der <code>insights-client<\/code> in RHEL 8 bereits integriert ist, muss dieser hier nicht gesondert installiert werden.<\/p>\n\n\n\n<p>Um die Einrichtung des <code>insights-client<\/code> abzuschlie\u00dfen und gesammelte Daten an den SaaS-Dienst zu \u00fcbertragen, gen\u00fcgt es, das folgende Kommando auszuf\u00fchren:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>$ sudo insights-client --register<\/code><\/pre>\n\n\n\n<h3 class=\"wp-block-heading\">Automatisierte Einrichtung mit Ansible<\/h3>\n\n\n\n<p>Um die notwendigen Schritte zur Einrichtung nicht auf jedem Host manuell ausf\u00fchren zu m\u00fcssen, kann folgendes <a href=\"https:\/\/www.my-it-brain.de\/wordpress\/ansible-it-automation-fuer-jedermann\/\">Ansible-Playbook<\/a> verwendet werden.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>---\n- hosts: rh-insights-poc # Gruppe aus dem Ansible-Inventory\n  tasks:\n\n  - name: Make sure required packages are present\n    yum:\n      name:\n        - openscap-scanner\n        - scap-security-guide\n        - insights-client\n      state: latest\n\n  - name: Register insights-client\n    command: insights-client --register<\/code><\/pre>\n\n\n\n<p>F\u00fcr meine Zwecke reicht obiges Playbook. Alternativ gibt es auf Ansible Galaxy eine Rolle mit deutlich gr\u00f6\u00dferem Funktionsumfang: <a rel=\"noreferrer noopener\" href=\"https:\/\/galaxy.ansible.com\/redhatinsights\/insights-client\" target=\"_blank\">redhatinsights.insights-client<\/a><\/p>\n\n\n\n<p>Sind die Systeme eingerichtet und registriert, ist es an der Zeit, sich unter der URL <a href=\"https:\/\/cloud.redhat.com\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/cloud.redhat.com<\/a> einzuloggen und das Insights Dashboard zu erkunden.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"800\" height=\"430\" src=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/cloud.redhat.com_-800x430.png\" alt=\"\" class=\"wp-image-2426\" title=\"site-cloud.redhat.com\" srcset=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/cloud.redhat.com_-800x430.png 800w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/cloud.redhat.com_-300x161.png 300w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/cloud.redhat.com_-768x413.png 768w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/cloud.redhat.com_-1536x825.png 1536w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/cloud.redhat.com_-624x335.png 624w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/cloud.redhat.com_.png 1886w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><figcaption>Startseite unter https:\/\/cloud.redhat.com<\/figcaption><\/figure>\n\n\n\n<p>An dieser Stelle lasse ich euch vorerst mit dem Dashboard allein. Im n\u00e4chsten Artikel dieser kleinen Reihe werde ich mich mit dem Inisghts Advisor befassen.<\/p>\n\n\n\n<div class=\"wp-block-group\"><div class=\"wp-block-group__inner-container is-layout-flow wp-block-group-is-layout-flow\">\n<h2 class=\"wp-block-heading\">Artikel aus dieser Serie<\/h2>\n\n\n\n<ol class=\"wp-block-list\"><li><a href=\"https:\/\/www.my-it-brain.de\/wordpress\/einfuehrung-in-red-hat-insights\/\">Einf\u00fchrung in Red Hat Insights<\/a><\/li><li><a href=\"https:\/\/www.my-it-brain.de\/wordpress\/erkundung-von-red-hat-insights-advisor\/\">Erkundung von Red Hat Insights &#8212; Advisor<\/a><\/li><li><a href=\"https:\/\/www.my-it-brain.de\/wordpress\/schwachstellen-management-mit-red-hat-insights\/\">Schwachstellen-Management mit Red Hat Insights<\/a><\/li><li><a href=\"https:\/\/www.my-it-brain.de\/wordpress\/red-hat-insights-compliance\/\">Red Hat Insights &#8212; Compliance<\/a><\/li><li><a href=\"https:\/\/www.my-it-brain.de\/wordpress\/red-hat-insights-patch-and-drift\/\">Red Hat Insights &#8212; Patch and Drift<\/a><\/li><li><a href=\"https:\/\/www.my-it-brain.de\/wordpress\/persoenliche-bewertung-von-red-hat-insights\/\">Pers\u00f6nliche Bewertung von Red Hat Insights<\/a><\/li><\/ol>\n<\/div><\/div>\n","protected":false},"excerpt":{"rendered":"<p>Bei Red Hat Insights handelt es sich um eine SaaS-Anwendung, welche Nutzern von RHEL-Subskriptionen kostenlos zur Verf\u00fcgung steht. Dieser Artikel bietet eine kurze Einf\u00fchrung in Red Hat Insights, zeigt, wie RHEL-Systeme in den Cloud-Dienst eingebunden werden und f\u00fchrt wichtige Dokumente und Quellen zum Dienst auf. Hinweis: Ich teste den Dienst im Rahmen meiner beruflichen T\u00e4tigkeit<span class=\"continue-reading\"> <a href=\"https:\/\/www.my-it-brain.de\/wordpress\/einfuehrung-in-red-hat-insights\/\">[Weiterlesen&#8230;]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_metis_text_type":"","_metis_text_length":0,"_post_count":0,"footnotes":""},"categories":[52],"tags":[581,430,305,419],"class_list":["post-2425","post","type-post","status-publish","format-standard","hentry","category-cloud-dienste","tag-insights","tag-osbn","tag-planet","tag-red-hat"],"_links":{"self":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/2425","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/comments?post=2425"}],"version-history":[{"count":15,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/2425\/revisions"}],"predecessor-version":[{"id":3160,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/2425\/revisions\/3160"}],"wp:attachment":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/media?parent=2425"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/categories?post=2425"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/tags?post=2425"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}