{"id":2486,"date":"2020-07-13T07:00:00","date_gmt":"2020-07-13T05:00:00","guid":{"rendered":"https:\/\/www.my-it-brain.de\/wordpress\/?p=2486"},"modified":"2020-07-27T07:27:05","modified_gmt":"2020-07-27T05:27:05","slug":"red-hat-insights-compliance","status":"publish","type":"post","link":"https:\/\/www.my-it-brain.de\/wordpress\/red-hat-insights-compliance\/","title":{"rendered":"Red Hat Insights &#8211; Compliance"},"content":{"rendered":"\n<p>Dies ist der vierte Artikel in meiner Serie \u00fcber <a rel=\"noreferrer noopener\" href=\"https:\/\/www.redhat.com\/de\/technologies\/management\/insights\" target=\"_blank\">Red Hat Insights<\/a>. In diesem besch\u00e4ftige ich mich mit der M\u00f6glichkeit meine Systeme auf Compliance pr\u00fcfen zu k\u00f6nnen.<\/p>\n\n\n\n<p><em>Hinweis:<\/em> Um Systeme auf Compliance pr\u00fcfen zu k\u00f6nnen, m\u00fcssen neben dem <code>insights-client<\/code> auch die Pakete <code>openscap-scanner<\/code> und <code>scap-security-guide<\/code> auf den jeweiligen Systemen installiert sein.<\/p>\n\n\n\n<div class=\"wp-block-group has-light-gray-background-color has-background\"><div class=\"wp-block-group__inner-container is-layout-flow wp-block-group-is-layout-flow\">\n<div class=\"wp-block-group\"><div class=\"wp-block-group__inner-container is-layout-flow wp-block-group-is-layout-flow\">\n<div class=\"wp-block-group\"><div class=\"wp-block-group__inner-container is-layout-flow wp-block-group-is-layout-flow\">\n<h2 class=\"wp-block-heading\">Informationen zu OpenSCAP<\/h2>\n<\/div><\/div>\n<\/div><\/div>\n\n\n\n<ul class=\"wp-block-list\"><li><a rel=\"noreferrer noopener\" href=\"https:\/\/access.redhat.com\/documentation\/en-us\/red_hat_enterprise_linux\/7\/html-single\/security_guide\/index#scanning-the-system-for-configuration-compliance-and-vulnerabilities_security-hardening\" target=\"_blank\">Security Guide RHEL 7 Chapter&nbsp;7.&nbsp;Scanning the System for Configuration Compliance and Vulnerabilities<\/a><\/li><li><a rel=\"noreferrer noopener\" href=\"https:\/\/www.open-scap.org\/\" target=\"_blank\">https:\/\/www.open-scap.org\/<\/a><\/li><li><a href=\"https:\/\/static.open-scap.org\/\">https:\/\/static.open-scap.org\/<\/a><\/li><\/ul>\n<\/div><\/div>\n\n\n\n<h2 class=\"wp-block-heading\">Compliance Policy erstellen und Systeme zuweisen<\/h2>\n\n\n\n<p>Compliance bedeutet vereinfacht ausgedr\u00fcckt, Regeln einzuhalten bzw. Vorgaben zu erf\u00fcllen. Demnach ben\u00f6tigt man eine Richtlinie mit einem Regelwerk gegen welches man seine Systeme abgleichen kann. Diese Regelwerke findet man h\u00e4ufig in Form von Standards wie z.B. <a rel=\"noreferrer noopener\" href=\"https:\/\/de.wikipedia.org\/wiki\/Payment_Card_Industry_Data_Security_Standard\" target=\"_blank\">PCI-DSS<\/a>, <a rel=\"noreferrer noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Health_Insurance_Portability_and_Accountability_Act\" target=\"_blank\">HIPAA (en)<\/a> oder <a rel=\"noreferrer noopener\" href=\"https:\/\/de.wikipedia.org\/wiki\/Sarbanes-Oxley_Act\" target=\"_blank\">SOX<\/a>. Bevor man eine entsprechende Richtlinie (Policy) erstellt bzw. ausgew\u00e4hlt hat, gibt es daher im Insights-Dashboard auch noch nichts zu sehen (siehe Bild 1).<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-large\"><a href=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance.png\"><img loading=\"lazy\" decoding=\"async\" width=\"800\" height=\"430\" src=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-800x430.png\" alt=\"empty-rh-insights-compliance-menu.png\" class=\"wp-image-2487\" srcset=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-800x430.png 800w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-300x161.png 300w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-768x413.png 768w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-1536x825.png 1536w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-624x335.png 624w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance.png 1886w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><\/a><figcaption>Bild 1: Einstieg in die Compliance-Funktion innerhalb von Red Hat Insights.<\/figcaption><\/figure><\/div>\n\n\n\n<p>Als erstes ist daher eine Policy zu erstellen. Hierbei wird man von einem Assistenten durch die verschiedenen Dialoge gef\u00fchrt (siehe Bild 2-7). F\u00fcr meinen Test habe ich eine SCAP-Policy f\u00fcr RHEL 7 Systeme  mit dem <a rel=\"noreferrer noopener\" href=\"https:\/\/static.open-scap.org\/ssg-guides\/ssg-centos7-guide-standard.html\" target=\"_blank\">&#8222;Standard System Security Profile for Red Hat Enterprise Linux 7&#8220;<\/a> erstellt (vgl. Bild 2 und 3). Selbstbewusst und ohne zu wissen, was mich erwartet, habe ich den Compliance Threshold auf 96 Prozent festgelegt (vgl. Bild 4). Im n\u00e4chsten Schritt (Bild 5) werden die im Profil enthaltenen Regeln aufgelistet, mit der M\u00f6glichkeit sich zu jeder Regel eine detaillierte Beschreibung anzeigen lassen zu k\u00f6nnen. An dieser Stelle k\u00f6nnen einzelne Regeln deaktiviert werden, sofern man diese f\u00fcr unwichtig erachtet. F\u00fcr diesen Test lasse ich alle Regeln aktiviert und bin auf das Ergebnis gespannt.<\/p>\n\n\n\n<p>Bild 6 zeigt den Auswahldialog, in dem Systeme der zu erstellenden Policy zugewiesen werden. Grunds\u00e4tzlich kann man verschiedene Policies f\u00fcr unterschiedliche Systeme verwenden oder einzelne Systeme nach mehren Policies auditieren lassen. F\u00fcr diesen Test wurden alle 13 Systeme der aktuellen Policy zugewiesen.<\/p>\n\n\n\n<figure class=\"wp-block-gallery columns-1 is-cropped wp-block-gallery-1 is-layout-flex wp-block-gallery-is-layout-flex\"><ul class=\"blocks-gallery-grid\"><li class=\"blocks-gallery-item\"><figure><a href=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-create-policy-800x497.png\"><img loading=\"lazy\" decoding=\"async\" width=\"800\" height=\"497\" src=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-create-policy-800x497.png\" alt=\"\" data-id=\"2488\" data-link=\"https:\/\/www.my-it-brain.de\/wordpress\/?attachment_id=2488\" class=\"wp-image-2488\" srcset=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-create-policy-800x497.png 800w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-create-policy-300x187.png 300w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-create-policy-768x478.png 768w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-create-policy-624x388.png 624w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-create-policy.png 1235w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><\/a><figcaption class=\"blocks-gallery-item__caption\">Bild 2: Erstellen einer SCAP-Policy f\u00fcr RHEL 7<\/figcaption><\/figure><\/li><li class=\"blocks-gallery-item\"><figure><a href=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-std7-scap-profile-800x496.png\"><img loading=\"lazy\" decoding=\"async\" width=\"800\" height=\"496\" src=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-std7-scap-profile-800x496.png\" alt=\"\" data-id=\"2492\" data-link=\"https:\/\/www.my-it-brain.de\/wordpress\/?attachment_id=2492\" class=\"wp-image-2492\" srcset=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-std7-scap-profile-800x496.png 800w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-std7-scap-profile-300x186.png 300w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-std7-scap-profile-768x476.png 768w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-std7-scap-profile-624x387.png 624w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-std7-scap-profile.png 1235w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><\/a><figcaption class=\"blocks-gallery-item__caption\">Bild 3: Auswahl eines SCAP-Profils<\/figcaption><\/figure><\/li><li class=\"blocks-gallery-item\"><figure><a href=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-policy-details-800x495.png\"><img loading=\"lazy\" decoding=\"async\" width=\"800\" height=\"495\" src=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-policy-details-800x495.png\" alt=\"\" data-id=\"2489\" data-link=\"https:\/\/www.my-it-brain.de\/wordpress\/?attachment_id=2489\" class=\"wp-image-2489\" srcset=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-policy-details-800x495.png 800w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-policy-details-300x186.png 300w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-policy-details-768x476.png 768w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-policy-details-624x386.png 624w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-policy-details.png 1237w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><\/a><figcaption class=\"blocks-gallery-item__caption\">Bild 4: Details des ausgew\u00e4hlten SCAP-Profils und Einstellung des Compliance-Thresholds<\/figcaption><\/figure><\/li><li class=\"blocks-gallery-item\"><figure><a href=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-policy-rules-800x497.png\"><img loading=\"lazy\" decoding=\"async\" width=\"800\" height=\"497\" src=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-policy-rules-800x497.png\" alt=\"\" data-id=\"2491\" data-link=\"https:\/\/www.my-it-brain.de\/wordpress\/?attachment_id=2491\" class=\"wp-image-2491\" srcset=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-policy-rules-800x497.png 800w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-policy-rules-300x186.png 300w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-policy-rules-768x477.png 768w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-policy-rules-624x388.png 624w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-policy-rules.png 1235w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><\/a><figcaption class=\"blocks-gallery-item__caption\">Bild 5: \u00dcbersicht \u00fcber die im ausgew\u00e4hlten Profil enthaltenen Regeln, mit der M\u00f6glichkeit einzelne Regeln zu deaktivieren<\/figcaption><\/figure><\/li><li class=\"blocks-gallery-item\"><figure><a href=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-systems.png\"><img loading=\"lazy\" decoding=\"async\" width=\"800\" height=\"495\" src=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-systems-800x495.png\" alt=\"\" data-id=\"2500\" data-full-url=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-systems.png\" data-link=\"https:\/\/www.my-it-brain.de\/wordpress\/?attachment_id=2500\" class=\"wp-image-2500\" srcset=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-systems-800x495.png 800w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-systems-300x186.png 300w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-systems-768x475.png 768w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-systems-624x386.png 624w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-systems.png 1236w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><\/a><figcaption class=\"blocks-gallery-item__caption\">Bild 6: Auswahl von Systemen, welche der neuen Policy hinzugef\u00fcgt werden sollen<\/figcaption><\/figure><\/li><li class=\"blocks-gallery-item\"><figure><a href=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-policy-review-800x497.png\"><img loading=\"lazy\" decoding=\"async\" width=\"800\" height=\"497\" src=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-policy-review-800x497.png\" alt=\"\" data-id=\"2490\" data-link=\"https:\/\/www.my-it-brain.de\/wordpress\/?attachment_id=2490\" class=\"wp-image-2490\" srcset=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-policy-review-800x497.png 800w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-policy-review-300x186.png 300w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-policy-review-768x477.png 768w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-policy-review-624x387.png 624w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-policy-review.png 1232w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><\/a><figcaption class=\"blocks-gallery-item__caption\">Bild 7: Zusammenfassung der Einstellungen<\/figcaption><\/figure><\/li><li class=\"blocks-gallery-item\"><figure><a href=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-scap-policies-800x298.png\"><img loading=\"lazy\" decoding=\"async\" width=\"800\" height=\"298\" src=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-scap-policies-800x298.png\" alt=\"\" data-id=\"2496\" data-link=\"https:\/\/www.my-it-brain.de\/wordpress\/?attachment_id=2496\" class=\"wp-image-2496\" srcset=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-scap-policies-800x298.png 800w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-scap-policies-300x112.png 300w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-scap-policies-768x286.png 768w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-scap-policies-624x233.png 624w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-scap-policies.png 1268w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><\/a><figcaption class=\"blocks-gallery-item__caption\">Bild 8: \u00dcbersicht der vorhandenen SCAP-Policies mit Anzahl zugewiesener Systeme und Compliance-Threshold<\/figcaption><\/figure><\/li><\/ul><\/figure>\n\n\n\n<p>Zum Abschluss des Assistenten wird noch einmal eine Zusammenfassung angezeigt (Bild 7), bevor die Policy erstellt wird. Anschlie\u00dfend kann man die soeben erstellte Policy in der \u00dcbersicht wiederfinden (vgl. Bild 8).<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Compliance-Scan ausf\u00fchren<\/h2>\n\n\n\n<p>In vorstehendem Abschnitt wurde eine SCAP-Policy erstellt und mit den vorhandenen Systemen verkn\u00fcpft. Um die Systeme nun auf Compliance zu pr\u00fcfen, ist der <code>insights-client<\/code> auf jedem System mit der Option <code>--compliance<\/code> zu starten. Der folgende Code-Block zeigt beispielhaft einen interaktiven Aufruf.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code># insights-client --compliance\nRunning scan for xccdf_org.ssgproject.content_profile_standard... this may take a while\nUploading Insights data.\nSuccessfully uploaded report for foo.example.com.\n#<\/code><\/pre>\n\n\n\n<p>M\u00f6chte man seine Systeme regelm\u00e4\u00dfig mit dem Compliance-Scan pr\u00fcfen, kann dies \u00fcber einen Cronjob oder durch ein regelm\u00e4\u00dfig auszuf\u00fchrendes <a rel=\"noreferrer noopener\" href=\"https:\/\/www.my-it-brain.de\/wordpress\/ansible-it-automation-fuer-jedermann\/\" target=\"_blank\">Ansible-Playbook<\/a> gel\u00f6st werden.<\/p>\n\n\n\n<p><em>Hinweis: <\/em>Es handelt sich dabei nicht um den normalen Scan des <code>insights-client<\/code>, welcher t\u00e4glich ausgef\u00fchrt wird und Informationen an den SaaS-Dienst \u00fcbermittelt.<\/p>\n\n\n\n<p>Der hochgeladene Report ist wenige Minuten sp\u00e4ter im Compliance-Men\u00fc des Insights-Dashboards sichtbar.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Compliance-Reports im Insights-Dashboard<\/h2>\n\n\n\n<p>Das Insights-Dashboard bietet die aus den vorhergehenden Artikeln bekannte tabellarische \u00dcbersicht auch im Compliance-Men\u00fc. Hier\u00fcber gelangt man zu einer Ansicht, welche die Systeme mit ihrem jeweiligen Compliance-Score und der Anzahl nicht eingehaltener Regeln auflistet (siehe Bild 9).<\/p>\n\n\n\n<p>Bild 10 zeigt einen Ausschnitt eines Reports f\u00fcr ein ausgew\u00e4hltes System. Hier werden die Compliance-Regeln mit Name und ID aufgef\u00fchrt. Dar\u00fcber hinaus erkennt man auf einen Blick die Severity, ob der Test bestanden wurde und ob ein Ansible-Remediation-Playbook existiert.<\/p>\n\n\n\n<figure class=\"wp-block-gallery aligncenter columns-1 is-cropped wp-block-gallery-2 is-layout-flex wp-block-gallery-is-layout-flex\"><ul class=\"blocks-gallery-grid\"><li class=\"blocks-gallery-item\"><figure><a href=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-report-overview.png\"><img loading=\"lazy\" decoding=\"async\" width=\"800\" height=\"217\" src=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-report-overview-800x217.png\" alt=\"\" data-id=\"2501\" data-full-url=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-report-overview.png\" data-link=\"https:\/\/www.my-it-brain.de\/wordpress\/?attachment_id=2501\" class=\"wp-image-2501\" srcset=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-report-overview-800x217.png 800w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-report-overview-300x81.png 300w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-report-overview-768x208.png 768w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-report-overview-1536x416.png 1536w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-report-overview-624x169.png 624w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-report-overview.png 1560w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><\/a><figcaption class=\"blocks-gallery-item__caption\">Bild 9: \u00dcbersicht der zur SCAP-Policy vorliegenden Reports aller Systeme<\/figcaption><\/figure><\/li><li class=\"blocks-gallery-item\"><figure><a href=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-report-system-view.png\"><img loading=\"lazy\" decoding=\"async\" width=\"800\" height=\"433\" src=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-report-system-view-800x433.png\" alt=\"\" data-id=\"2502\" data-full-url=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-report-system-view.png\" data-link=\"https:\/\/www.my-it-brain.de\/wordpress\/?attachment_id=2502\" class=\"wp-image-2502\" srcset=\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-report-system-view-800x433.png 800w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-report-system-view-300x162.png 300w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-report-system-view-768x416.png 768w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-report-system-view-624x338.png 624w, https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2020\/05\/rh-insights-compliance-report-system-view.png 1511w\" sizes=\"auto, (max-width: 800px) 100vw, 800px\" \/><\/a><figcaption class=\"blocks-gallery-item__caption\">Bild 10: Compliance-Report f\u00fcr ein ausgew\u00e4hltes System<\/figcaption><\/figure><\/li><\/ul><\/figure>\n\n\n\n<p>In Bild 10 wurde eine Regel exemplarisch aufgeklappt, um die dahinter liegenden Informationen anzuzeigen. Diesen kann man entnehmen, welche Einstellungen vorhanden sein m\u00fcssen, um diese konkrete Regel zu erf\u00fcllen. Man erh\u00e4lt an dieser Stelle daher nicht nur allgemeine Hinweise, sondern zudem explizite Handlungsempfehlungen. Dar\u00fcber hinaus gibt es zu jeder Regel einen Hinweis, warum es sinnvoll erscheint, die empfohlenen Ma\u00dfnahmen umzusetzen.<\/p>\n\n\n\n<p>In diesem Test hat \u00fcbrigens keines der 13 Systeme den vorgegebenen Compliance-Score erreicht. Dabei erreichten acht Systeme einen Score zwischen 80-85%, drei lagen bei 70-75% und zwei Systeme erreichten lediglich einen Score von 43-48%.<\/p>\n\n\n\n<p>Das Ergebnis ist nun aber nicht so schlimm, wie es auf den ersten Blick aussieht. Denn einige der im verwendeten Profil geforderten Einstellungen sind in unserem Fall mitbestimmungspflichtig und m\u00fcssen im Vorfeld einer m\u00f6glichen Umsetzung mit dem Personalrat abgestimmt werden.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Fazit<\/h2>\n\n\n\n<p>Zwar sind unsere Systeme Stand heute an keine konkrete Policy gebunden, doch macht es in meinen Augen durchaus Sinn sich an einigen dieser Policies zu orientieren und deren sinnvoll erscheinenden Regeln einzuhalten. Ihnen blind zu folgen ist hingegen nicht sinnvoll. Oder wie mein Kollege sagte: &#8222;Man muss sich vielleicht nicht unbedingt wie eine Bank verhalten, wenn man keine Bank ist. :) &#8222;<\/p>\n\n\n\n<p>Zur Erstellung von Compliance-Reports und der Ableitung einer Konfigurations-Baseline aus diesen h\u00e4tte es des Insights-Dashboards nicht bedurft. Mit dem <code>openscap-scanner<\/code> und dem <code>scap-security-guide<\/code> k\u00f6nnen Reports f\u00fcr ausgew\u00e4hlte SCAP-Profile auch lokal auf jedem System erstellt und analysiert werden. Gerade bei der Erstellung einer Baseline lassen sich dabei Erkenntnisse von wenigen ausgew\u00e4hlten Systemen auf eine gr\u00f6\u00dfere Gruppe von Hosts in der eigenen Infrastruktur \u00fcbertragen.<\/p>\n\n\n\n<p>Das Insights-Dashboard bietet an dieser Stelle den Mehrwert, alle relevanten Informationen an einer Stelle vorliegen bzw. verlinkt zu haben. Der Wechsel zwischen verschiedenen Anwendungen entf\u00e4llt und Ergebnisse lassen sich leichter miteinander vergleichen.<\/p>\n\n\n\n<p>Die verf\u00fcgbaren Ansible-Remediation-Playbooks machen einen soliden Eindruck und sind geeignet, notwendige Einstellungen zu setzen, um eine konkrete Regel einzuhalten. Ich selbst f\u00fchre diese jedoch nicht direkt in meiner Infrastruktur aus, sondern nutze sie lediglich als Ausgangspunkt f\u00fcr eigene Playbooks und Vorlagen. So f\u00e4llt der Lerneffekt f\u00fcr mich pers\u00f6nlich gr\u00f6\u00dfer aus.<\/p>\n\n\n\n<div class=\"wp-block-group\"><div class=\"wp-block-group__inner-container is-layout-flow wp-block-group-is-layout-flow\">\n<h2 class=\"wp-block-heading\">Artikel aus dieser Serie<\/h2>\n\n\n\n<ol class=\"wp-block-list\"><li><a href=\"https:\/\/www.my-it-brain.de\/wordpress\/einfuehrung-in-red-hat-insights\/\">Einf\u00fchrung in Red Hat Insights<\/a><\/li><li><a href=\"https:\/\/www.my-it-brain.de\/wordpress\/erkundung-von-red-hat-insights-advisor\/\">Erkundung von Red Hat Insights &#8212; Advisor<\/a><\/li><li><a href=\"https:\/\/www.my-it-brain.de\/wordpress\/schwachstellen-management-mit-red-hat-insights\/\">Schwachstellen-Management mit Red Hat Insights<\/a><\/li><li><a href=\"https:\/\/www.my-it-brain.de\/wordpress\/red-hat-insights-compliance\/\">Red Hat Insights &#8212; Compliance<\/a><\/li><li><a href=\"https:\/\/www.my-it-brain.de\/wordpress\/red-hat-insights-patch-and-drift\/\">Red Hat Insights &#8212; Patch and Drift<\/a><\/li><li><a href=\"https:\/\/www.my-it-brain.de\/wordpress\/persoenliche-bewertung-von-red-hat-insights\/\">Pers\u00f6nliche Bewertung von Red Hat Insights<\/a><\/li><\/ol>\n<\/div><\/div>\n","protected":false},"excerpt":{"rendered":"<p>Dies ist der vierte Artikel in meiner Serie \u00fcber Red Hat Insights. In diesem besch\u00e4ftige ich mich mit der M\u00f6glichkeit meine Systeme auf Compliance pr\u00fcfen zu k\u00f6nnen. Hinweis: Um Systeme auf Compliance pr\u00fcfen zu k\u00f6nnen, m\u00fcssen neben dem insights-client auch die Pakete openscap-scanner und scap-security-guide auf den jeweiligen Systemen installiert sein. Informationen zu OpenSCAP Security<span class=\"continue-reading\"> <a href=\"https:\/\/www.my-it-brain.de\/wordpress\/red-hat-insights-compliance\/\">[Weiterlesen&#8230;]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_metis_text_type":"","_metis_text_length":0,"_post_count":0,"footnotes":""},"categories":[52],"tags":[585,581,430,305,419],"class_list":["post-2486","post","type-post","status-publish","format-standard","hentry","category-cloud-dienste","tag-compliance","tag-insights","tag-osbn","tag-planet","tag-red-hat"],"_links":{"self":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/2486","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/comments?post=2486"}],"version-history":[{"count":10,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/2486\/revisions"}],"predecessor-version":[{"id":2566,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/2486\/revisions\/2566"}],"wp:attachment":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/media?parent=2486"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/categories?post=2486"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/tags?post=2486"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}