Faciliter la conformité de la sécurité avec l'OpenShift Compliance Operator: Partie 1

Ceci est la première partie d'une série sur l'OpenShift Compliance Operator, qui se concentre sur l'installation de l'opérateur et l'exécution d'un scan.

Les opérateurs sont un élément fort de la plate-forme OpenShift de Red Hat facilitant l'opération complexité de ce qui pourrait autrement être des éléments difficiles de la plate-forme. L'opérateur de conformité de Red Hat apporte un certain soulagement à la complexité opérationnelle de la gestion de la conformité de sécurité d'une plate-forme de conteneurisation. Dans ce blog, je passerai brièvement en revue l’installation de l’opérateur de conformité et de certains de ses composants. Je vais ensuite vous montrer comment lancer des analyses de conformité, voir les résultats à un niveau élevé et appliquer le nombre toujours croissant de remédiations automatisées.

L'opérateur de conformité se trouve dans la section OperatorHub de la console OpenShift (avec avec d'autres opérateurs); il s'installe facilement avec les paramètres par défaut par un utilisateur disposant des privilèges d'administrateur du cluster.

L'installation par l'opérateur crée un espace de noms de conformité OpenShift par défaut, et une fois l'installation terminée, vous voir ces onglets sur l'opérateur.

L'opérateur lui-même fournit une belle description de chaque section, donc je ne reviendrai pas ici mais je vais plutôt plonger directement dans la configuration d'un scan.

Dans la section ScanSetting, l'opérateur propose deux configurations par défaut.

J'en parlerai plus tard, mais pour l'instant, je vais travailler avec la configuration par défaut ScanSetting, qui inclut une planification de type cron pour l'exécution quotidienne des analyses, et pointe vers les rôles qui seront analysés (travailleurs et maîtres par défaut). Voici une vue partielle de ce à quoi ressemble le fichier yaml pour le ScanSetting par défaut:

Pour mon exemple ici, je n'ai pas besoin de modifier le ScanSetting par défaut. [19659003] Pour lancer un scan, nous devons créer un ScanSettingBinding. Dans l'onglet ScanSettingBinding, cliquez simplement sur «Créer ScanSettingBinding» et l'opérateur crée un fichier yaml qui utilise par défaut le profil rhcos-modéré, qui s'exécutera contre les maîtres et les workers. Un rapide coup d'œil à l'onglet Profils montre tous les différents profils de sécurité inclus avec l'opérateur.

Je pense que vous constaterez que l'opérateur de conformité est bien documenté. Par exemple, si nous examinons le fichier yaml du profil ocp4-cis, nous verrons une bonne explication de ce que contient ce profil.

Plus bas dans le yaml, il liste toutes les règles qu'il utilise:

Dans l'onglet Règles, toutes les règles incluses sont répertoriées, et chacune d'elles fournit une bonne explication de ce que la règle couvre. Pour mon ScanSettingBinding, j'ai ajouté le profil «ocp4-cis» pour analyser également la plate-forme OpenShift. Le mien (ScanSettingBinding yaml) ressemble maintenant à ceci:

Dès que vous créez et sauvegardez cette liaison, le système lancera une analyse. Si vous regardez sur l'onglet ComplianceScan. vous verrez normalement l'état de chaque analyse comme étant en cours d'exécution, en agrégation ou terminée.

Maintenant que l'analyse est terminée, un moyen simple d'afficher mes résultats à un niveau élevé niveau consiste à exécuter la commande suivante à l'aide de l'interface de ligne de commande OpenShift. Tout d'abord, assurez-vous que vous êtes dans le projet OpenShift-Compliance:

$ oc project openshift-compliance

Puis exécutez:

$ oc get compliancecheckresult

Il listera tous les contrôles et leur statut (réussite, échec, etc…).

** Remarque, ceci est juste un échantillon. La liste complète des résultats est beaucoup plus longue.

Vous pouvez obtenir un résumé rapide en passant cette commande à travers quelques greps et nombre de lignes comme indiqué ci-dessous

$ oc get compliancecheckresult | wc -l

582

$ oc obtenir le résultat du contrôle de conformité | grep PASS | wc -l

148

$ oc obtenir le résultat du contrôle de conformité | grep FAIL | wc -l

395

$ oc obtenir le résultat du contrôle de conformité | grep INFO | wc -l

2

$ oc obtenir le résultat du contrôle de conformité | MANUEL grep | wc -l

34

$ oc obtenir le résultat du contrôle de conformité | grep NON-APPLICABLE | wc -l

2

** La première ligne du résultat de la vérification de la conformité est une ligne d'en-tête, donc il y a en fait 581 vérifications. remédiations automatisées. Tout d'abord, je dois dire à la liaison des paramètres d'analyse d'appliquer les corrections automatiques dont elle dispose. Vous pouvez choisir des applications spécifiques, mais dans mon cas, je vais demander à l'opérateur d'appliquer tout ce qu'il peut. Comme je l'ai mentionné précédemment, il y a deux ScanSettings installés par l'opérateur: un par défaut et un default-auto-apply.

My ScanSettingBinding est configuré pour utiliser la valeur par défaut, qui ne scanne que . Je vais le modifier et lui faire utiliser l’option d’application automatique par défaut. Je fais cela en éditant le ScanSettingBinding «nist-modéré» que j'ai créé plus tôt.

Dans le fichier yaml, je change simplement le ScanSetting par défaut en «default-auto-apply»:

Maintenant, je peux relancer mes analyses et l'opérateur appliquera toutes les corrections automatiques. Si vous vous souvenez de notre examen précédent des scans, il existe en fait trois scans distincts. Un pour les nœuds maîtres, un pour les nœuds de travail et un pour la plate-forme OpenShift elle-même.

Le moyen le plus simple de redémarrer ces analyses est probablement à partir de la CLI, en utilisant ces trois commandes:

$ oc annotate compliancescans / ocp4-cis compliance.openshift.io/rescan=[19659002[19459003

$ oc annotate compliancescans / rhcos4-modéré-worker compliance.openshift.io/rescan=[19659002J'airésumélesrésultatsdesanalysesavantetaprèsdansletableauci-dessous:

Vous pouvez voir que l'opérateur a corrigé un grand nombre de résultats, et le nombre de correctifs automatisés augmente rapidement à mesure que la communauté écrit des correctifs et qu'ils sont vérifiés par Red Hat.

Dans les prochains blogs, je vais vous montrer comment générer de jolis rapports OpenSCAP formatés, ainsi qu'un moyen de insérez les éléments restants dans une liste de tâches pratique, ce qui vous aidera à créer un plan pour vous mettre en conformité. Je vais également vous montrer comment utiliser les configurations de machine pour personnaliser et automatiser les correctifs de vos clusters.

Documentation de référence:

Red Hat OpenShift Compliance Operator Documentation