Container-Scanning mit oscap-podman

Sichtbar machen

von Thorsten Scherf

Um veraltete Software-Installationen oder fehlerhafte Konfigurationen zu finden, existieren eine Vielzahl an unterschiedlichen Scannern. Immer mehr Anwendungen laufen allerdings in Containern ab. Für klassische Scanner-Tools sind diese somit gar nicht sichtbar. Der Open-Source-Tipp zeigt, wie sich dieses Problem mithilfe von OpenSCAP lösen lässt.

Aus IT-Administrator 12/2020

Angesichts der zunehmend genutzten verteilten Infrastrukturen verkompliziert sich der reibungslose Betrieb von Applikationen. Im Dezember befasst sich ... (mehr)

Im Open-Source-Umfeld existiert mit OpenSCAP eine Umsetzung des Security Content Automation Protocols (SCAP) [1]. Das Protokoll setzt sich aus mehreren Komponenten zusammen, die üblicherweise im Dateiformat vorliegen. Die wichtigsten hiervon sind:

- XCCDF (Extensible Configuration Checklist Description Format): Mithilfe von XCCDF-Dateien erzeugen Sie eine Checkliste und definieren, welche Tests als Teil eines Security-Scans durchzuführen sind.

- OVAL (Open Vulnerability and Assessment Language): Die OVAL-Sprache beschreibt einen Test und definiert, wie dieser im Einzelnen aussehen soll.

- CPE (Common Platform Enumeration): Um einzelne Komponenten eines Tests eindeutig zu kennzeichnen, kommt CPE zum Einsatz.

- CVE (Common Vulnerabilities and Exposures): Ganz ähnlich wie CPE-IDs sorgen CVE-Nummern dafür, eine bekannte Sicherheitsschwachstelle mit einer eindeutigen Kennzeichnung zu versehen.

DataStreams fassen mehrere SCAP-Komponenten innerhalb einer Datei zusammen. Die Dateien sind dann in der Regel Teil einer Policy, die sich zum Scannen eines Systems verwenden lässt. Es wird zwischen Source DataStreams (SDS) und Result DataStreams im Asset-Reporting-Format (ARF) unterschieden. Die SDS setzen sich aus den Dateien zusammen, die für den Scan eines Systems auf Basis eines bestimmten Profils erforderlich sind. ARF-Streams bündeln die einzelnen Ergebnisse des Scans in einer Datei. Diese können Administratoren dann in einem Webbrowser betrachten.

Viele Hersteller bieten mittlerweile SCAP-Komponenten für ihre Software oder auch diverse Sicherheitsrichtlinien an. Ein gutes Beispiel ist das Center for Internet Security (CIS), das die bekannten CIS-Benchmarks herausgibt, oder der Security Technical Implementation Guide (STIG) der Defense Information Systems Agency (DISA). Um die gewünschten SCAP-Komponenten leichter zu finden, existieren spezielle Suchmaschinen wie beispielsweise das National Checklist Program Repository (NCP)

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.