Container-Scanning mit oscap-podman

Sichtbar machen

Um veraltete Software-Installationen oder fehlerhafte Konfigurationen zu finden, existieren eine Vielzahl an unterschiedlichen Scannern. Immer mehr Anwendungen laufen allerdings in Containern ab. Für klassische Scanner-Tools sind diese somit gar nicht sichtbar. Der Open-Source-Tipp zeigt, wie sich dieses Problem mit­hilfe von OpenSCAP lösen lässt.
Angesichts der zunehmend genutzten verteilten Infrastrukturen verkompliziert sich der reibungslose Betrieb von Applikationen. Im Dezember befasst sich ... (mehr)

Im Open-Source-Umfeld existiert mit OpenSCAP eine Umsetzung des Security Content Automation Protocols (SCAP) [1]. Das Protokoll setzt sich aus mehreren Komponenten zusammen, die üblicherweise im Dateiformat vorliegen. Die wichtigsten hiervon sind:

- XCCDF (Extensible Configuration Checklist Description Format): Mithilfe von XCCDF-Dateien erzeugen Sie eine Checkliste und definieren, welche Tests als Teil eines Security-Scans durchzuführen sind.

- OVAL (Open Vulnerability and Assessment Language): Die OVAL-Sprache beschreibt einen Test und definiert, wie dieser im Einzelnen aussehen soll.

- CPE (Common Platform Enumeration): Um einzelne Komponenten eines Tests eindeutig zu kennzeichnen, kommt CPE zum Einsatz.

- CVE (Common Vulnerabilities and Exposures): Ganz ähnlich wie CPE-IDs sorgen CVE-Nummern dafür, eine bekannte Sicherheitsschwachstelle mit einer eindeutigen Kennzeichnung zu versehen.

DataStreams fassen mehrere SCAP-Komponenten innerhalb einer Datei zusammen. Die Dateien sind dann in der Regel Teil einer Policy, die sich zum Scannen eines Systems verwenden lässt. Es wird zwischen Source DataStreams (SDS) und Result DataStreams im Asset-Reporting-Format (ARF) unterschieden. Die SDS setzen sich aus den Dateien zusammen, die für den Scan eines Systems auf Basis eines bestimmten Profils erforderlich sind. ARF-Streams bündeln die einzelnen Ergebnisse des Scans in einer Datei. Diese können Administratoren dann in einem Webbrowser betrachten.

Viele Hersteller bieten mittlerweile SCAP-Komponenten für ihre Software oder auch diverse Sicherheitsrichtlinien an. Ein gutes Beispiel ist das Center for Internet Security (CIS), das die bekannten CIS-Benchmarks herausgibt, oder der Security Technical Implementation Guide (STIG) der Defense Information Systems Agency (DISA). Um die gewünschten SCAP-Komponenten leichter zu finden, existieren spezielle Suchmaschinen wie beispielsweise das National Checklist Program Repository (NCP)

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021