次の方法で共有

Azure 上の Red Hat Enterprise Linux におけるガバナンスとコンプライアンスに関する考慮事項

  • [アーティクル]

この記事では、Red Hat Enterprise Linux (RHEL) オペレーティング システムのイメージとインスタンスに関する考慮事項と推奨事項について説明します。 クラウド環境における効率的かつ効果的なガバナンスとコンプライアンスには、地道な努力が必要です。

Azure での RHEL デプロイのコンプライアンスとは、システムが仕様、ポリシー、標準などの規則に準拠する方法を定義、測定、レポートするために使用する手段を指します。 組織には多くの場合、システムの使用要件があります。 ガバナンスとは、満たす必要のある仕様を定義するために使用する構造とプロセスを指します。 ガバナンスには、これらの仕様を適用する方法と、不整合を修復する方法も含まれます。

概要

組織、特に規制対象の業界では多くの場合、自環境にソフトウェアをインストールして使用するために、運用認可 (ATO) が必要になります。 このプロセスには、セキュリティ要件ガイド (SRG) に基づいたソフトウェアの評価が含まれます。SRG は一連の技術的管理策をまとめたものです。 このような管理策の例として、情報システムおよび組織を対象とした米国国立標準技術研究所 (NIST) のセキュリティおよびプライバシー管理策があります。

このセキュリティ評価では、ソフトウェアが各管理策に適合しているかどうか、またはソフトウェアを構成して各管理策に適合させることができるかどうかを判断します。 評価では、管理策が特定のソフトウェアに適用されるかどうかも判断します。 組織のガバナンス フレームワークにより、Azure デプロイ内で適用される規制と、規制が適用されるシステムが決まります。 セキュリティ要件への準拠により、コンプライアンスのレベルが決まります。

Red Hat は、多くの標準化団体と協力して、Azure ソフトウェアの構成ポイント、測定、修復が既知であり、検証済みであり、参照可能であることを担保しています。 標準化団体は、業界向けの SRG を記述する評価のベンチマークまたはチェックリストを作成できます。 これらのベンチマークの例を次に示します。

  • クレジット カード業界向けの PCI DSS (Payment Card Industry Data Security Standard)。
  • 医療業界向けの HIPAA (Health Insurance Portability and Accountability Act)。
  • 政府および関連業界向けの DISA (Defense Information Systems Agency) および STIG (Security Technical Implementation Guide)。

Security Content and Automation Protocol (SCAP) がこれらのチェックリストを提供しています。 SCAP は、チェックの定義や自動化方法など、セキュリティ自動化コンテンツを置き換えるための一連の仕様です。 このコンテンツを使用して、構成のコンプライアンスを評価し、脆弱なバージョンのソフトウェアの存在を検出できます。 Red Hat は、NIST および MITRE Corporation と協力してコンテンツを作成および公開しています。 スキャン ツールはこのコンテンツを使用して、RHEL オペレーティング システムとその他の Red Hat ソフトウェアのさまざまなコンプライアンス標準を評価およびレポートします。

Red Hat は、チェックリストを実装するための標準言語とツールを開発するオープンソース プロジェクトにも貢献しています。 OpenSCAP オープン プロジェクトはこれらの取り組みを Red Hat のソフトウェアに組み込むための統合ポイントとなります。 OpenSCAP プロジェクトの標準化されたコンポーネントを組み合わせて使用して、コンプライアンス定義の結果を作成、維持、スキャン、レポート、分析するツールを作成できます。

コンプライアンス定義は Open Vulnerability and Assessment Language (OVAL) と Extensible Configuration Checklist Description Format (XCCDF) で記述されています。 どちらの形式も XML で表現されます。 OVAL は、エンドポイント システムの状態に関する論理アサーションを定義、測定する手段と考えてください。 XCCDF は、これらのアサーションをセキュリティ ポリシーとして表現、編成、管理する手段と考えてください。 OpenSCAP スキャナーはこれら両方のドキュメント タイプを処理できます。

Compliance as Code オープンソース プロジェクトは、SCAP、Ansible、およびその他の形式でコンテンツを提供します。 通常、SCAP は測定とレポートに使用し、Ansible は修復に使用します。

Microsoft Azure には、ワークロードが規制ガイドラインに準拠していることを確認するのに役立つ、いくつかのコンプライアンス製品があります。 まず、特定のコンプライアンス標準を実装する必要があります。

設計上の考慮事項

Azure ランディング ゾーンの RHEL インスタンスのガバナンスを管理する際は、組織が満たす必要があるコンプライアンス標準を考慮します。 RHEL システムに適用される、内部で義務付けられた管理策および規制フレームワークで定義された管理策に基づいて、ガバナンスを構成します。 標準を適用し、逸脱を修復する方法に基づいて、ツールとサービスを選択します。 コンプライアンスの測定方法、およびレポートと修復の機能を考慮します。 実装の観点から、これらの選択は前のセクションで説明したコンプライアンス領域の多くに影響します。

コンプライアンス標準には、体系化されたセキュリティ要件のリストが含まれています。これらを利用することで、コンテンツとイメージ管理を自動化ツールと統合できます。これにより、以下のことが可能になります。

  • 構成可能なパイプラインでオペレーティング システム、アプリケーション、セキュリティ構成のコンテンツをまとめて定義する。
  • 要件を満たすイメージをデプロイ時から継続的に測定、維持、デリバリーする。
  • 永続的なインスタンスを継続的に測定、維持、修復する。

コンテンツのライフサイクルとイメージ ビルド パイプラインは、適用に最適なポイントです。 次のパイプラインを考慮してください。

  • 分析とレポート: クラウド プラットフォームは、デプロイされたシステムからメタデータとログ データを集約するために使用できる包括的なサービスを提供します。 また、キャプチャされたデータを規制レポート要件と監査のために配信および保存することもできます。
  • 自動化優先: 最新の自動化システムは、規制コンプライアンスとレポートを簡素化し、正確性と可視性を向上させることができます。 デプロイ プロセスの一環として、Infrastructure as Code (IaC) の自動化を通じてコンプライアンス管理を実装します。 スキャンとメンテナンス活動のワークフローを組み合わせることで、適時のレポートとフェイルファスト手法により、コンプライアンスのバックログを最小限に抑えることができます。 一貫性を確保するために、実装自動化コードと修復コードを統一します。
  • コンプライアンスの維持: コンプライアンス標準は定期的に更新され、よく知られている配信メカニズムとコンテンツ タイプがあります。 コンプライアンス管理を実装する際には、オープンな標準を使用するようにします。 アプリケーションとイメージの開発ライフサイクルにコンプライアンス コンテンツのストリーミングとレビューを設計します。

設計の推奨事項

Azure のガバナンスには、規制コンプライアンスだけでなく、コスト、リソースの管理、リソースのスケールも含まれます。 ガバナンスを包括的に実装するために、Red Hat と Microsoft の次の推奨事項を考慮します。

コンプライアンス

Red Hat は、ガバナンスのニーズを満たす検証済みコンテンツを提供しています。 ベースラインと必須のコンプライアンス要件を決定する際は、既存のコンプライアンス コンテンツと自動化コードのソースを徹底的にレビューします。 包括的なコードベースを維持するために、Red Hat、Microsoft、Microsoft セキュリティ パートナーは、コンプライアンス標準化団体と緊密に連携しています。 包括的なコードベースにより、コンプライアンス評価が簡素化されます。 すべての RHEL サブスクリプションに含まれている SCAP ワークベンチなどのユーティリティを使用して、既存のコンテンツを活用し、特定のニーズに合わせて調整できます。 RHEL の主要なリリース別に、Red Hat は SCAP セキュリティ ガイド (SSG) を提供しており、SSG にはよく知られているコンプライアンス標準の公開された XCCDF ベースラインが含まれています。

たとえば、RHEL 9 の SSG には以下が含まれています。

  • ANSSI-BP-028 - Enhanced、High、Intermediate、Minimal
  • CCN RHEL 9 - Advanced、Intermediate、Basic
  • Center for Internet Security (CIS) RHEL 9 ベンチマーク レベル 2 - サーバー
  • CIS RHEL 9 ベンチマーク レベル 1 - サーバー
  • CIS RHEL 9 ベンチマーク レベル 1 - ワークステーション
  • CIS RHEL 9 ベンチマーク レベル 2 - ワークステーション
  • [ドラフト] 連邦政府外のシステムと組織における管理対象の非格付け情報の保護 (NIST 800-171)
  • Australian Cyber Security Centre (ACSC) 重要 8 項目
  • ACSC 情報セキュリティマニュアル (ISM) 公式
  • HIPAA
  • 汎用オペレーティングシステムの保護プロファイル
  • PCI DSS v3.2.1 コントロール ベースライン (RHEL 9 向け)
  • PCI DSS v4.0 コントロール ベースライン (RHEL 7、RHEL 8 (RHEL-1808)、RHEL 9 向け)
  • [ドラフト] DISA STIG (RHEL 9 向け)
  • [ドラフト] グラフィカル ユーザー インターフェイス (GUI) に関する DISA STIG (RHEL 9 向け)

Red Hat 製品セキュリティ インシデント対応チームは、Red Hat 製品の既知の CVE (Common Vulnerabilities and Exposures) 情報を OVAL 形式で公開しています。 Red Hat は、Azure でのコンプライアンス実装の一環としてこれらのリソースを使用することを推奨しています。

Red Hat Satellite および RHEL イメージ ビルダーには、次の目的で使用できる統合 SCAP 機能が含まれています。

  • 選択した標準に合わせて堅牢化されたイメージを定義する。
  • SCAP ポリシー プロファイルを定義し、各ワークロードに合わせて調整する。
  • マネージド システムのスキャンをスケジュールする。
  • コンテンツ パイプラインをテストし、標準に合わせてバージョン管理されたコンテンツを配信する。

Azure には、いくつかの規制基準を実装するために使用できるツールが用意されています。 さまざまなイニシアティブを自動的に適用するには、Azure Policy イニシアティブを使用します。 Linux オペレーティング システムのゲストに安全な設定を実装するには、Linux セキュリティ ベースラインを考慮してください。

コスト

クラウド コンピューティング、特に Microsoft Azure のコンテキストで、コスト ガバナンスとは、Azure サービスに関連するコストを管理および最適化するプラクティスを指します。 Azure は、支出を監視、制御、最適化するのに役立つ一連のツールを提供しています。 これらのツールを使用して、不要な財務的オーバーヘッドなしでリソースを効率的にスケールおよび調整できるようにします。

Microsoft Cost Management を使用して、Azure でのコストを管理および追跡します。 Azure での支出を可視化して、コストを最適化します。 コンピューティング リソースのコストを管理するために、Azure ReservationsAzure Savings Plan を使用します。 これらのツールを使用して効果的なコスト ガバナンス戦略を実装し、ビジネスでの費用を抑制しながらクラウド投資を最大限に活用できるようにします。

リソース管理

Azure リソースの編成を管理して、クラウド リソースの管理とセキュリティ保護を効率的に行います。これは特に、企業環境の複雑さが増すにつれて重要になります。 Azure には、効果的なガバナンスをサポートし、リソースが一貫して管理され、ポリシーに準拠し、パフォーマンスとコストの両方が最適化されるようにするツールやサービスがいくつかあります。

Azure Policy を安全策として利用して、環境のコンプライアンスを維持します。 テンプレート スペックを使用して、デプロイが ID、セキュリティ、コスト、およびその他の要件を既定で満たしているようにします。 Azure リソースに名前付け規則があるようにします。 名前付け規則があれば、長期にわたる環境の管理と構成が容易になります。 ワークロードを Azure テナントにデプロイする前に、管理グループとポリシーを使用して、ランディング ゾーン内のリソースを編成します。

サブスクリプション設計に関する包括的な推奨事項については、クラウド導入フレームワークのサブスクリプション ガイダンスを参照してください。

適用

Azure Policy を使用して、ガバナンス標準を適用し、規制イニシアティブを実装します。 Azure Policy はセキュリティ、コスト、規制コンプライアンス、リソース、管理にわたってコンプライアンスを徹底するための安全策となります。 コンプライアンス ダッシュボードを使用して、各リソースやポリシーのコンプライアンスを表示できます。 また、Azure Policy を使用して修復を行うこともできます。

Red Hat Satellite を Ansible Automation Platform と共に使用して、ワークロードのコンプライアンス要件を統合する、コンテンツとイメージの配信用のパイプラインを開発できます。

包括的なコンプライアンス分析を行うには、Red Hat Satellite 認定の Ansible コレクションを使用して、Azure モニタリングに統合するためのデータ収集を自動化します。

次のステップ