Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление


Информация
titleДанная статья применима начиная с:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) и РУСБ.10015-10, РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7

Аннотация

Протокол автоматизации содержимого безопасности (SCAP, Security Content Automation Protocol) — это набор стандартов и спецификаций, разработанных для автоматизации управления безопасностью информационных систем. SCAP позволяет организациям оценивать состояние безопасности своих систем, выявлять уязвимости и соответствие политике безопасности. Он включает в себя несколько компонентов, таких как языки для описания уязвимостей (CVE), конфигураций (CIS) и проверок соблюдения политик (XCCDF). Основная цель SCAP — упростить и ускорить процесс оценки и управления рисками, обеспечивая автоматизированные и стандартизированные методы анализа безопасности. SCAP включает в себя язык описания уязвимостей OVAL.

OVAl-описания

Язык уязвимостей и оценки (OVAL, Open Vulnerability and Assessment Language) — это стандартный язык, используемый для описания уязвимостей в системах и программном обеспечении, а также для оценки их наличия. OVAL позволяет автоматически собирать информацию о состоянии безопасности систем и проводить анализ уязвимостей. В качестве файла базы данных уязвимостей в Astra Linux Special Edition используется OVAL-файл в формате xml.

Обзор сканеров уязвимости

Сканирование уязвимостей выполняется с использованием файла базы данных уязвимостей, рекомендуемого ФСТЭК России и содержащего сведения об уязвимостях банка данных угроз безопасности информации ФСТЭК России.

Общий принцип работы сканеров:

  1. Обнаружение узлов сети: сканер начинает выявляет доступные по сети устройства и их характеристики.
  2. Сканирование портов: программа проверяет открытые порты, исследуя сетевые сервисы и протоколы.
  3. Идентификация уязвимостей: сканер ищет уязвимости в конфигурациях устройств, операционных систем и приложений, сопоставляя найденные конфигурации с имеющимися в собственной базе данных.
  4. Генерация отчетов: по итогам сканирования создается отчет с перечнем обнаруженных уязвимостей и отображаются рекомендации по их исправлению.

OpenScap

Scanoval


ScanOVAL

Сканер разработан для ФСТЭК России и работает с БДУ ФСТЭК. При загрузке OVAL-файла проверяется его цифровая подпись.

VulScan

Установка OpenScap

Сканер уязвимостей OpenScap входит в расширенный репозиторий Astra Linux Special Edition начиная с версии 1.7.5

Установка OpenScap:

Command



Работа с OpenScap


Работа с Scanoval. VulScan

Сканирование в образах Docker/Podman

Проверка образов и контейнеров на наличие уязвимостей выполняется автоматически при следующих событиях:

  • создание образа из Dockerfile или из контейнера;
  • загрузка образа из архива или потока ввода;
  • создание файловой системы образа из архива;
  • скачивание образа из реестра;
  • запуск или перезапуск контейнера.

Регистрация событий безопасности, связанных с образами и контейнерами Podman и Docker осуществляется подсистемой регистрации событий. Событиям безопасности, связанным с образами и контейнерами Docker, присваиваются метки dockerd_audit. Событиям безопасности, связанным с образами и контейнерами Podman, присваиваются метки podman_audit. Записи в журнале имеют следующий формат:

Блок кода
podman.audit | user ; uid | событие | результат | дополнительная информация


Предупреждение

При обнаружении уязвимостей дальнейшее использование образа контейнера запрещено.

Для устранения обнаруженной уязвимости и последующего запуска контейнера без блокировки, необходимо:

  1. Запустить средство контейнеризации в режиме отладки (6 класс защиты).
  2. Запустить контейнер и устранить уязвимость.
  3. Запустить средство контейнеризации с требуемым классом защиты.

Для блокировки запуска контейнера, в образе которого обнаружена уязвимость, применяется глобальный параметр astra-sec-level в конфигурационных файлах средств контейнеризации. В качестве значения параметра задается число от 1 до 6, которое определяет класс защиты:

  • 1-5 классы защиты — при обнаружении уязвимости в контейнере его запуск блокируется;
  • 6 класс защиты — отладочный режим, при обнаружении уязвимости в контейнере выводится соответствующее предупреждение, при этом запуск контейнера не блокируется.

В случае если класс защиты не задан или задан не из диапазона 1-6, то при обнаружении уязвимости в контейнере автоматически задается 1 класс защиты с выводом соответствующего сообщения в журнал и запуск контейнера блокируется.

Docker

Предупреждение

Для указания класса защиты контейнеров Docker допускается использовать только один из способов. 


Установить значение параметра astra-sec-level можно двумя способами:

  • при запуске процесса:
    Command

    sudo dockerd --astra-sec-level 4 # значение от 1 до 6


  • при запуске сервиса:
    1. Остановить службу:
      Command

      sudo systemctl stop docker


    2. В файле /etc/docker/daemon.json добавить поле astra-sec-level:
      Command

      sudo cat /etc/docker/daemon.json
      {
          "astra-sec-level" : 3
      }


    3. Повторно запустить службу:
      Command

      sudo systemctl start docker


Podman

Создать конфигурационный файл /etc/podman.conf, если он не был создан ранее, и указать в нем значение параметра astra-sec-level:

Блок кода
{
"astra-sec-level" : <класс_защиты> # значение от 1 до 6
}

Для просмотра настроек выполнить:

Command
Titlepodman astra-config

{

"astra-sec-level": 4,

"oscap-report-dir": "/home/astra/.podman/scanoval/reports",

"oscap-exec": "/usr/bin/oscap",

"oscap-db-xml": "/usr/share/oval/db.xml"

}

OVAl-описания

Язык уязвимостей и оценки (OVAL, Open Vulnerability and Assessment Language) — это стандартный язык, используемый для описания уязвимостей в системах и программном обеспечении, а также для оценки их наличия. OVAL позволяет автоматически собирать информацию о состоянии безопасности систем и проводить анализ уязвимостей. В качестве файла базы данных уязвимостей в Astra Linux Special Edition используется файл формата OVAL /usr/share/oval/db.xml.