Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 4 Следующий »


Данная статья применима начиная с:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) и РУСБ.10015-10, РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7

Аннотация

Протокол автоматизации содержимого безопасности (SCAP, Security Content Automation Protocol) — это набор стандартов и спецификаций, разработанных для автоматизации управления безопасностью информационных систем. SCAP позволяет организациям оценивать состояние безопасности своих систем, выявлять уязвимости и соответствие политике безопасности. Он включает в себя несколько компонентов, таких как языки для описания уязвимостей (CVE), конфигураций (CIS) и проверок соблюдения политик (XCCDF). Основная цель SCAP — упростить и ускорить процесс оценки и управления рисками, обеспечивая автоматизированные и стандартизированные методы анализа безопасности.

Обзор сканеров уязвимости

Сканирование уязвимостей выполняется с использованием файла базы данных уязвимостей, рекомендуемого ФСТЭК России и содержащего сведения об уязвимостях банка данных угроз безопасности информации ФСТЭК России.

Установка OpenScap

Сканер уязвимостей OpenScap входит в расширенный репозиторий Astra Linux Special Edition начиная с версии 1.7.5

Установка OpenScap:



Работа с OpenScap


Работа с Scanoval. VulScan

Сканирование в образах Docker/Podman

Проверка образов и контейнеров на наличие уязвимостей выполняется автоматически при следующих событиях:

- создание образа из Dockerfile или из контейнера;

- загрузка образа из архива или потока ввода;

- создание файловой системы образа из архива;

- скачивание образа из реестра;

- запуск или перезапуск контейнера.

При обнаружении уязвимостей дальнейшее использование образа контейнера запрещено.

Для блокировки запуска контейнера, в образе которого обнаружена уязвимость, применяется глобальный параметр astra-sec-level в конфигурационных файлах средств контейнеризации. В качестве значения параметра задается число от 1 до 6, которое определяет класс защиты:

  • 1-5 классы защиты — при обнаружении уязвимости в контейнере его запуск блокируется;
  • 6 класс защиты — отладочный режим, при обнаружении уязвимости в контейнере выводится соответствующее предупреждение, при этом запуск контейнера не блокируется.

В случае если класс защиты не задан или задан не из диапазона 1-6, то при обнаружении уязвимости в контейнере автоматически задается 1 класс защиты с выводом соответствующего сообщения в журнал и запуск контейнера блокируется.

Установить значение параметра astra-sec-level можно двумя способами:

  • при запуске процесса:

    sudo dockerd --astra-sec-level 4 # значение от 1 до 6
  • при запуске сервиса:

    1. Остановить службу:
      sudo systemctl stop docker

    2. В файле /etc/docker/daemon.json добавить поле astra-sec-level:
      sudo cat /etc/docker/daemon.json
      {
          "astra-sec-level" : 3
      }

    3. Повторно запустить службу:
      sudo systemctl start docker

  1. Для устранения обнаруженной уязвимости и последующего запуска контейнера без блокировки, необходимо:
  2. 1) запустить средство контейнеризации в режиме отладки (6 класс защиты);
  3. 2) запустить контейнер и устранить уязвимость;
  4. 3) запустить средство контейнеризации с требуемым классом защиты.
  5. OVAl-описания
  6. Язык уязвимостей и оценки (OVAL, Open Vulnerability and Assessment Language) — это стандартный язык, используемый для описания уязвимостей в системах и программном обеспечении, а также для оценки их наличия. OVAL позволяет автоматически собирать информацию о состоянии безопасности систем и проводить анализ уязвимостей. В качестве файла базы данных уязвимостей в Astra Linux Special Edition используется файл формата OVAL /usr/share/oval/db.xml.
  7.  


  • Нет меток