Аннотация

Протокол автоматизации содержимого безопасности (SCAP, Security Content Automation Protocol) — это набор стандартов и спецификаций, разработанных для автоматизации управления безопасностью информационных систем. SCAP позволяет организациям оценивать состояние безопасности своих систем, выявлять уязвимости и соответствие политике безопасности. Он включает в себя несколько компонентов, таких как языки для описания уязвимостей (CVE), конфигураций (CIS) и проверок соблюдения политик (XCCDF). Основная цель SCAP — упростить и ускорить процесс оценки и управления рисками, обеспечивая автоматизированные и стандартизированные методы анализа безопасности.

Обзор сканеров уязвимости

Сканирование уязвимостей выполняется с использованием файла базы данных уязвимостей, рекомендуемого ФСТЭК России и содержащего сведения об уязвимостях банка данных угроз безопасности информации ФСТЭК России.

Установка OpenScap

Сканер уязвимостей OpenScap входит в расширенный репозиторий Astra Linux Special Edition начиная с версии 1.7.5

Установка OpenScap:

Работа с OpenScap

Работа с Scanoval. VulScan

Сканирование в образах Docker/Podman

Проверка образов и контейнеров на наличие уязвимостей выполняется автоматически при следующих событиях:

• создание образа из Dockerfile или из контейнера;
• загрузка образа из архива или потока ввода;
• создание файловой системы образа из архива;
• скачивание образа из реестра;
• запуск или перезапуск контейнера.
  
  

Регистрация событий безопасности, связанных с образами и контейнерами Podman и Docker осуществляется подсистемой регистрации событий. Событиям безопасности, связанным с образами и контейнерами Docker, присваиваются метки dockerd_audit. Событиям безопасности, связанным с образами и контейнерами Podman, присваиваются метки podman_audit. Записи в журнале имеют следующий формат:

podman.audit | user ; uid | событие | результат | дополнительная информация

Для устранения обнаруженной уязвимости и последующего запуска контейнера без блокировки, необходимо:

1. Запустить средство контейнеризации в режиме отладки (6 класс защиты).
2. Запустить контейнер и устранить уязвимость.
3. Запустить средство контейнеризации с требуемым классом защиты.

Для блокировки запуска контейнера, в образе которого обнаружена уязвимость, применяется глобальный параметр astra-sec-level в конфигурационных файлах средств контейнеризации. В качестве значения параметра задается число от 1 до 6, которое определяет класс защиты:

• 1-5 классы защиты — при обнаружении уязвимости в контейнере его запуск блокируется;
• 6 класс защиты — отладочный режим, при обнаружении уязвимости в контейнере выводится соответствующее предупреждение, при этом запуск контейнера не блокируется.

В случае если класс защиты не задан или задан не из диапазона 1-6, то при обнаружении уязвимости в контейнере автоматически задается 1 класс защиты с выводом соответствующего сообщения в журнал и запуск контейнера блокируется.

Docker

Установить значение параметра astra-sec-level можно двумя способами:

• при запуске процесса:
  
  
  sudo dockerd --astra-sec-level 4 # значение от 1 до 6

• при запуске сервиса:
  
  
  1. Остановить службу:
     
     sudo systemctl stop docker
     
     
  2. В файле /etc/docker/daemon.json добавить поле astra-sec-level:

     sudo cat /etc/docker/daemon.json
{
    "astra-sec-level" : 3
}
     

  3. Повторно запустить службу:
     
     sudo systemctl start docker
     
     

Podman

OVAl-описания

Язык уязвимостей и оценки (OVAL, Open Vulnerability and Assessment Language) — это стандартный язык, используемый для описания уязвимостей в системах и программном обеспечении, а также для оценки их наличия. OVAL позволяет автоматически собирать информацию о состоянии безопасности систем и проводить анализ уязвимостей. В качестве файла базы данных уязвимостей в Astra Linux Special Edition используется файл формата OVAL /usr/share/oval/db.xml.