作成者のメモ:私は、ビーレフェルト大学のビーレフェルトITサービスセンター(BITS)での仕事の一環として、このサービスをテストしています。この記事は、RedHatInsightsに対する私の個人的な見解を反映しています。さらに、私はRedHatAcceleratorsコミュニティのメンバーであることを明確にします。
Red Hat Insightsを紹介し、Advisorを確認した後、Insightsの脆弱性管理を確認します。
ダッシュボードには、脆弱性と呼ばれるボックスが表示されます。図1は、明らかに13の脆弱性の影響を受けていることを示しています。これで、これらを詳しく調べることができます。これは通常どおり、ボックス内のリンクまたは左側のメニューを介して行われます。
脆弱性ビューでは、通常の表形式のビューが私たちを待っています(図2を参照)。ここでは、CVEが、ID、公開日、影響評価、CVSS基本スコア、および影響を受けるシステムの数とともに一覧表示されます。さらに、選択したCVEまたはすべてのCVEにビジネスリスクとステータスを割り当てるオプションがあります(図2の黄色のマークを参照)。
ビジネスリスクは、特定のCVEまたはCVEのグループを、それらがビジネスにどのように影響するか、またはビジネスに悪影響を与える可能性があるかについて評価する機会を提供します(図3を参照)。このステータスは、すでに実施している特定のセキュリティ対策によっては、2番目の列の影響とは異なる場合があります。ステータスは、脆弱性がどのように処理されるかを示します(図4を参照)。
アドバイザと同様に、すべてのCVEの説明、評価、攻撃ベクトルの概要(図5を参照)、およびCVEと既存のエラッタを見つけることができます。
現在のところ、アクティブな脆弱性管理はありません。 RHELとAnsibleEngineに含まれているツールを使用して開発した、RHEL with Ansibleのパッチ管理を使用して、一定レベルのセキュリティを確保しようとしています。これにより、利用可能なRed Hatセキュリティアドバイザリが欠落している場合、月に1回すべてのRHELシステムに強制的にインストールされます。
このパッチ管理のおかげで、接続されたテストシステムには13の脆弱性しかなく、スコアが8を超えるものはありませんでした。
ダッシュボードにリストされているシステムの中には、中央のパッチ管理に接続されておらず、不定期にパッチが適用されているだけのテストインフラストラクチャのシステムがあります。インサイトは、リスクが大きすぎること、そしてこれらのシステムは単に忘れられることをここで私に示しました。このため、これらのホストはすぐにパッチ管理に含まれるようになりました。
さらに興味深いのは、CVE-2018-12126、CVE-2018-12127、CVE-2018-12130、CVE-2019-11091で、Insightsが一部のホストに示しています。
これらの脆弱性には、アップデートをインストールするだけでは解決できないという共通点があります。これらはvSphereクラスター上の仮想マシン(VM)であるため、脆弱性を軽減するために対策を組み合わせる必要があります。
この特定のケースでは、影響を受けるVMのスイッチをオフにしてから再度オンにする必要があります。これにより、新しいCPU機能がゲストオペレーティングシステムに伝達され、軽減が完了します。
これらの脆弱性は、洞察がなければ長い間発見されなかったであろうことを認めなければなりません。
ここで、私たちの環境には他にも脆弱なシステムがあると想定する必要があります。これらをInsightsに接続することは許可されていないため、RedHatから提供されたスクリプトを使用してこれらを検索します。 Red Hatが、ここの顧客を支援するためにそのようなスクリプトを提供してくれたことに本当に感謝しています。この例に安全に従うことができる会社はまだいくつかあります。
個人的には、積極的な脆弱性管理は理にかなっていると思います。脆弱性は、継続的な管理を通じてのみ発見、評価、および対処することができます。同時に、構造上の安全性レベルを改善するための対策がすでに講じられているかどうかを確認するために使用できます(パッチ管理など)。
図6は、現在未解決の脆弱性がないことを示しています。これは常に目標である必要があります。
自分で脆弱性管理機能のテストを楽しんだのですが、見つかった脆弱性は短時間で解決できました。
[2020年7月23日に、Driftとのシステムの比較に焦点を当てたプロダクトマネージャーのJeromeMarcと一緒にRedHat Insights AskMeAnythingに参加してください。]