Baseline Compliance: CIS/OpenSCAP Checks in der Setup-Pipeline

Red Snapper

1 month ago

Die Sicherstellung von Baseline Compliance ist ein zentraler Bestandteil beim Aufbau und Betrieb von Linux-Serverinfrastrukturen. Organisationen, die Sicherheits- und Governance-Standards wie die CIS Benchmarks einhalten müssen, profitieren von automatisierten Checks direkt in der Setup-Pipeline. OpenSCAP bietet hierbei eine standardisierte Möglichkeit, Systeme kontinuierlich auf Konformität zu prüfen und Abweichungen frühzeitig zu erkennen.

1. Grundlagen der Baseline Compliance

Baseline Compliance bezeichnet die Überprüfung, ob ein System den definierten Sicherheitsstandards entspricht. Standards wie CIS Benchmarks oder DISA STIGs legen detaillierte Regeln für Benutzerkonten, Dienste, Netzwerkdienste und Dateisysteme fest.

Definition von Sicherheitsrichtlinien
Vergleich des Systems mit der Baseline
Erkennung von Abweichungen und Fehlkonfigurationen
Kontinuierliches Monitoring zur Einhaltung der Standards

2. OpenSCAP Überblick

OpenSCAP ist ein Framework zur automatisierten Bewertung von Systemen gemäß SCAP (Security Content Automation Protocol). Es erlaubt die Validierung gegen Sicherheitsrichtlinien, die als XML-Profile hinterlegt sind.

Erstellung von Sicherheitsprofilen
Automatische Analyse von Systemkonfigurationen
Generierung von Reports mit Compliance-Status
Integration in CI/CD-Pipelines möglich

3. Installation von OpenSCAP

OpenSCAP kann auf gängigen Linux-Distributionen einfach installiert werden:

# RHEL/CentOS/Fedora
yum install -y openscap-scanner scap-security-guide
Debian/Ubuntu
apt update && apt install -y openscap-utils scap-security-guide

4. CIS Benchmarks einbinden

Die CIS Benchmarks für eine bestimmte Distribution stehen als SCAP-XML bereit. Diese Profile können direkt mit OpenSCAP genutzt werden:

# Beispiel: CIS Benchmark für RHEL 8
oscap info /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

Auswahl eines Profils

Die SCAP-Datei enthält verschiedene Profile, z.B. „CIS Level 1“ oder „CIS Level 2“:

oscap info /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml | grep "Profile"

5. Compliance-Scan durchführen

Ein vollständiger Scan prüft die Systemkonfiguration gegen das gewählte Profil:

oscap xccdf eval --profile cis --results /tmp/results.xml 
--report /tmp/report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

Die Ergebnisse enthalten sowohl den Status einzelner Checks als auch detaillierte Empfehlungen zur Behebung von Abweichungen.

6. Integration in die Setup-Pipeline

Compliance-Prüfungen sollten automatisiert beim Provisioning neuer Systeme erfolgen. Dies kann in CI/CD-Pipelines umgesetzt werden:

Neues System wird aus Golden Image bereitgestellt
Automatisches Ausführen von OpenSCAP-Scans
Generierung von Reports und Alerts bei Abweichungen
Optionale automatische Korrektur von Konfigurationen mit Ansible oder Shell-Skripten

Beispiel CI/CD-Job

job "compliance_scan" {
  stage = "test"
  script = [
    "oscap xccdf eval --profile cis --results results.xml --report report.html ssg-rhel8-ds.xml"
  ]
  artifacts = {
    paths = ["results.xml", "report.html"]
  }
}

7. Reporting und Alerting

Die SCAP-Ergebnisse können für interne Audits, Compliance-Nachweise oder automatisiertes Alerting genutzt werden:

HTML-Reports für Administratoren
XML-Ergebnisse für automatisierte Auswertung
Integration in Monitoring-Tools wie Prometheus/Grafana
Benachrichtigungen per Mail oder Slack bei kritischen Abweichungen

8. Automatisches Remediation

Einige Abweichungen lassen sich automatisch korrigieren, z.B. Berechtigungen, deaktivierte Dienste oder Passwortpolicy-Einstellungen. Kombinationen aus OpenSCAP, Ansible und Shell-Skripten sind hier besonders effektiv.

# Beispiel: Paket entfernen, wenn OpenSCAP meldet
ansible all -m yum -a "name=tftp state=absent"

9. Best Practices

Regelmäßige Updates der SCAP-Profile
Level-1-Benchmarks für Basis-Härtung, Level-2 für hohe Sicherheit
Audit-Readiness durch persistente Reports
Versionierung von Profilen und Remediation-Skripten in Git
Testlauf auf VMs, bevor Änderungen auf Produktivsysteme angewendet werden

10. Fazit für die Setup-Pipeline

Durch die Integration von CIS/OpenSCAP Checks in die Setup-Pipeline lassen sich Linux-Server von Anfang an sicher und standardisiert bereitstellen. Dies minimiert manuelle Härtungsaufwände, erhöht die Compliance und unterstützt Audit-Readiness im Enterprise-Bereich. Automatisierung, Reporting und kontinuierliche Validierung sind Schlüsselkomponenten für skalierbare, sichere Infrastrukturen.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

Professionelle Konfiguration von Routern und Switches
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.