Compliance & CIS Benchmarks

Die Compliance-Ergebnisse werden in der Liste nach Kategorie und Name angezeigt. Die Kategorien umfassen Docker, Kubernetes, OpenShift und Benutzerdefiniert. Die Namen jedes Elements entsprechen dem CIS-Benchmark. Zum Beispiel entspricht K.4.2.3 dem Kubernetes CIS-Benchmark 4.2.3. Docker-Benchmarks werden mit 'D' vorangestellt, mit Ausnahme von Image-bezogenen Benchmarks, die mit 'I' vorangestellt sind.

Verwenden Sie den erweiterten Filter, um Compliance-Prüfungen basierend auf Plattform, Host, Namespace oder branchenspezifischen Standards auszuwählen, wie unten gezeigt.

Nach Anwendung des Filters werden nur die relevanten CIS-Benchmarks und benutzerdefinierten Prüfungen angezeigt, und ein Bericht kann erstellt und heruntergeladen werden. So können Berichte für Standards wie PCI, HIPAA, DSGVO und andere erstellt werden.

Der folgende Screenshot zeigt ein Beispiel für ein Geheimnis, das in einem Image-Scan gefunden wurde.

Das Compliance-Profilmenü ermöglicht die Anpassung der integrierten Vorlagen für Branchenstandards wie PCI, DSGVO, HIPAA, NIST, PCIv4 und DISA STIG. Diese Berichte können aus dem Sicherheitsrisiken → Compliance-Menü generiert werden, indem einer der Standards zum Filtern ausgewählt und dann exportiert wird. Das NIST-Profil ist für NIST SP 800-190.

Um ein Compliance-Profil anzupassen, wählen Sie den Branchenstandard (z. B. PCI) aus und aktivieren oder deaktivieren Sie spezifische Prüfungen für diesen Standard. Betrachten Sie diese als Compliance-'Tags', die auf jede Prüfung angewendet werden, um einen Compliance-Bericht für diesen Branchenstandard zu erstellen.

Verwenden Sie die Schaltfläche Aktion, um ein Compliance-Tag von dieser Prüfung hinzuzufügen oder zu entfernen.

Darüber hinaus können Sie auswählen, welche 'Assets' als Teil der Compliance-Berichte betrachtet werden, indem Sie auf die Registerkarte Assets klicken. Standardmäßig werden alle Compliance-Vorlagen auf Bilder, Knoten und Container angewendet.

Verwenden Sie die Schaltfläche Aktion, um Compliance-Vorlagen für Assets hinzuzufügen oder zu entfernen.

Alternativ können Compliance-Vorlagen anstelle der oben genannten Kriterien auf bestimmte Namespaces beschränkt werden. Wenn dieses Kästchen aktiviert ist und Namespace(s) hinzugefügt werden, werden Berichte für alle Assets erstellt, die auf diese Namespaces zutreffen. Dies kann nützlich sein, wenn beispielsweise die PCI-Vorlage nur über Assets berichten soll, die für Namespaces gelten, die PCI-relevante (anwendbare) Container-Workloads enthalten.

Nachdem die Vorlagen und Assets im Menü Sicherheitsrisiken → Compliance-Profile angepasst wurden (falls gewünscht), können Berichte im Menü Sicherheitsrisiken → Compliance erstellt werden, indem der erweiterte Filter geöffnet und die gewünschte Compliance-Vorlage ausgewählt wird. Wenn Sie beispielsweise DSGVO auswählen, wird die Anzeige und die Berichte nur für das DSGVO-Profil gefiltert.

Das Folgende ist ein Beispiel für einen Helm-Installationsbefehl zur Installation von SUSE Security 5.4.0 mit Prime Compliance. Benutzer können die Installationsversion auf 5.4.0 oder höher ändern, da Prime Compliance mit 5.4.0 beginnt. Nach der Installation können Prime-Benutzer die verfügbaren Vorschriften im SUSE Security-Web-UI Compliance > Vorschriften Registerkarte anzeigen.

SUSE® Security überprüft über 40 gängige Arten von Geheimnissen im Rahmen der Bild-Compliance-Scans und Laufzeitscans. Darüber hinaus können benutzerdefinierte Compliance-Skripte für Container oder Hosts konfiguriert werden, und die DLP-Paketinspektion Funktion kann verwendet werden, um nach Geheimnissen in Netzwerk-Payloads zu suchen.

Die Ergebnisse der Geheimnisse-Auditierung finden Sie im Compliance-Bereich der Bildscans (Assets → Registries), Container (Assets → Container), Knoten (Assets → Knoten) und im Menü zur Compliance-Verwaltung (Sicherheitsrisiken → Compliance).

Das Folgende ist ein Beispiel dafür, wie entdeckte Geheimnisse in einem Bildscan angezeigt werden.

Hier ist eine Liste der Arten von Geheimnissen, die erkannt werden.