Cumplimiento del Esquema Nacional de Seguridad en servidores CentOS 7 con OpenSCAP

Abstract

El protocolo SCAP permite la automatización de procedimientos relacionados con la seguridad (comprobación de vulnerabilidades o configuración automática de sistemas), por lo que constituye una herramienta útil para la comprobación e implementación de políticas de seguridad. El proyecto OpenSCAP proporciona diversas herramientas interoperables para trabajar con contenido SCAP. El Centro Criptológico Nacional (CCN) es responsable de generar políticas de seguridad de la información aplicables dentro del sector público. La serie CCN-STIC contiene políticas y procedimientos relacionados con la seguridad de la información. La guía CCN-STIC-619 contiene un procedimiento manual de bastionado para clientes basados en CentOS7. Este TFM implementa las recomendaciones contenidas en la guía CCN-STIC-619 mediante contenido SCAP (reglas XCCDF y comprobaciones OVAL), lo que permite su aplicación y comprobación de forma automática. Se incluye también un conjunto de scripts de remedio, que permiten modificar automáticamente la configuración del sistema para adaptarse las reglas definidas. La implementación realizada es verificada empleándola para comprobar una instalación por defecto de CentOS7 y ejecutando a continuación los scripts de remedio para adaptar la configuración a lo exigido en la norma.

SCAP protocol provides automation of security procedures, vulnerability assessment, automatic hardening and configuration of systems and other related security procedures. For this reason, is very appropriate to implement security policies. OpenSCAP project provides set of open and free inter-operable tools for SCAP content. Centro Criptológico Nacional (CCN) is responsible of the Information Security policies for the government and public sector in Spain. CCN-STIC series contains a set of security policies and related procedures. CCN-STIC-619 contains official hardening instructions and security policy for client systems based on CentOS7. This publication implements the recommendations of CCN-STIC-619 using SCAP content (XCCDF rules and OVAL checks), providing automatic capabilities to check and configure target systems. Also, a set of remediation scripts is developed, to modify the system configuration to conform with the rules when required. The implementation is verified checking a clean install of CentOS7. Remediation scripts are applied to adapt the target system to the requirements.

El protocol SCAP permet l'automatització de procediments relacionats amb la seguretat (comprovació de vulnerabilitats o configuració automàtica de sistemes), de manera que constitueix una eina útil per a la comprovació i implementació de polítiques de seguretat. El projecte OpenSCAP proporciona diverses eines interoperables per treballar amb contingut SCAP. El Centro Criptológico Nacional (CCN) és el responsable de generar polítiques de seguretat de la informació aplicables dins del sector públic. La sèrie CCN-STIC conté polítiques i procediments relacionats amb la seguretat de la informació. La guia CCN-STIC-619 conté un procediment per a clients basats en CentOS7. Aquest TFM implementa les recomanacions contingudes en la guia CCN-STIC-619 mitjançant contingut SCAP (regles XCCDF i comprovacions OVAL), cosa que permet la seva aplicació i comprovació de forma automàtica. S'inclou també un conjunt de scripts, que permeten modificar automàticament la configuració del sistema per adaptar les regles definides. La implementació realitzada és verificada emprant-la per comprovar una instal·lació per defecte de CentOS7 i executant a continuació els scripts per adaptar la configuració al que exigeix la norma.