※ 2020-04-27補足、CMS for RHELはRed Hat Insightsに統合されました。そのためRed Hat Smart Managementを購入しなくても、Red Hat Enterprise Linuxだけを購入すれば以下に紹介している機能を利用することができます。

Red Hatの森若です。

https://cloud.redhat.com/ をご存知の方はどのくらいいるでしょうか。2019年5月に公開されたRed HatのSaaSを提供する窓口となるドメインで、現在のところ以下の4つのサービスを提供しています。

Red Hat Insights
Cloud Management Services for Red Hat Enterprise Linux
Red Hat OpenShift Cluster Manager
Red Hat Ansible Automation Platform

この中にひとつだけまだ赤帽エンジニアブログで紹介されていないものがあります。ということで今回はCloud Management Services for Red Hat Enterprise Linux (以下 CMSforRHEL) をご紹介します。

CMSforRHELとは?

CMSforRHELは、2019年5月にリリースされたRHELを管理するためのSaaS製品です。特徴を簡単に以下にまとめます。

Red Hat Insightsのクライアント(insights-client)が送る情報を利用します。Red Hat Insightsが「ナレッジベースを基としてエンジニアが作り込んだルールで処理を行う」のに対して、CMSforRHELは「全errataや収集した情報について機械的に処理を行う」という点が大きく異なります。
Red Hat Smart Management の一部として提供されています。Red Hat Smart Managementは以前から存在するRed Hat SatelliteとCMSforRHELをあわせて提供しています。これらは同時に両方を使っても、どちらか片方だけを利用しても費用はおなじです。
クラウドプロバイダから提供される、Red Hat Satelliteから管理できないRHELも管理できます。

CMSforRHELの機能

管理対象のRHELについて、以下の機能を提供します。

既知の脆弱性に対応するerrataが適用されていない場合のレポートと、Ansible playbook生成
OpenSCAPのログ収集によるコンプライアンス管理
システム同士のプロファイル比較

それぞれを見ていきましょう。

既知の脆弱性に対応するerrataが適用されていない場合のレポートと、Ansible playbook生成

以下のスクリーンショットのように、各システムに影響する既知の脆弱性とその重大度を一覧し、条件によりフィルタします。さらにこれらの脆弱性にに対応する修正を適用するための Ansible Playbookを生成します。

f:id:mrwk:20200309163041p:plain — 脆弱性の一覧とフィルタ

f:id:mrwk:20200309162937p:plain — 脆弱性の一覧とフィルタ

この項目を見て「この機能はRed Hat Insightsのものでは？」と思った方もいるかもしれません。Red Hat Insightsには脆弱性についてのルールも存在しますが、全ての脆弱性を対象とはしていません。これに対して、CMSforRHELでは、既存の脆弱性に関連するerrata全てを対象としている点が異なります。

f:id:mrwk:20200309161333p:plain — Red Hat InsightsとCMSforRHELの比較

OpenSCAPのログ収集によるコンプライアンス管理

RHELにはOpenSCAPおよび SCAP Security Guide という、(主に)設定が企業内のポリシーや基準に沿っているかを自動で確認するためのツール、チェックリスト、プロファイルが同梱されています。CMSforRHELは、OpenSCAPの出力をinsights-client経由でアップロードすることでWeb上で閲覧できます。