OPENVAS SCAN umfasst jetzt Compliance-Profile für Huawei EulerOS

Greenbone freut sich, neue Compliance-Richtlinien für Huawei EulerOS und openEuler bekannt zu geben. Diese Compliance-Richtlinien sind das Ergebnis einer engen Zusammenarbeit mit Huawei, um OPENVAS SCAN-Anwendern authentifizierte Überprüfungen für über 200 wichtige Sicherheitskontrollen zu bieten. Durch die gründliche Überprüfung der Sicherheitseinstellungen erhalten IT-Verantwortliche ein hohes Maß an Sicherheit und Transparenz hinsichtlich der Sicherheitslage ihrer EulerOS-Infrastruktur.

Betriebssysteme (OS) sind standardmäßig auf Benutzerfreundlichkeit und Flexibilität ausgelegt. In der Regel sind Betriebssysteme so konfiguriert, dass sie fast alle Aufgaben ohne Anpassungen nach der Installation bewältigen können. Viele unnötige Kernel-Module und Dienste sind aktiviert, und die Sicherheitseinstellungen sind relativ locker. Für maximale Sicherheit müssen Unternehmen die Standard-Einstellungen nach der Installation verschärfen, um kritische Daten und Vorgänge zu schützen. Durch Compliance-Tests werden Konfigurationsrichtlinien in überprüfbare Kontrollen umgewandelt, sodass Teams die Sicherheit in großem Maßstab überprüfen können. Durch die Überprüfung der verschärften Sicherheitskonfigurationen erhalten Sicherheitsexperten eine hohe Gewähr dafür, dass ihre IT-Ressourcen gegen Cyberangriffe geschützt sind.

Mit OPENVAS SCAN können IT-Sicherheitsteams richtlinienbasierte Audits in ihrer gesamten IT-Infrastruktur automatisieren. Unsere Plattform umfasst bereits eine Bibliothek mit Compliance-Profilen für CIS-Kontrollen in kritischen Bereichen der Cybersicherheit wie Apache, IIS, NGINX, MongoDB, Oracle, PostgreSQL, Windows und Linux [1][2][3][4] sowie Richtlinien, die auf nationalen Vorgaben für Verschlüsselungsstandards basieren.

Jetzt erweitern wir unsere Compliance-Audit- und Berichtsfunktionen um neue Richtlinienprofile für die EulerOS-Familie von Huawei. Diese neuen Angebote integrieren Richtlinienprüfungen direkt in den Workflow des Schwachstellenmanagements von OPENVAS SCAN. Diese Kontrollen zur Sicherheitshärtung gelten für EulerOS, OpenEuler, HCE und EulerOS Virtualization OS. Sobald die Richtlinienscans in OPENVAS SCAN abgeschlossen sind, können die Ergebnisse in einem speziellen Auditbericht angezeigt werden.

Hier erfahren Sie mehr darüber, wie diese neuen Compliance-Profile IT- Sicherheitsabteilungen dabei helfen, ihre Sicherheitsmaßnahmen gegen Cyberangriffe zu verstärken.

OPENVAS SCAN enthält jetzt Compliance-Profile für Huawei EulerOS

Die neuen Compliance-Scans von Greenbone für Huawei EulerOS folgen unserem bestehenden Modell zur Richtlinienbereitstellung. Die Compliance-Richtlinien von OPENVAS SCAN sind spezielle Scan-Konfigurationen, die aus gezielten Vulnerability Tests (VTs) bestehen, mit denen bewertet wird, ob Hosts definierte Sicherheitsanforderungen erfüllen. Die neuen Compliance-Richtlinien für EulerOS werden über den OPENVAS ENTERPRISE FEED und den COMMUNITY FEED an OPENVAS SCAN-Instanzen verteilt.

Das neue Compliance-Profil umfasst eine Reihe von authentifizierten Sicherheitstests, die speziell auf EulerOS-Umgebungen zugeschnitten sind. Durch authentifizierte Audits wird sichergestellt, dass von jedem gescannten Endpunkt genaue Nachweise erfasst werden, wodurch eine optimale Transparenz für die Sicherheitsprüfung gewährleistet ist. OPENVAS SCAN bietet außerdem benutzerdefinierte Berichtsformate, darunter einen Compliance-Bericht für Führungskräfte, der sich für die Überwachung durch das Management eignet.

Um ein Audit durchzuführen, können Benutzer den Fernzugriff für authentifizierte Scans konfigurieren, eine Richtlinie auswählen, die Richtlinien-Scan-Aufgabe ausführen und einen aussagekräftigen Auditbericht anzeigen, der aufzeigt, welche Kontrollen bestanden wurden, fehlgeschlagen sind oder einer weiteren manuellen Untersuchung bedürfen. Richtlinien werden im Compliance Policies-Bereich von OPENVAS SCAN verwaltet und als Schwachstellenscans mit dem gleichen Kontrollniveau wie andere Scan-Konfigurationen ausgeführt: Warnmeldungen, Berichterstellung und Zeitplanung zur Überprüfung der kontinuierlichen Compliance.

Was beinhalten die neuen Huawei EulerOS-Compliance-Richtlinien?

Das Ziel des neuen Huawei EulerOS-Profils ist einfach: Verringerung der Angriffsfläche durch Überprüfung der sicheren Einstellungen auf jedem Host. Der Richtlinienstichprobenumfang umfasst über 200 verschiedene Sicherheitsprüfungen für Linux-Netzwerke, Dienste und lokale Konfigurationen. Die Richtlinientests ähneln den CIS-Benchmarks und entsprechen gleichzeitig den spezifischen Anforderungen der Huawei-Plattform. Die neuen EulerOS-Compliance-Richtlinien können auch an die internen Richtlinienanforderungen jedes Unternehmens angepasst werden.

Die neuen EulerOS-Compliance-Richtlinien umfassen:

• Service Hardening: Stellt sicher, dass unnötige oder unsichere Netzwerkdienste (z. B. DNS, NFS, RPC, SNMP, HTTP, Avahi) deaktiviert oder nicht installiert sind, um die Angriffsfläche des Systems zu verringern.
• Systemkonfiguration und Kernel-Sicherheit: Überprüft sichere Kernel-Parameter, sysctl-Einstellungen, ICMP-Verhalten, Adressraum-Layout-Randomisierung (ASLR) und Schutzmechanismen wie dmesg_restrict.
• Authentifizierung und Zugriffskontrolle: Erzwingt strenge Passwortrichtlinien, Regeln für die Kontosperrung, sudo-Konfigurationen und Benutzerzugriffsbeschränkungen, um unbefugten Zugriff zu verhindern.
• Datei- und Verzeichnisberechtigungen: Überprüft wichtige Systemdateien (z. B. /etc/passwd, /etc/shadow, SSH-Schlüssel) und Verzeichnisse auf korrekte Eigentumsverhältnisse und sichere Berechtigungen.
• Durchsetzung von Passwortrichtlinien: Überprüft die Komplexität, Mindestlänge, Ablaufdauer, Anzahl der Passwörter im Verlauf, Wiederholungslimits und Sperrmechanismen von Passwörtern, um eine strenge Authentifizierungshygiene sicherzustellen.
• Verwaltung von Benutzerkonten und Berechtigungen: Überprüft aktive Benutzerkonten auf ungenutzte, doppelte oder privilegierte Benutzer; stellt sicher, dass die direkte Root-Anmeldung deaktiviert ist und nur notwendige Benutzer Shell-Zugriff haben.
• Sicherheit beim Booten und Initialisieren: Überprüft GRUB-Konfigurationen, Bootloader-Schutzmaßnahmen, Secure-Boot-Einstellungen und Kernel-Modul-Einschränkungen.
• Firewall und Netzwerkverkehrskontrolle: Stellt sicher, dass iptables/nftables/firewalld für INPUT/OUTPUT-Richtlinien und Standardzonen korrekt konfiguriert sind, um unbefugte Netzwerkkommunikation zu verhindern.
• Paket- und Softwareverwaltung: Überprüft sichere Paketverwaltungsverfahren, verhindert die Installation unnötiger oder unsicherer Software und bestätigt, dass die Paket-Repositorys korrekt konfiguriert sind.
• CVE-Erkennung und Schwachstellenerkennung: Identifiziert bekannte Schwachstellen (CVEs) im System, indem installierte Pakete anhand von Schwachstellen-Feeds überprüft werden. Dies hilft dabei, die Behebung ausnutzbarer Softwarefehler auf der Grundlage realer Bedrohungsdaten zu priorisieren.
• Protokollierung und Überwachung: Überprüft Überwachungsregeln für privilegierte Befehle, verfolgt den Zugriff auf sensible Dateien, konfiguriert rsyslog für die Remote-Protokollierung und stellt sicher, dass Überwachungsprotokolle ordnungsgemäß gespeichert und verwaltet werden.

Diese Sicherheitsprüfungen werden als Schwachstellentests (VTs) implementiert, in Familien gruppiert und aus dem EulerOS-Richtlinienobjekt referenziert. OPENVAS SCAN wird mit vielen anderen plattformspezifischen VT-Familien ausgeliefert – darunter Huawei EulerOS Local Security Checks –, die in den neuen Richtlinien aktiviert sind, um zusätzlich zur Konfigurationshärtung Beweise für CVE-Exposure auf Host-Ebene zu sammeln.

Welche Huawei EulerOS-Distributionen werden abgedeckt?

Die neuen Compliance-Profile von Greenbone sind für das EulerOS-Ökosystem konzipiert, einschließlich Distributionen für Unternehmens- und Cloud-Bereitstellungen. Die Bereitstellung ist einfach: Die neuen Huawei EulerOS-Compliance-Profile werden über OPENVAS COMMUNITY FEED für das Produkt OPENVAS SCAN von Greenbone bereitgestellt. Benutzer erhalten sie mit routinemäßigen Feed-Updates, ähnlich wie bei anderen Standardrichtlinien. So bleibt der Inhalt Ihrer Richtlinien ohne zusätzlichen Wartungsaufwand auf dem neuesten Stand.

Hier finden Sie eine Beschreibung jeder EulerOS-Distribution, die in den neuen Compliance-Profilen von Greenbone behandelt wird, sowie eine kurze Beschreibung der betriebssystemspezifischen Sicherheitsabdeckung.

EulerOS (Traditional/Enterprise)

Der Fokus liegt auf den von Huawei veröffentlichten EulerOS 2.0 Service Packs. OPENVAS SCAN ordnet jeden Compliance-Test dem offiziellen EulerOS-Sicherheitsportal von Huawei, der EulerOS Security Configuration Baseline und den EulerOS-Lebenszyklusinformationen zu. Dies umfasst die Service Packs SP9 und neuer.

 EulerOS Virtual (VM-Editionen)

Für Rechenzentren, die auf EulerOS Virtual für die x86_64- und ARM64-Architektur setzen, erkennen unsere neuen Compliance-Profile EulerOS Virtual-Versionen – einschließlich der Releases 2.9.x, 2.10.x, 2.11.x, 2.12.x und 2.13.x. Sie umfassen auch entsprechende Überprüfungen für virtualisierungsspezifische Pakete und Dienste (z. B. KVM/QEMU-Komponenten und deren Hardening-/Patch-Level).

openEuler (Community)

Für Organisationen, die auf openEuler LTS standardisieren, nutzt Greenbone die vom openEuler-Projekt veröffentlichten CSAF-formatierten Hinweise und passt die Compliance-Prüfungen anhand der OS-Versionserkennung an. Auf der Seite zum Lebenszyklus und zu den Downloads von openEuler sind die verfügbaren LTS-Versionen und Service Packs dokumentiert. Die Compliance-Profile unterstützen die Prüfung der Versionen 20.03, 22.03 und 24.03 auf Basis der openEuler Security Configuration Baseline.

Huawei Cloud EulerOS (HCE)

Für Cloud-Bereitstellungen von Huawei Cloud EulerOS (HCE) 2.0 und HCE 3.0 nutzen unsere neuen Compliance-Profile öffentlich zugängliche Empfehlungen, um HCE-Paket-Baselines und Konfigurationshärtungen speziell für Cloud-Images und verwaltete Repositorys zu validieren – wobei Unterschiede wie Paketmanager und Repo-Layout zwischen ihnen berücksichtigt werden.

Zusammenfassung

Die neuen Compliance-Profile von Greenbone für EulerOS-Distributionen erweitern die Funktionen von OPENVAS SCAN um richtliniengesteuerte Audits. Die Richtlinien können verwendet werden, um die gehärtete Sicherheitslage von EulerOS, EulerOS Virtual, openEuler und HCE zu bestätigen. Die Audits werden über den OPENVAS COMMUNITY FEED bereitgestellt und führen authentifizierte Überprüfungen durch, um sichere Baselines für einen breiten Angriffsbereich zu verifizieren. Die Profile werden außerdem durch detaillierte technische und ausführliche Berichte für Stakeholder ergänzt. Diese neuen Tools verbessern OPENVAS SCAN als zuverlässige Methode zur Absicherung von Huawei-basierten Linux-Flotten im Unternehmensmaßstab.