Cette section contient des informations destinées aux clients existants sur les nouvelles fonctions de sécurité de cette version.
Vous pouvez évaluer la conformité de vos systèmes aux normes de sécurité à l'aide de la nouvelle commande de sécurité compliance. Elle vous permet d'évaluer et de présenter sous forme de rapport la conformité de votre système aux normes de sécurité standard de l'industrie, y compris la norme PCI-DSS. Pour plus d'informations, reportez-vous au manuel Guide de conformité à la sécurité d’Oracle Solaris 11.2 , ainsi qu'à la page de manuel compliance(1M).
La fonction Structure cryptographique d'Oracle Solaris est validée à FIPS 140-2, niveau 1 pour les fonctions utilisateur et noyau dans les versions Oracle Solaris 11.1 SRU 5.5 et Oracle Solaris 11.1 SRU 3.
Pour consulter une liste des produits Oracle certifiés FIPS, voir Oracle FIPS 140 Software Validations.
Pour plus d'informations sur l'activation du Mode FIPS 140 sur votre système, reportez-vous à Using a FIPS 140 Enabled System in Oracle Solaris 11.2 .
Oracle Solaris 11.1 est certifié conforme à la norme canadienne Critères communs. Voir Certification EAL4+ d'Oracle Solaris 11 selon les Critères communs.
Le service d'audit peut utiliser Oracle Audit Vault pour stocker, passer en revue et analyser des enregistrements d'audit. Voir la section Utilisation du coffre d’audit Oracle et du pare-feu de base de données pour le stockage et l’analyse des enregistrements d’audit du manuel Gestion de l’audit dans Oracle Solaris 11.2 .
Verified Boot protège le processus d'initialisation contre les menaces perpétrées à l'encontre des serveurs de la série Oracle SPARC T5 et des serveurs de la série Oracle SPARC T7. Pour plus d'informations, reportez-vous à la section Utilisation de Verified Boot du manuel Sécurisation des systèmes et des périphériques connectés dans Oracle Solaris 11.2 .
Vous pouvez sécuriser les installations automatiques (AI) à l'aide de certificats et de clés destinés au serveur d'installation, à des systèmes client spécifiques, à tous les clients d'un service d'installation spécifique et à tout autre client AI. La sécurisation des AI protège le transfert des packages Oracle Solaris vers vos systèmes. Voir la section Augmentation de la sécurité pour des installations automatisées du manuel Installation des systèmes Oracle Solaris 11.2 .
Un nouveau package d'installation de groupe est disponible : pkg:/group/system/solaris-minimal-server. Pour obtenir une description et un comparatif des contenus des packages de groupe, reportez-vous au document Oracle Solaris 11.2 Package Group Lists .
Vous pouvez installer des clients Kerberos à l'aide du système AI, de sorte à ce que le client soit un système utilisant Kerberos dès la première initialisation. Voir la section Configuration des clients Kerberos à l’aide de l’AI du manuel Installation des systèmes Oracle Solaris 11.2 .
Dans cette version, les zones physiques globales (appelées zones globales immuables) et les zones globales virtuelles (appelées zones de noyau Oracle Solaris) sont en lecture seule. Si les zones globales immuables sont légèrement plus puissantes que les zones de noyau, aucune d'elles ne peut modifier de manière permanente le matériel ou la configuration du système. Les zones en lecture seule s'initialisent plus rapidement et sont plus sécurisées que les zones autorisant les écritures.
Dans le cadre d'une maintenance, les zones globales immuables définissent un ensemble spécial de processus appelé TCB (base informatique sécurisée). Cette base peut être configurée via une connexion sécurisée appelée Trusted Path (chemin de confiance). Pour plus d'informations, reportez-vous au Chapitre 12, Configuration et administration de zones immuables du manuel Création et utilisation des zones Oracle Solaris . Pour plus d'informations sur les ressources de configuration des zones, reportez-vous à la section Présentation d’Oracle Solaris Zones . Reportez-vous également aux pages de manuel mwac(5) et tpd(5).
Les zones noyau Oracle Solaris sont utiles pour déployer un système conforme. Par exemple, vous pouvez configurer un système conforme, créer une archive d'ensemble et déployer l'image en tant que zone noyau. Pour plus d'informations, consultez les références suivantes : page de manuel solaris-kz(5), Création et utilisation des zones de noyau d’Oracle Solaris , Présentation d’Oracle Solaris Zones du manuel Présentation des environnements de virtualisation d’Oracle Solaris 11.2 et Utilisation de Unified Archives pour la récupération du système et le clonage dans Oracle Solaris 11.2 .
Les nouvelles fonction des droits d'utilisateur et de processus sont les suivantes :
Contrôle de l'accès aux services PAM en fonction du temps et de l'emplacement
Rôles d'autorisation gérés à partir de rôles RBAC (ARMOR) prédéfinis
Profils de droits d'accès contraignant les utilisateurs à saisir un mot de passe avant d'exécuter une action privilégiée
Les profils de droits Capacité d'observation du réseau et Capacité d'observation du système pour l'exécution des commandes de diagnostic ipstat, tcpstat, snoop et intrstat avec privilèges et sans être root
Pour plus d'informations, reportez-vous à la section Nouveautés relatives aux droits dans Oracle Solaris 11.2 du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
La version 2 d'IKE (IKEv2) fournit le dernier protocole IKE permettant la gestion automatique par clés des paquets du réseau protégés par IPsec. Pour plus d'informations, reportez-vous à la section Nouveautés concernant la sécurité du réseau dans Oracle Solaris 11.2 du manuel Sécurisation du réseau dans Oracle Solaris 11.2 .
Oracle Hardware Management Pack (HMP) fournit des outils de ligne de commande pour configurer et mettre à jour les microprogrammes. Pour plus d'informations sur l'utilisation sécurisée de HMP associée à d'autres produits matériels Oracle, tels que des commutateurs réseau et des cartes d'interface réseau, reportez-vous au manuel Guide de sécurité d’Oracle Hardware Management Pack pour Oracle Solaris .