En esta sección, se destaca información para clientes existentes sobre las nuevas funciones de seguridad importantes en esta versión.
Puede evaluar la conformidad de los sistemas con los estándares de seguridad utilizando el nuevo comando compliance. Este comando permite evaluar e informar la conformidad del sistema con referencias de seguridad de estándares del sector, incluido PCI-DSS. Para obtener detalles, consulte la Guía de cumplimiento de la seguridad de Oracle Solaris 11.2 y la página del comando man compliance(1M).
La función de estructura criptográfica de Oracle Solaris está validada en FIPS 140-2, Nivel 1 validada para funciones de espacio de usuario y núcleo en las versiones Oracle Solaris 11.1 SRU 5.5 y Oracle Solaris 11.1 SRU 3.
Para obtener una lista de los productos validados por Oracle FIPS 140, consulte Oracle FIPS 140 Software Validations.
Para obtener información acerca de la activación de Modo FIPS 140 en su sistema, consulte Using a FIPS 140 Enabled System in Oracle Solaris 11.2 .
Oracle Solaris 11.1 está certificado según el esquema de criterios comunes de Canadá. Consulte Certificación EAL4+ de criterios comunes de Oracle Solaris 11.
El servicio de auditoría puede utilizar Oracle Audit Vault para almacenar, revisar y analizar los registros de auditoría. Consulte Uso de Oracle Audit Vault and Database Firewall para el almacenamiento y el análisis de registros de auditoría de Gestión de auditoría en Oracle Solaris 11.2 .
El inicio verificado protege el proceso de inicio contra amenazas en servidores SPARC T5 de Oracle y en servidores SPARC T7 de Oracle. Para obtener más información, consulte Uso de inicio verificado de Protección de sistemas y dispositivos conectados en Oracle Solaris 11.2 .
Puede proteger las instalaciones de Automatic Installation (AI) con certificados y claves para el servidor de instalación, para sistemas cliente especificados, para todos los clientes de un servicio de instalación especificado y para cualquier otro cliente AI. El AI seguro protege la transmisión de paquetes de Oracle Solaris a los sistemas. Consulte Aumento de la seguridad para las instalaciones automatizadas de Instalación de sistemas Oracle Solaris 11.2 .
Hay un nuevo paquete de instalación de grupo disponible, pkg:/group/system/solaris-minimal-server. Para obtener una descripción y una comparación de los contenidos del paquete de grupo, consulte Oracle Solaris 11.2 Package Group Lists .
Puede instalar clientes Kerberos mediante el AI para que el cliente sea un sistema Kerberizado en el primer inicio. Consulte Cómo configurar clientes Kerberos mediante AI de Instalación de sistemas Oracle Solaris 11.2 .
En esta versión, las zonas globales físicas, denominadas zonas globales inmutables, y las zonas globales virtuales, denominadas zonas de núcleo de Oracle Solaris, pueden ser de sólo lectura. Las zonas globales inmutables son levemente más potentes que las zonas de núcleo, pero tampoco pueden cambiar de manera permanente el hardware ni la configuración del sistema. Las zonas de sólo lectura se inician más rápido y son más seguras que las zonas que permiten escritura.
Para el mantenimiento, las zonas globales inmutables definen un conjunto especial de procesos denominado base de computación de confianza (TCB), que se puede configurar mediante un inicio de sesión protegido denominado ruta de acceso de confianza. Para obtener más información, consulte el Capítulo 12, Configuración y administración de zonas inmutables de Creación y uso de zonas de Oracle Solaris . Para obtener información sobre los recursos de configuración de zonas, consulte Introducción a Zonas de Oracle Solaris . También consulte las páginas del comando man mwac(5) y tpd(5).
Las zonas de núcleo de Oracle Solaris son útiles para implementar un sistema compatible. Por ejemplo, puede configurar un sistema compatible, crear un archivo unificado y luego implementar la imagen como una zona de núcleo. Para obtener más información, consulte la página del comando man solaris-kz(5), Creación y uso de zonas del núcleo de Oracle Solaris , Descripción general de Oracle Solaris Zones de Introducción a los entornos de virtualización de Oracle Solaris 11.2 y Uso de Unified Archives para la clonación y la recuperación del sistema en Oracle Solaris 11.2 .
Las nuevas funciones en derechos de procesos y usuarios incluyen lo siguiente:
control de acceso basado en ubicación y basado en tiempo para servicios PAM,
roles predefinidos de roles de autorización gestionados en RBAC (ARMOR),
perfiles de derechos que fuerzan a los usuarios a proporcionar una contraseña antes de ejecutar una acción con privilegios.
Los perfiles de derechos de observabilidad de red u observabilidad de sistema para ejecutar los comandos de diagnóstico ipstat, tcpstat, snoop y intrstat con privilegio y sin ser root
Para obtener detalles, consulte Novedades de los derechos en Oracle Solaris 11.2 de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
La versión 2 del intercambio de claves de Internet (IKEv2) proporciona el protocolo IKE más reciente para la gestión automática de claves de paquetes de red protegidos por IPsec. Para obtener detalles, consulte Novedades de seguridad de red en Oracle Solaris 11.2 de Protección de la red en Oracle Solaris 11.2 .
Oracle Hardware Management Pack (HMP) proporciona herramientas de línea de comandos para configurar y actualizar el firmware. Para obtener información sobre cómo usar HMP de manera segura con otros productos de hardware de Oracle, como conmutadores de red y tarjetas de interfaz de red, consulte Guía de seguridad de Oracle Hardware Management Pack para Oracle Solaris .