이 절에서는 기존 고객을 위해 이 릴리스의 새로운 중요 보안 기능에 대한 정보를 강조합니다.
새 compliance 명령으로 보안 표준에 대한 시스템의 준수 여부를 평가할 수 있습니다. 이렇게 설정하면 PCI-DSS를 포함한 업계 표준 보안 벤치마크에 대한 시스템의 준수 여부를 평가 및 보고할 수 있습니다. 자세한 내용은 Oracle Solaris 11.2 보안 적합성 안내서 및 compliance(1M) 매뉴얼 페이지를 참조하십시오.
Oracle Solaris의 암호화 프레임워크 기능은 Oracle Solaris 11.1 SRU 5.5 및 Oracle Solaris 11.1 SRU 3 릴리스에서 userland 및 커널 기능에 대해 FIPS 140-2, 레벨 1에서 검증되었습니다.
Oracle FIPS 140 검증 제품 목록은 Oracle FIPS 140 Software Validations를 참조하십시오.
시스템에서 FIPS 140 모드를 사용으로 설정하는 방법은 Using a FIPS 140 Enabled System in Oracle Solaris 11.2 을 참조하십시오.
Oracle Solaris 11.1은 Canadian Common Criteria Scheme에 따라 인증되었습니다. Oracle Solaris 11 Common Criteria EAL4+ Certification을 참조하십시오.
감사 서비스에서는 Oracle 감사 보관소를 사용하여 감사 레코드를 저장, 검토 및 분석합니다. Oracle Solaris 11.2의 감사 관리 의 감사 레코드의 저장 및 분석을 위한 Oracle Audit Vault and Database Firewall 사용을 참조하십시오.
확인된 부트는 Oracle SPARC T5 시리즈 서버 및 Oracle SPARC T7 시리즈 서버에 대한 위협으로부터 부트 프로세스를 보호합니다. 자세한 내용은 Oracle Solaris 11.2에서 시스템 및 연결된 장치의 보안 의 확인된 부트 사용을 참조하십시오.
인증서와 키를 사용하여 설치 서버, 지정한 클라이언트 시스템, 지정한 설치 서비스의 모든 클라이언트 및 기타 모든 AI 클라이언트에 대한 AI(자동 설치)를 보호할 수 있습니다. AI 보호는 사용자의 시스템에 대한 Oracle Solaris 패키지의 전송을 보호하는 것입니다. Oracle Solaris 11.2 시스템 설치 의 자동 설치의 보안 수준 향상을 참조하십시오.
새 그룹 설치 패키지 pkg:/group/system/solaris-minimal-server를 사용할 수 있습니다. 그룹 패키지 내용에 대한 설명 및 비교는 Oracle Solaris 11.2 Package Group Lists 을 참조하십시오.
AI를 사용하여 Kerberos 클라이언트를 설치하면 클라이언트가 처음 부트 시 Kerberios화된 시스템이 됩니다. Oracle Solaris 11.2 시스템 설치 의 AI를 사용한 Kerberos 클라이언트 구성 방법을 참조하십시오.
이 릴리스에서는 물리적 글로벌 영역(변경할 수 없는 글로벌 영역) 및 가상 글로벌 영역(Oracle Solaris Kernel 영역)을 읽기 전용으로 설정할 수 있습니다. 변경할 수 없는 글로벌 영역은 Kernel 영역에 비해 약간 더 강력하지만 두 영역 모두 시스템의 하드웨어 또는 구성을 영구적으로 변경할 수는 없습니다. 읽기 전용 영역은 쓰기 가능 영역에 비해 부트 속도와 보안성이 더 뛰어납니다.
유지 관리를 위해 변경할 수 없는 글로벌 영역은 TCB(Trusted Computing Base)라는 특별한 프로세스 세트를 정의합니다. TCB는 신뢰할 수 있는 경로라는 보호된 로그인을 통해 구성할 수 있습니다. 자세한 내용은 Oracle Solaris 영역 만들기 및 사용 의 12 장, 변경할 수 없는 영역 구성 및 관리를 참조하십시오. 영역 구성 리소스에 대한 자세한 내용은 Oracle Solaris 영역 소개 를 참조하십시오. mwac(5) 및 tpd(5) 매뉴얼 페이지를 참조하십시오.
Oracle Solaris 커널 영역은 호환 시스템 배치 시 유용합니다. 예를 들어 호환 시스템을 구성하고 통합 아카이브를 만든 다음 이미지를 커널 영역으로 배치할 수 있습니다. 자세한 내용은 solaris-kz(5) 매뉴얼 페이지, Oracle Solaris 커널 영역 만들기 및 사용 , Oracle Solaris 11.2 가상화 환경 소개 의 Oracle Solaris 영역 개요 및 Oracle Solaris 11.2의 시스템 복구 및 복제용 Unified Archive 사용 을 참조하십시오.
사용자 및 프로세스 권한의 새로운 기능은 다음과 같습니다.
PAM 서비스에 대한 시간 기반/위치 기반의 액세스 제어
ARMOR(Authorization Roles Managed on RBAC) 사전 정의 역할
권한 작업을 실행하기 전 사용자에게 암호를 요구하는 권한 프로파일
root가 아니어도 권한으로 진단 명령 ipstat, tcpstat, snoop, intrstat를 실행하기 위한 네트워크 관찰성 및 시스템 관찰성 권한 프로파일
자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 Oracle Solaris 11.2 권한의 새로운 기능을 참조하십시오.
IKEv2(IKE 버전 2)에서는 IPsec로 보호된 네트워크 패킷의 자동 키 관리를 위해 최신 IKE 프로토콜을 제공합니다. 자세한 내용은 Oracle Solaris 11.2의 네트워크 보안 의 Oracle Solaris 11.2에서 네트워크 보안의 새로운 기능을 참조하십시오.
Oracle HMP(Hardware Management Pack)에서는 펌웨어 구성 및 업데이트를 위한 명령줄 도구를 제공합니다. 네트워크 스위치 및 네트워크 인터페이스 카드 등 다른 Oracle 하드웨어 제품과 안전하게 HMP를 사용하는 방법에 대한 자세한 내용은 Oracle Solaris용 Oracle Hardware Management Pack 보안 설명서 를 참조하십시오.