Oracle Cloud Infrastructure-Dokumentation

Oracle Linux-Sicherheit

Sie können Oracle Linux sicher in Ihrer Cloud-Umgebung verwenden, indem Sie diese Best Practices zur Sicherheit befolgen. Oracle Linux bietet auch mehrere Cloud-Services, die automatische Softwareupdates ausführen, Fehlerkorrekturen installieren und Ihre Instanzen auf kritische Ereignisse überwachen.

Best Practices zur Sicherheit

Befolgen Sie diese Best Practices für die Sicherheit, wenn Sie Oracle Linux in einer Cloud-Umgebung verwenden.

Weitere Informationen finden Sie unter Oracle Linux 9 - Systemsicherheit verbessern und Oracle Linux 8 - Systemsicherheit verbessern.

Best Practices für die Sicherheit von Oracle Linux

Best Practices

Beschreibung

Minimieren und sichern Sie den Software-Footprint

Deinstallieren oder deaktivieren Sie Komponenten, Services und Features, die Sie in Ihrer Cloud-Umgebung nicht benötigen oder verwenden.

Optional können Sie nur das Basisbetriebssystem auf Oracle Linux-Systemen installieren.

Wenn Sie das Oracle Cloud-Plattformimage verwenden, wählen Sie den besten Imagetyp aus, der Ihren Geschäftsanforderungen entspricht:

  • Standardplattformimage: Ein minimales Image mit zusätzlichen Supporttools und Packages, die standardmäßig installiert sind. Die Tools und Pakete werden vom Oracle Support verwendet, um offene Supporttickets zu bearbeiten, falls eingereicht.
  • Minimales Plattformimage: Ein Image mit der Mindestanzahl an Packages, die zum Booten und Herstellen einer Verbindung zu einer OCI-Instanz über die SSH-Konsole erforderlich sind.
  • Benutzerdefiniertes Plattformimage: Ihr eigenes, benutzerdefiniertes Image, das Best Practices für die Sicherheit folgt, indem Sie nur das installieren, was zur Unterstützung Ihrer Cloud-Umgebung und Ihres Anwendungsstacks erforderlich ist.

Prüfen Sie regelmäßig die Packages, die Teil Ihres Oracle Cloud-Plattformimages sind, um sicherzustellen, dass die Packages aktiv verwendet werden. Nicht verwendete Pakete entfernen

Software aktualisieren

Bewerten Sie die auf den Oracle Linux-Systemen in Ihrer Umgebung installierte Software, und wenden Sie mindestens wöchentlich Sicherheitsupdates an. Prüfen Sie regelmäßig auf Patchupdates, und installieren Sie die neuesten Patches. Bestimmen Sie, wann und wie oft größere Updates mit zusätzlichen Bugfixes und Verbesserungen durchgeführt werden sollen.

Mit diesen Oracle Linux-Cloud-Services können Sie Software auf dem neuesten Stand halten:

  • OS Management Hub: Verwaltet die neuesten Softwarepackages auf Ihren Oracle Cloud Infrastructure-(OCI-)Instanzen. Siehe OS Management Hub verwenden.

  • Autonomes Linux-Image: Damit kann Autonomous Linux tägliche Updates von kritischen Problemen für Ihre OCI-Instanzen durchführen und diese überwachen. Siehe Oracle Autonomous Linux-Image.

  • Ksplice: Patcht den ausgeführten Kernel und allgemeine Userspace-Bibliotheken automatisch auf den Oracle Linux-Systemen in Ihrer Umgebung, ohne dass ein Neustart oder eine Ausfallzeit erforderlich sind. Siehe Oracle Ksplice verwenden.

Zugriff einschränken

Behalten Sie Anwendungen und Datenbanken der Middle Tier hinter einer Firewall bei, oder beschränken Sie den Zugriff auf IP-Adressen. Wenn Sie eine Firewall verwenden, stellen Sie sicher, dass die Firewalleinstellungen kontrolliert werden, und überprüfen Sie diese Einstellungen regelmäßig. Wenn Sie eine virtuelle Firewall verwenden, richten Sie die richtigen Sicherheitslisten für Ihre Instanzen ein. Siehe Möglichkeiten zum Sichern Ihres Netzwerks und Sicherheitslisten.

Authentifizierungsmechanismen kontrollieren und strenge Passwortbeschränkungen durchsetzen

Verwenden Sie eine strikte Passwort-, Schlüssel-, Zertifikat- und tokenbasierte Authentifizierung.

Erteilen Sie minimale Benutzerberechtigungen

Beschränken Sie Benutzerberechtigungen so weit wie möglich. Geben Sie Benutzern nur den erforderlichen Zugriff, um ihre Arbeit auszuführen.

Systemaktivität überwachen

Auditieren und prüfen Sie Systemauditdatensätze.

Ksplice bietet ein bekanntes Feature zur Erkennung von Exploits für Systeme, bei denen der Ksplice Enhanced-Client installiert ist. Weitere Informationen finden Sie in der Ksplice-Benutzerdokumentation.

Halten Sie sich mit den neuesten Sicherheitsinformationen auf dem Laufenden

Überwachen Sie die Oracle Linux Security-Mailingliste auf kritische Sicherheitsankündigungen. Siehe Oracle Security Alerts abonnieren.

Verwenden Sie für staatliche Sicherheitsstandards und -anforderungen das STIG-Image

Verwenden Sie das Oracle Linux STIG-Image, um Oracle Linux-Instanzen zu erstellen, die bestimmten Sicherheitsstandards und -anforderungen entsprechen, die von der Defense Information Systems Agency (DISA) festgelegt wurden. Diese Sicherheitsstandards werden im Security Technical Implementation Guide (STIG) beschrieben.

Weitere Informationen finden Sie unter Was ist STIG?.

Es gibt zusätzliche Services in Oracle Cloud, die die Sicherheit ergänzen, die Sie mit Oracle Linux erstellen können. Beispiel: Um Hosts und Containerimages regelmäßig auf potenzielle Sicherheitslücken zu prüfen, können Sie den Oracle Cloud Infrastructure Vulnerability Scanning Service verwenden. Wenn Sie Unterstützung beim Verwalten von Anwendungs-Stacks benötigen, einschließlich der Gruppierung von Ressourcen basierend auf definierten Kriterien, können Sie den Oracle Fleet Application Management Service verwenden.

Siehe Überblick über Vulnerability Scanning und Überblick über Fleet Application Management.

Oracle Linux Services für Sicherheit

Oracle Linux bietet verschiedene Services, mit denen Sie Oracle Linux-Instanzen in Ihrer Cloud-Umgebung sichern können.

Oracle Autonomous Linux-Service

Autonomous Linux führt automatische tägliche Sicherheitsupdates auf Ihren Oracle Linux-Instanzen aus und überwacht die Instanzen auf kritische Ereignisse.

Weitere Informationen finden Sie unter Überblick über Autonomous Linux.

Sicherheitsfunktionen

Oracle Autonomous Linux - Sicherheitsfunktionen

Feature

Beschreibung

Automatische tägliche Pakete und Updates

Instanzen, die das Oracle Autonomous Linux-Image verwenden, werden automatisch täglich mit verfügbaren Packages und Patches aktualisiert, die Sicherheitslücken beheben. Einige dieser Updates können Ksplice-Patches ohne Ausfallzeit für Kernel-, OpenSSL- und glibc-Bibliotheken enthalten. Sie können die Ausführungszeit dieser täglichen Updates ändern.

Sicherheitsberichte

Zeigen Sie filterbare Berichte an, in denen Sicherheits-Advisorys für Ihre Instanzen aufgelistet sind, und geben Sie an, ob Ihre Instanzen über Sicherheitspatches auf dem neuesten Stand sind.

Überwachung von Exploit-Erkennungsereignissen

Wenn ein Exploit-Erkennungsereignis in einer Instanz auftritt, prüfen Sie die Ereignisdetails, die zugehörigen Logdateien und Stacktraceinformationen zum Ereignis.

Benachrichtigungen bei Sicherheitsereignis

Wählen Sie diese Option aus, um benachrichtigt zu werden, wenn ein Sicherheitsereignis auf einer Instanz auftritt. Dazu legen Sie das Benachrichtigungsthema für die Instanz fest.

OS Management Hub-Service

Mit OS Management Hub können Sie Updates in den Oracle Linux-Instanzen in Ihrer Cloud-Umgebung über eine zentrale Managementkonsole überwachen und verwalten.

Weitere Informationen finden Sie unter Überblick über OS Management Hub.

Sicherheitsfunktionen

OS Management Hub - Sicherheitsfeatures

Feature

Beschreibung

IAM-Policys und Gruppen

Verwenden Sie Policys und Gruppen, um den Zugriff auf Benutzer und Cloud-Ressourcen einzuschränken.

Softwarequellen und Profile

Steuern Sie die Anzahl der Softwarequellen (Repositorys) und geben Sie an, welche Softwarepackages für die bei OS Management Hub registrierten Instanzen verfügbar sind.

Jobs, die Patching-Updates für eine Standalone-Instanz oder alle Standalone-Instanzen in einem Compartment planen

Erstellen Sie Jobs, die wiederkehrende Sicherheitsupdates für Ihre Instanz oder Instanzen planen. Sie können Jobs erstellen, die Ksplice-Updates einspielen.

Jobs zur Spiegelsynchronisierung, die gespiegelte Softwarequellen synchronisieren

Bestimmen Sie eine Instanz als Managementstation. Sie können dann Jobs erstellen, die sicherstellen, dass die Verwaltungsstation die neueste Software und Sicherheitspakete an alle Instanzen verteilt, die diese Station verwenden.

Sicherheitsberichte

Prüfen Sie Berichte mit Informationen zu Sicherheitsupdates, Bugupdates und Instanzaktivitäten.

Oracle Ksplice-Service

Oracle Ksplice bietet automatische Sicherheitspatches und Updates für Ihre Oracle Linux-Instanzen, ohne die Instanzen herunterfahren und neu starten zu müssen.

Weitere Informationen zu Ksplice finden Sie in der Oracle Linux: Ksplice-Benutzerdokumentation.

Sicherheitsfunktionen

Oracle Ksplice - Sicherheitsfunktionen

Feature

Beschreibung

Automatische Oracle Ksplice-Updates

Ksplice installiert automatisch die neuesten Sicherheitspatches und -updates für Linux-Kernel auf Ihren Instanzen und ohne Ausfallzeiten.

Aktuelle Patches

Zeigen Sie die aktuell auf Ihren Instanzen installierten Patches und Updates an.

Manuelle Updates

Wenn Sie keine automatischen Updates wünschen, installieren Sie bei Bedarf manuell die neuesten Patches und Updates für Ihre Instanzen.

Aktiv gewartete Kernels

Zeigen Sie an, welche Kernel aktiv von Ksplice verwaltet werden.