OS Management Hub sichern

Erfahren Sie mehr über Ihre Zuständigkeiten im Bereich Sicherheit und Compliance, um OS Management Hub sicher zu verwenden.

Im Allgemeinen bietet Oracle Sicherheit für Cloud-Infrastruktur und -Vorgänge, wie Zugriffskontrollen für Cloud-Benutzer und Infrastruktursicherheits-Patching. Sie sind für die sichere Konfiguration Ihrer Cloud-Ressourcen verantwortlich. Für die Sicherheit in der Cloud sind sowohl Sie als auch Oracle verantwortlich.

Oracle ist für die folgenden Sicherheitsanforderungen verantwortlich:

• Physische Sicherheit: Oracle ist für den Schutz der globalen Infrastruktur verantwortlich, auf der alle Services in Oracle Cloud Infrastructure ausgeführt werden. Diese Infrastruktur besteht aus Hardware, Software, Netzwerken und Einrichtungen, die Oracle Cloud Infrastructure-Services ausführen.

Ihre Sicherheitsaufgaben sind auf dieser Seite beschrieben. Sie umfassen die folgenden Bereiche:

• Zugriffskontrolle: Beschränken Sie Berechtigungen so weit wie möglich. Benutzern sollte nur der erforderliche Zugriff zum Ausführen ihrer Aufgaben erteilt werden.
• Patch: Halten Sie die Software mit den neuesten Sicherheitspatches auf dem neuesten Stand, um Schwachstellen zu vermeiden.

Mit dieser Checkliste können Sie die Aufgaben identifizieren, die zum Sichern von OS Management Hub in einem neuen Oracle Cloud Infrastructure-Mandanten ausgeführt werden.

Aufgabe	Weitere Informationen
Mit IAM-Policys Benutzern und Ressourcen Zugriffsberechtigungen erteilen	OS Management Hub-Policys
Gruppen zur Kontrolle des Zugriffs auf den Service konfigurieren	Benutzergruppe
Fügen Sie dem Service nur die Softwarequellen hinzu, die Sie benötigen	Softwarequellen auswählen
Mit Profilen die an eine Instanz angehängten Softwarequellen steuern	Softwarequellen auswählen
Regelmäßige Spiegelsynchronisierungen für die Verwaltungsstationen konfigurieren	Spiegel synchronisieren

Nachdem Sie die Schritte mit OS Management Hub ausgeführt haben, ermitteln Sie anhand dieser Checkliste, welche Sicherheitsaufgaben Sie regelmäßig ausführen sollten.

Aufgabe	Weitere Informationen
Spielen Sie die neuesten Sicherheitspatches ein	Software patchen
Sicherheitsupdates mit Ksplice einspielen	Software patchen
Spiegelsynchronisierungsstatus überwachen und Synchronisierungsjobs erstellen	Spiegel synchronisieren
Nicht erforderliche Packages auf Instanzen entfernen	Entfernen nicht erforderlicher Pakete
Berichte zur Überprüfung der Sicherheitscompliance prüfen	Berichte prüfen

Schränken Sie mit Policys den Zugriff auf OS Management Hub ein.

Siehe OS Management Hub-Policys.

Fügen Sie dem Service nur die minimale Anzahl an erforderlichen Anbietersoftwarequellen hinzu. Wenn Sie benutzerdefinierte Softwarequellen erstellen, verwenden Sie Filter, oder geben Sie eine Packageliste an, um den für Instanzen verfügbaren Inhalt weiter zu reduzieren. Nehmen Sie nur die Packages auf, die zur Unterstützung Ihrer Workload erforderlich sind.

Wenn Sie ein Softwarequellenprofil erstellen, schließen Sie nur erforderliche Softwarequellen ein. Dadurch wird die Anzahl der für die Instanz verfügbaren Packages minimiert, wodurch der Footprint der Packageinstallation reduziert wird. Entsprechend hängen Sie beim Erstellen einer Gruppe oder einer Lebenszyklusumgebung nur die minimalen erforderlichen Softwarequellen an.

Wenn Sie Drittanbieter oder private Quellen hinzufügen, verwenden Sie das HTTPS-Protokoll für die Repository-URLs und GPG-Schlüssel, um den Inhalt bei der Installation zu validieren. Siehe Repository-URL und GPG-Schlüssel.

Synchronisieren Sie regelmäßig gespiegelte Softwarequellen, um sicherzustellen, dass die Managementstation die neuesten Softwarepakete an Instanzen verteilt.

Standardmäßig wird ein Mirror-Sync-Job einmal pro Woche ausgeführt. Passen Sie diese Häufigkeit an Ihre Sicherheitsanforderungen an. Sie können den Spiegelsynchronisierungsplan nach Bedarf bearbeiten. Überwachen Sie außerdem den Status der Spiegelsynchronisierungen der Managementstation, und führen Sie jederzeit einen On-Demand-Spiegelsynchronisierungsjob aus.

Stellen Sie sicher, dass auf Ihren verwalteten Instanzen die neuesten Sicherheitsupdates ausgeführt werden.

Aktualisieren Sie die Instanzsoftware mit Sicherheitspatches. Es wird empfohlen, die neuesten verfügbaren Softwareupdates regelmäßig auf Instanzen anzuwenden, die bei OS Management Hub registriert sind. Verwenden Sie mehrere Aktualisierungsjobs, um Instanzen auf dem neuesten Stand zu halten.

Aktualisierungsjobs erstellen

Um sicherzustellen, dass Instanzen regelmäßige Updates erhalten, können Sie einen Job zum Planen wiederkehrender Updates erstellen. Informationen hierzu finden Sie unter:

• Instanz aktualisieren
• Instanzen in einer Gruppen aktualisieren
• Alle Instanzen in einem Compartment aktualisieren

Ksplice-Updates ausführen

Mit Oracle Ksplice können Sie kritische Sicherheitspatches in Kernel auf Oracle Linux-Instanzen einspielen, ohne dass ein Neustart erforderlich ist. Ksplice aktualisiert auch die glibc- und OpenSSL-Benutzerbereichs-Librarys und spielt kritische Sicherheitspatches ein, ohne Workloads zu unterbrechen. Erstellen Sie einen wiederkehrenden Aktualisierungsjob, der Ksplice-Updates anwendet.

Entfernen Sie unnötige Packages aus Instanzen, um den Installations-Footprint zu reduzieren und potenzielle Sicherheitsprobleme zu vermeiden.

Durch das Entfernen einer Softwarequelle werden keine Packages entfernt, die aus der Softwarequelle installiert wurden. Beispiel: Sie wechseln von UEK R6 zu UEK R7. Sie fügen die Softwarequelle für UEK R7 hinzu und entfernen dann die Softwarequelle für UEK R6. Alle installierten UEK R6-Packages verbleiben auf dem System. Diese Packages werden jedoch nicht mehr aktualisiert, da die zugehörige Softwarequelle entfernt wurde. Daher werden sie möglicherweise in Sicherheitsscans angezeigt.

Informationen zum Entfernen von Packages finden Sie unter:

• Packages aus einer Instanz entfernen
• Packages aus einer Gruppe entfernen

OS Management Hub generiert Berichte für Sicherheitsupdates, Bugupdates und Instanzaktivitäten. Prüfen Sie diese Berichte, um alle veralteten Instanzen zu ermitteln. Siehe Berichte anzeigen.