Documentación de Oracle Cloud Infrastructure

Imagen de STIG de Oracle Linux

Oracle Linux STIG Image es una implantación de Oracle Linux que sigue la Security Technical Implementation Guide (STIG).

La imagen STIG de Oracle Linux se inicia desde Oracle Cloud Marketplace. En Marketplace, busque las listas STIG de Oracle Linux y seleccione la imagen STIG de Oracle Linux con el perfil que cumpla los requisitos de negocio.

Con la imagen STIG, una instancia de Oracle Linux en Oracle Cloud Infrastructure se configura para cumplir determinados estándares y requisitos de seguridad definidos por la Agencia del Sistema de la Información de Defensa (DISA).

Nota

Oracle actualiza Oracle Linux STIG Image regularmente con las últimas erratas de seguridad. Este documento se actualiza cada vez que cambia la referencia STIG o cuando los cambios en la guía de seguridad requieren la configuración manual de la imagen. Consulte Historial de revisiones para imágenes STIG de Oracle Linux para ver los cambios específicos realizados en cada versión.
Importante

Cualquier cambio realizado en una instancia de Oracle Linux STIG Image (como la instalación de otras aplicaciones o el cambio de los valores de configuración) puede afectar a la puntuación de conformidad. Después de realizar cambios, vuelva a explorar la instancia para confirmar la conformidad.

Acerca de STIG

Una STIG (Security Technical Implementation Guide, guía de implantación técnica de seguridad) es un documento redactado por la Agencia de Sistemas de la Información de Defensa (DISA). Proporciona orientación sobre la configuración de un sistema para cumplir con los requisitos de ciberseguridad para el despliegue en los sistemas de red de TI del Departamento de Defensa (DoD) de EE. UU. Los requisitos del STIG protegen la red frente a amenazas en materia de ciberseguridad centrándose en la infraestructura y en la seguridad de red para mitigar las posibles vulnerabilidades. Compliance with STIGs is a requirement for DoD agencies, or any organization that's a part of the DoD information networks (DoDIN).

La imagen STIG de Oracle Linux automatiza la conformidad proporcionando una versión reforzada de la imagen de Oracle Linux estándar que sigue las directrices de STIG. Sin embargo, es posible que la imagen seleccionada aún requiera solución manual adicional para cumplir con todos los requisitos de STIG.

Descarga de la STIG más reciente

DISA proporciona actualizaciones trimestrales de los documentos STIG. El contenido proporcionado por Oracle sigue los últimos documentos STIG disponibles en el momento de su publicación. Le recomendamos que descargue y siga los últimos archivos zip de STIG al evaluar los sistemas desplegados para garantizar el cumplimiento.

Para descargar los documentos STIG más recientes, consulte https://public.cyber.mil/stigs/downloads/. Busque Oracle Linux y, a continuación, descargue el archivo zip adecuado.

Si lo desea, utilice el visor de STIG de DISE proporcionado en https://public.cyber.mil/stigs/srg-stig-tools/. A continuación, importe el archivo xccdf.xml de STIG para ver las reglas de STIG.

Evaluación del cumplimiento de STIG

La evaluación de conformidad a menudo comienza con un análisis mediante una herramienta de comprobación de conformidad del protocolo de automatización de contenido de seguridad (SCAP) que utiliza una STIG (cargada en formato SCAP) para analizar la seguridad de un sistema. Se requiere una auditoría manual adicional para la cobertura de cumplimiento completo, porque las herramientas SCAP no siempre prueban todas las reglas dentro de una STIG y es posible que algunas STIG no se hayan publicado en formato SCAP.

Las siguientes herramientas están disponibles para automatizar la evaluación de conformidad:

Comprobador de conformidad de SCAP (SCC)

Una herramienta desarrollada por DISA que puede ejecutar una evaluación utilizando DISA STIG Benchmark o un perfil ascendente OpenSCAP. Normalmente, DISA STIG Benchmark se utiliza para el análisis de conformidad cuando se utiliza la herramienta SCC.

Importante

Para explorar una arquitectura de Arm (aarch64), debe utilizar SCC versión 5.5 o posterior.
OpenSCAP

Utilidad de código abierto proporcionada a través de canales de software de Oracle Linux que puede ejecutar una evaluación mediante DISA STIG Benchmark o un perfil ascendente OpenSCAP. Oracle Linux distribuye un paquete de la Guía de seguridad de SCAP (SSG) que contiene perfiles específicos de la versión del sistema. Por ejemplo, el archivo SCAP datastream ssg-ol7-ds.xml que se proporciona en el paquete SSG incluye el perfil DISA STIG para Oracle Linux 7. Una ventaja de utilizar la herramienta OpenSCAP es que SSG proporciona scripts para automatizar el proceso de corrección y llevar el sistema a un estado compatible.

Atención

La solución automática mediante secuencias de comandos puede provocar una configuración del sistema no deseada o hacer que un sistema no funcione. Pruebe los scripts de corrección en un entorno que no sea de producción.

Consulte Nuevo análisis de una instancia para su conformidad para ver información sobre la ejecución de las herramientas de conformidad y la generación de un informe de exploración.

Objetivos de conformidad

La imagen STIG de Oracle Linux contiene correcciones adicionales para las reglas que no se abordan en la referencia DISA STIG. Utilice el perfil SSG "STIG" alineado con DISA STIG para Oracle Linux para ampliar la automatización de las reglas sin direcciones y confirmar el cumplimiento del sistema con la DISA STIG completa.

Se proporcionan dos archivos de lista de comprobación de DISA STIG Viewer con la imagen, que se basan en los resultados de análisis de SCC y OpenSCAP. La lista de comprobación de DISA STIG Benchmark utiliza los resultados de la exploración SCC, mientras que la lista de comprobación del perfil SSG "STIG" utiliza los resultados de la exploración OpenSCAP. Estas listas de comprobación contienen comentarios de Oracle para las áreas de la imagen que no cumplen con las directrices. Consulte Uso de la lista de comprobación para ver más configuraciones.

Nota

Los mayores puntajes de cumplimiento para el DISA STIG Benchmark reflejan un alcance más limitado de reglas en comparación con el DISA STIG completo. Sin embargo, el perfil SSG "STIG" representa el DISA STIG completo, proporcionando una evaluación más completa del cumplimiento de una imagen STIG.

Oracle Linux 8

Las imágenes de STIG de Oracle Linux 8 siguen los estándares del sistema DISA y se refuerzan de acuerdo con Oracle Linux 8 DISA STIG. Para la última versión de Oracle Linux 8 STIG Image, el destino de conformidad es DISA STIG para Oracle Linux 8 Ver 2, Versión 4. El paquete scap-security-guide (como mínimo 0.1.76-1.0.3) proporcionado a través de los canales de software de Oracle Linux contiene el perfil SSG "STIG" alineado con DISA STIG para Oracle Linux 8 Ver 2, Versión 4.

Información de conformidad para las imágenes de STIG de Oracle Linux 8.10 de junio de 2025:

Destino: perfil de SSG alineado con el STIG de DISA para Oracle Linux 8 Ver 2, Rel 4

  • Puntuación de conformidad de lista de comprobación para x86_64: 79,94 %
  • Puntuación de conformidad de lista de comprobación para aarch64: 79,87 %

Destino: STIG DISA para Oracle Linux 8 Ver 2, Rel 4 Perfil de referencia

  • Puntuación de conformidad de lista de comprobación para x86_64: 84,26 %
  • Puntuación de conformidad de lista de comprobación para aarch64: 84,26 %

Oracle Linux 7 (soporte extendido)

Las imágenes de Oracle Linux 7 STIG siguen los estándares de seguridad de DISA y se refuerzan de acuerdo con Oracle Linux 7 DISA STIG. Para la última versión de Oracle Linux 7 STIG Image, el destino de conformidad ha pasado a DISA STIG Ver 3, Versión 1. El paquete scap-security-guide (como mínimo 0.1.73-1.0.3) proporcionado a través de los canales de software de Oracle Linux contiene el perfil SSG "STIG" alineado con DISA STIG para Oracle Linux 7 versión 3, versión 1.

Información de conformidad para las imágenes STIG de Oracle Linux 7.9 de febrero de 2025:

Destino: perfil de SSG alineado con el STIG de DISA para Oracle Linux 7 Ver 3, Rel 1

  • Puntuación de conformidad de lista de comprobación x86_64: 81,65 %
  • Puntuación de conformidad de lista de comprobación aarch64: 81,65 %

Destino: DISA STIG para Oracle Linux 7 Ver 3, Versión 1, perfil de referencia

  • Puntuación de conformidad de lista de comprobación x86_64: 91,71 %
  • Puntuación de conformidad de lista de comprobación aarch64: 91,71 %
Nota

El estándar STIG de DISA no tuvo cambios significativos, aparte de la redacción, entre Oracle Linux 7 Ver 3, Versión 1 y Oracle Linux 7 Ver 2, Versión 14. Debido a esto, cualquier sistema compatible con Oracle Linux 7 Ver 2, Versión 14 también es compatible con Oracle Linux 7 Ver 3, Versión 1.