Protección de OS Management Hub
El hub de gestión del sistema operativo gestiona, supervisa y controla el contenido de software del sistema operativo de las instancias, lo que garantiza que estén actualizados con los parches de seguridad más recientes. Siga estas mejores prácticas de seguridad para proteger OS Management Hub.
Responsabilidades de seguridad
Para utilizar OS Management Hub de forma segura, conozca sus responsabilidades en materia de seguridad y conformidad.
En general, Oracle proporciona seguridad en la infraestructura y las operaciones en la nube, como controles de acceso de operadores en la nube y aplicación de parches de seguridad de la infraestructura. Usted es responsable de configurar de forma segura sus recursos en la nube. La seguridad en la nube es una responsabilidad compartida entre usted y Oracle.
Oracle es responsable de los siguientes requisitos de seguridad:
- Seguridad física: Oracle es responsable de proteger la infraestructura global que ejecuta todos los servicios que se ofrecen en Oracle Cloud Infrastructure. Esta infraestructura consta del hardware, el software, la red y las instalaciones que ejecutan los servicios de Oracle Cloud Infrastructure.
Las responsabilidades de seguridad se describen en esta página, que incluye las siguientes áreas:
- Control de acceso: limite los privilegios lo máximo posible. A los usuarios solo se les debe otorgar el acceso necesario para realizar su trabajo.
- Parche: mantenga el software actualizado con los últimos parches de seguridad para evitar vulnerabilidades.
Tareas de seguridad iniciales
Utilice esta lista de control para identificar las tareas que debe realizar para proteger OS Management Hub en un nuevo arrendamiento de Oracle Cloud Infrastructure.
| Tarea | Más información |
|---|---|
| Utilice políticas de IAM para otorgar acceso a usuarios y recursos | Políticas de OS Management Hub |
| Configurar grupos para controlar el acceso al servicio | Grupo de Usuarios |
| Agregue solo los orígenes de software que necesita al servicio | Selección de orígenes de software |
| Utilizar perfiles para controlar los orígenes de software asociados a una instancia | Selección de orígenes de software |
| Configurar sincronizaciones de duplicación normales para las estaciones de gestión | Sincronización de reflejos |
Tareas de seguridad rutinarias
Después de empezar a utilizar OS Management Hub, utilice esta lista de control para identificar las tareas de seguridad que le recomendamos que realice con regularidad.
| Tarea | Más información |
|---|---|
| Aplique los últimos parches de seguridad | Aplicar parches al software |
| Utilizar Ksplice para aplicar actualizaciones de seguridad | Aplicar parches al software |
| Supervisar el estado de sincronización de duplicación y crear trabajos de sincronización | Sincronización de reflejos |
| Eliminar paquetes innecesarios en instancias | Eliminación de paquetes innecesarios |
| Revise los informes para verificar la conformidad de la seguridad | Revisión de informes |
Políticas de IAM
Utilice políticas para limitar el acceso a OS Management Hub.
Consulte Políticas del hub de gestión del sistema operativo.
Selección de orígenes de software
Agregue al servicio solo el número mínimo de orígenes de software de proveedor que necesita. Al crear orígenes de software personalizados, utilice filtros o especifique una lista de paquetes para reducir aún más el contenido disponible para las instancias. Incluya solo los paquetes necesarios para soportar la carga de trabajo.
Al crear un perfil de origen de software, incluya únicamente los orígenes de software necesarios. Esto minimiza la cantidad de paquetes disponibles para la instancia, lo que reduce la huella de instalación del paquete. Del mismo modo, al crear un grupo o un entorno de ciclo de vida solo se asocia el conjunto mínimo de orígenes de software necesarios.
Al agregar orígenes privados o de terceros, utilice el protocolo https para las URL del repositorio y las claves GPG para validar el contenido durante la instalación. Consulte Repository URL and GPG Key.
Sincronización de reflejos
Sincronice periódicamente orígenes de software reflejados para garantizar que la estación de gestión distribuya los paquetes de software más recientes a las instancias.
Por defecto, un trabajo de sincronización de duplicación se ejecuta una vez a la semana. Ajuste esta frecuencia en función de sus requisitos de seguridad. Puede editar el programa de sincronización de duplicación según sea necesario. Además, supervise el estado de las sincronizaciones de reflejo de la estación de gestión y ejecute un trabajo de sincronización de reflejo bajo demanda en cualquier momento.
Aplicar parches al software
Asegúrese de que las instancias gestionadas ejecutan las últimas actualizaciones de seguridad.
Mantener el software de la instancia actualizado con los parches de seguridad. Le recomendamos que aplique periódicamente las últimas actualizaciones de software disponibles a las instancias registradas con OS Management Hub. Considere el uso de varios trabajos de actualización para mantener las instancias actualizadas.
- Creación de trabajos de actualización
-
Para asegurarse de que las instancias reciban actualizaciones periódicas, puede crear un trabajo para programar actualizaciones recurrentes. Consulte:
- Ejecución de actualizaciones de Ksplice
-
Utilice Oracle Ksplice para aplicar parches de seguridad críticos a los núcleos en instancias de Oracle Linux sin necesidad de reiniciar. Ksplice también actualiza las bibliotecas de espacio de usuario glibc y OpenSSL aplicando parches de seguridad esenciales sin interrumpir las cargas de trabajo. Cree un trabajo de actualización recurrente que aplique actualizaciones de Ksplice.
Eliminación de paquetes innecesarios
Elimine los paquetes innecesarios de las instancias para reducir la huella de instalación y evitar posibles problemas de seguridad.
La eliminación de un origen de software no elimina los paquetes instalados desde el origen de software. Por ejemplo, suponga que va a pasar de UEK R6 a UEK R7. Agregue el origen de software para UEK R7 y, a continuación, suprima el origen de software para UEK R6. Los paquetes UEK R6 instalados permanecen en el sistema. Sin embargo, esos paquetes ya no se actualizan porque el origen de software se ha eliminado y, por lo tanto, podría aparecer en exploraciones de seguridad.
Para obtener más información sobre cómo eliminar paquetes, consulte:
Revisión de informes
OS Management Hub genera informes para actualizaciones de seguridad, actualizaciones de bugs y actividad de instancias. Revise estos informes para identificar las instancias que están desactualizadas. Consulte Visualización de informes.