Herramienta de guía de implementación técnica de seguridad (STIG) para el sistema de base de datos

En este artículo, se describe la herramienta STIG, un script de Python, para sistemas de base de datos aprovisionados con Oracle Linux 7.

Una Guía de Implementación Técnica de Seguridad (STIG) es un documento escrito por la Agencia de Sistemas de Información de Defensa (DISA) que proporciona orientación sobre la configuración de un sistema para cumplir con los estándares de ciberseguridad para el despliegue dentro de los sistemas de red de TI del Departamento de Defensa (DoD). Los requisitos de STIG ayudan a proteger la red frente amenazas de ciberseguridad centrándose en la infraestructura y la seguridad de la red para mitigar las vulnerabilidades.

La herramienta STIG, una secuencia de comandos de Python, se utiliza para garantizar el cumplimiento de la seguridad con STIG de Oracle Linux 7 de DISA. Esta herramienta:

  • hace que la imagen base del sistema de base de datos sea compatible con STIG de Oracle Linux 7,
  • embebe determinadas reglas STIG en el sistema que se pueden activar después del aprovisionamiento cuando sea necesario para abordar los requisitos de conformidad de seguridad,
  • clasifica las reglas incrustadas, lo que permite ver y supervisar las reglas en las siguientes categorías:

    • reglas estáticas que se incluyen en la imagen base,
    • Reglas de DoD que se activan opcionalmente después del aprovisionamiento cuando es necesario para cumplir con los EE. UU. los estándares de conformidad del Departamento de Defensa, y
    • Reglas de tiempo de ejecución que se activan después del aprovisionamiento cuando es necesario y están diseñadas para que las utilicen todos los usuarios que necesitan reforzar la seguridad de los sistemas de base de datos (incluidos los usuarios fuera de EE. UU. Departamento de Defensa),
  • proporciona una capacidad de rollback, lo que le permite revertir un sistema de base de datos a un estado sin modificaciones de configuración realizadas por el script.
  • proporciona capacidad de comprobación de conformidad, lo que permite ver cuántas de las reglas se han transferido correctamente por el sistema de base de datos.

Obtener la herramienta STIG

La herramienta STIG se proporciona para todos los sistemas de base de datos recién aprovisionados. La herramienta STIG se proporciona en la siguiente ubicación de directorio del sistema operativo en los nodos del sistema de base de datos: /opt/oracle/dcs/bin/dbcsstig

Las versiones actualizadas de la herramienta STIG estarán disponibles para su descarga en Oracle Technology Network (OTN). Las versiones actualizadas de la herramienta STIG también se proporcionan cuando actualiza el agente del sistema de base de datos.

Uso de la herramienta STIG

Utilice la siguiente sintaxis para la herramienta STIG:
dbcsstig --<operation><category>
Por ejemplo:
dbcsstig --fix dod

Referencia de comandos

Operations

Tabla - Operaciones

Parámetro de operación Definición
--check, -c Busca la conformidad con las reglas incluidas en la categoría especificada.
--fix, -f Aplica correcciones para las reglas incluidas en la categoría especificada.
--rollback, -rb Realiza un rollback de los cambios de configuración del sistema implantados por la herramienta STIG.
--version, -v Proporciona información de versión para el script de la herramienta STIG.
--help, -h Proporciona información de ayuda de línea de comandos.

Categorías de regla

Tabla - Categorías de regla

Parámetro de categoría Definición
static Especificar las reglas incluidas en la imagen base del sistema de base de datos.
dod Para especificar las reglas necesarias para la conformidad con Oracle Linux 7 STIG de DISA.
runtime Especificar reglas activadas después del aprovisionamiento para fortalecer la seguridad general.
all Especificar todas las reglas.