Outil STIG (Security Technical Implementation Guide) pour le système de base de données
Cet article décrit l'outil STIG, un script Python, pour les systèmes de base de données provisionnés à l'aide d'Oracle Linux 7.
Un Guide de mise en œuvre technique de la sécurité (STIG) est un document écrit par la Defense Information Systems Agency (DISA) qui fournit des conseils sur la configuration d'un système pour répondre aux normes de cybersécurité pour le déploiement dans les systèmes de réseau informatique du ministère de la Défense (DoD). Les exigences STIG aident à protéger le réseau contre les menaces de cybersécurité en se concentrant sur l'infrastructure et la sécurité du réseau pour atténuer les vulnérabilités.
L'outil STIG, un script Python, est utilisé pour assurer la conformité en matière de sécurité avec le STIG Oracle Linux 7 de la DISA. Cet outil :
- rend l'image de base du système de base de données conforme au STIG d'Oracle Linux 7,
- intègre au système certaines règles STIG qui peuvent être activées après le provisionnement, si elles sont nécessaires pour répondre aux exigences de conformité en matière de sécurité,
-
catégorise les règles intégrées, vous permettant de voir et de surveiller celles-ci dans les catégories suivantes :
- Règles statiques qui sont incluses dans l'image de base,
- DoD règles qui sont activées au besoin après provisionnement pour répondre aux exigences des États-Unis les normes de conformité du ministère de la Défense, et
- Les règles d'exécution qui sont activées après le provisionnement, si nécessaire, et sont destinées à être utilisées par tous les utilisateurs qui doivent renforcer la sécurité des systèmes de base de données (y compris les utilisateurs hors des États-Unis. Département de la défense),
- offre une fonction de repositionnement qui permet de repositionner un système de base de données à un état dans lequel aucune modification de la configuration n'a été effectuée par le script, et
- fournit une fonction de vérification de la conformité, vous permettant de voir le nombre de règles respectées par le système de base de données.
Acquisition de l'outil STIG
L'outil STIG est fourni avec tous les nouveaux systèmes de base de données provisionnés. L'outil STIG se trouve dans le répertoire du système d'exploitation suivant sur les noeuds du système de base de données : /opt/oracle/dcs/bin/dbcsstig
Des mises à jour de l'outil STIG seront disponibles pour téléchargement depuis Oracle Technology Network (OTN). Des versions à jour de l'outil STIG sont également fournies lorsque vous mettez à jour l'agent de système de base de données.
Utiliser l'outil STIG
dbcsstig --<operation><category>
dbcsstig --fix dod
Informations de référence sur les commandes
Opérations
Tableau - : Opérations
Paramètre d'opération | Définition |
---|---|
--check, -c |
Vérifie la conformité aux règles d'une catégorie donnée. |
--fix, -f |
Applique les correctifs pour les règles incluses dans la catégorie spécifiée. |
--rollback, -rb |
Repositionne la configuration du système en annulant les modifications apportées par l'outil STIG. |
--version, -v |
Fournit des informations sur la version du script de l'outil STIG. |
--help, -h |
Fournit une aide sur la ligne de commande. |
Catégories de règle
Tableau - : Catégories de règle
Paramètre de catégorie | Définition |
---|---|
static |
Pour spécifier les règles incluses dans l'image de base du système de base de données. |
dod |
Spécifier les règles requises pour la conformité au STIG Oracle Linux 7 de la DISA. |
runtime |
Spécifier les règles activées après le provisionnement pour renforcer la sécurité générale. |
all |
Pour spécifier toutes les règles. |