Documentation sur Oracle Cloud Infrastructure

Image Oracle Linux STIG

L'image Oracle Linux STIG est une mise en oeuvre d'Oracle Linux qui suit les recommandations du guide technique de mise en oeuvre de la sécurité (STIG).

L'image Oracle Linux STIG est lancée à partir d'Oracle Cloud Marketplace. Dans le marché des applications, recherchez les fiches descriptives Oracle Linux STIG et sélectionnez l'image Oracle Linux STIG avec le profil qui répond aux exigences d'affaires.

Avec l'image STIG, une instance Oracle Linux dans Oracle Cloud Infrastructure est configurée pour suivre les normes et les exigences de sécurité définies par l'Agence des systèmes d'information de la défense des renseignements (DISA).

Note

Oracle met à jour régulièrement l'image Oracle Linux STIG avec les derniers errata de sécurité. Ce document est mis à jour lorsque la norme STIG est modifiée, ou lorsque des modifications du guide de sécurité nécessitent une configuration manuelle de l'image. Voir Historique des révisions des images STIG Oracle Linux pour connaître les modifications spécifiques apportées à chaque version.
Important

Toute modification apportée à une instance d'image Oracle Linux STIG (telle que l'installation d'autres applications ou la modification des paramètres de configuration) peut avoir une incidence sur la note de conformité. Après avoir apporté des modifications, balayez de nouveau l'instance pour confirmer la conformité.

À propos des STIG

Un guide de mise en oeuvre de la sécurité (STIG) est un document écrit par l'agence des systèmes d'information du Département de la défense des États-Unis (DISA). Il fournit des conseils pour configurer un système en vue de respecter les exigences de cybersécurité pour le déploiement dans les systèmes de réseau du Département de la défense (DoD) des États-Unis. Les exigences STIG protègent le réseau contre les menaces de cybersécurité en se concentrant sur l'infrastructure et la sécurité du réseau pour atténuer les vulnérabilités potentielles. Le respect des STIG est une exigence pour les agences DoD ou toute organisation faisant partie des réseaux d'information DoD (DoDIN).

L'image Oracle Linux STIG automatise la conformité en fournissant une version renforcée de l'image Oracle Linux standard qui respecte les directives STIG. Toutefois, l'image sélectionnée peut encore nécessiter une mesure corrective manuelle supplémentaire pour répondre à toutes les exigences STIG.

Téléchargement du dernier STIG

La DISA fournit des mises à jour trimestrielles aux documents STIG. Le contenu fourni par Oracle suit les derniers documents STIG disponibles au moment de la publication. Nous vous recommandons de télécharger et de suivre les derniers fichiers zip STIG lors de l'évaluation de la conformité des systèmes déployés.

Pour télécharger les derniers documents STIG, consultez https://public.cyber.mil/stigs/downloads/. Recherchez Oracle Linux, puis téléchargez le fichier zip approprié.

Vous pouvez éventuellement utiliser le visiteur STIG DISA disponible à l'adresse https://public.cyber.mil/stigs/srg-stig-tools/. Ensuite, importez le fichier xccdf.xml du STIG pour voir les règles de celui-ci.

Évaluation de la conformité STIG

L'évaluation de la conformité commence souvent par une analyse à l'aide d'un outil de vérification de la conformité SCAP (Security Content Automation Protocol) qui utilise un STIG (chargé au format SCAP) pour analyser la sécurité d'un système. D'autres vérifications manuelles sont nécessaires pour assurer une conformité totale, car les outils SCAP ne testent pas toujours toutes les règles d'un STIG et certains STIG n'ont peut-être pas été publiés au format SCAP.

Les outils suivants sont disponibles pour automatiser l'évaluation de la conformité :

Vérificateur de conformité SCAP (SCC)

Un outil développé par la DISA qui peut exécuter une évaluation à l'aide de la norme STIG de la DISA ou d'un profil OpenSCAP en amont. Généralement, la norme STIG de la DISA est utilisée pour l'évaluation de la conformité lors de l'utilisation de l'outil SCC.

Important

Pour balayer l'architecture Arm (aarch64), vous devez utiliser SCC version 5.5 ou ultérieure.
OpenSCAP

Un utilitaire à code source libre fourni au moyen des canaux logiciels Oracle Linux qui peut exécuter une évaluation à l'aide de la norme STIG DISA ou d'un profil en amont OpenSCAP. Oracle Linux distribue un ensemble SCAP Security Guide (SSG) qui contient des profils propres à la version du système. Par exemple, le fichier de flux de données SCAP ssg-ol7-ds.xml fourni par l'ensemble SSG inclut le profil STIG de la DISA pour Oracle Linux 7. Un avantage de l'utilisation de l'outil OpenSCAP est que SSG fournit des scripts pour automatiser les mesures correctives et rendre le système conforme.

Attention

La correction automatique à l'aide de scripts peut entraîner une configuration système non souhaitée ou rendre un système non fonctionnel. Testez les scripts de correction dans un environnement hors production.

Pour plus d'informations sur l'exécution des outils de conformité et la génération d'un rapport de balayage, voir Rebalayage d'une instance pour vérifier sa conformité.

Cibles de conformité

L'image Oracle Linux STIG contient des mesures correctives supplémentaires pour les règles non traitées par la norme STIG de la DISA. Utilisez le profil SSG "STIG" aligné avec DISA STIG pour Oracle Linux pour étendre l'automatisation sur les règles non traitées et confirmer la conformité du système à l'ensemble DISA STIG.

Deux fichiers de liste de vérification DISA STIG Viewer sont fournis avec l'image, qui sont basés sur les résultats de balayage de SCC et OpenSCAP. La liste de vérification de la norme STIG de la DISA utilise les résultats du balayage SCC, tandis que la liste de vérification du profil SSG "STIG" utilise les résultats du balayage OpenSCAP. Ces listes de vérification contiennent des commentaires d'Oracle sur les zones de l'image qui ne répondent pas aux directives. Voir Utilisation de la liste de vérification pour voir d'autres configurations.

Note

Les scores de conformité plus élevés pour la norme STIG de la DISA reflètent une portée plus limitée des règles par rapport à la norme STIG complète de la DISA. Cependant, le profil SSG "STIG" représente le STIG DISA complet, fournissant une évaluation plus complète de la conformité STIG d'une image.

Oracle Linux 8

Les images STIG Oracle Linux 8 respectent les normes de sécurité de la DISA et sont renforcées selon le STIG de la DISA pour Oracle Linux 8. Pour la dernière version de l'image STIG Oracle Linux 8, la cible de conformité est le STIG DISA pour Oracle Linux 8, version 2, version 4. L'ensemble scap-security-guide (minimum 0.1.76-1.0.3) fourni au moyen des canaux logiciels Oracle Linux contient le profil SSG "STIG" aligné avec DISA STIG pour Oracle Linux 8 Ver 2, version 4.

Informations de conformité pour les images STIG d'Oracle Linux 8.10 juin 2025 :

Cible : Profil "STIG" SSG aligné avec le STIG DISA pour Oracle Linux 8 Ver 2, Rel 4

  • Note de conformité de la liste de vérification pour x86_64 : 79,94 %
  • Note de conformité de la liste de vérification pour aarch64 : 79,87 %

Cible : STIG DISA pour Oracle Linux 8 Ver 2, Rel 4 Profil de référence

  • Note de conformité de la liste de vérification pour x86_64 : 84,26 %
  • Note de conformité de la liste de vérification pour aarch64 : 84,26 %

Oracle Linux 7 (soutien étendu)

Les images STIG Oracle Linux 7 respectent les normes de sécurité de la DISA et sont renforcées selon le STIG de la DISA pour Oracle Linux 7. Pour la dernière version de l'image STIG Oracle Linux 7, la cible de conformité est le STIG V3, version 1 de la DISA. L'ensemble scap-security-guide (minimum 0.1.73-1.0.3) fourni au moyen des canaux logiciels Oracle Linux contient le profil SSG "STIG" aligné avec DISA STIG pour Oracle Linux 7 version 3, version 1.

Informations de conformité pour les images STIG d'Oracle Linux 7.9 février 2025 :

Cible : Profil "STIG" SSG aligné avec le STIG DISA pour Oracle Linux 7, version 3, version 1

  • Note de conformité de la liste de vérification x86_64 : 81,65 %
  • Note de conformité de la liste de vérification aarch64 : 81,65 %

Cible : STIG de la DISA pour le profil de référence Oracle Linux 7, version 3, version 1

  • Note de conformité de la liste de vérification x86_64 : 91,71 %
  • Note de conformité de la liste de vérification aarch64 : 91,71 %
Note

Le standard STIG de la DISA n'a apporté aucune modification significative, autre que la formulation, entre Oracle Linux 7 Ver 3, Rel 1 et Oracle Linux 7 Ver 2, Rel 14. Pour cette raison, tout système conforme à Oracle Linux 7 version 2, version 14, est également conforme à Oracle Linux 7 version 3, version 1.