Image Oracle Linux STIG
L'image Oracle Linux STIG est une mise en oeuvre d'Oracle Linux qui suit les recommandations du guide technique de mise en oeuvre de la sécurité (STIG).
L'image Oracle Linux STIG est lancée à partir d'Oracle Cloud Marketplace. Dans le marché des applications, recherchez les fiches descriptives Oracle Linux STIG et sélectionnez l'image Oracle Linux STIG avec le profil qui vous intéresse.
Avec l'image STIG, vous pouvez configurer une instance Oracle Linux dans Oracle Cloud Infrastructure, qui respecte certaines normes et exigences de sécurité définies par l'agence des systèmes d'information du Département de la défense des États-Unis (DISA).
- Qu'est-ce qu'un STIG?
- Comment la conformité STIG est-elle évaluée?
- Cibles de conformité
- Application de mesures correctives
- Rebalayer une instance pour vérifier sa conformité
- Historique des versions des images Oracle Linux STIG
Oracle met à jour régulièrement l'image Oracle Linux STIG avec les derniers errata de sécurité. Ce document est mis à jour lorsque la norme STIG est modifiée, ou lorsque des modifications du guide de sécurité nécessitent une configuration manuelle de l'image. Voir Historique des révisions des images STIG Oracle Linux pour connaître les modifications spécifiques apportées à chaque version.
Toute modification apportée à une instance d'image Oracle Linux STIG (par exemple, l'installation d'autres applications ou la modification des paramètres de configuration) peut avoir une incidence sur le score de conformité. Après avoir apporté des modifications, balayez de nouveau l'instance pour vérifier sa conformité
Qu'est-ce qu'un STIG?
Un guide de mise en oeuvre de la sécurité (STIG) est un document écrit par l'agence des systèmes d'information du Département de la défense des États-Unis (DISA). Il fournit des conseils pour configurer un système en vue de respecter les exigences de cybersécurité pour le déploiement dans les systèmes de réseau du Département de la défense (DoD) des États-Unis. Les exigences STIG aident à protéger le réseau contre les menaces de cybersécurité en se concentrant sur l'infrastructure et la sécurité du réseau pour atténuer les vulnérabilités. Le respect des STIG est une exigence pour les agences DoD ou toute organisation faisant partie des réseaux d'information DoD (DoDIN).
L'image Oracle Linux STIG contribue à automatiser la conformité en fournissant une version renforcée de l'image Oracle Linux standard. L'image est renforcée pour respecter les directives des STIG. Toutefois, l'image ne peut pas répondre à toutes les exigences STIG et peut nécessiter des mesures correctives manuelles supplémentaires.
Téléchargement du dernier STIG
La DISA fournit des mises à jour trimestrielles des STIG. Cette documentation a été créée à l'aide du dernier STIG disponible au moment de la publication. Cependant, utilisez toujours le dernier STIG lors de l'évaluation de votre système.
Téléchargez la dernière version à l'adresse https://public.cyber.mil/stigs/downloads/. Recherchez Oracle Linux, puis téléchargez le fichier zip approprié.
Vous pouvez éventuellement utiliser le visualiseur STIG DISA disponible à l'adresse https://public.cyber.mil/stigs/srg-stig-tools/. Ensuite, importez le fichier xccdf.xml du STIG pour voir les règles de celui-ci.
Comment la conformité STIG est-elle évaluée?
L'évaluation de la conformité commence souvent par un balayage à l'aide d'un outil de contrôle de conformité SCAP (Security Content Automation Protocol). Cet outil utilise un STIG (chargé au format SCAP) pour analyser la sécurité d'un système. Cependant, il ne teste pas toujours toutes les règles d'un STIG et certains STIG peuvent ne pas avoir de version SCAP. Dans ce cas, un vérificateur doit contrôler manuellement la conformité du système en suivant les règles du STIG non couvertes par l'outil.
Les outils suivants sont disponibles pour automatiser l'évaluation de la conformité :
-
Contrôleur de conformité SCAP (SCC) : Outil développé par la DISA qui peut exécuter une évaluation à l'aide de la norme STIG de la DISA ou d'un profil en amont OpenSCAP. Généralement, la norme STIG de la DISA est utilisée pour l'évaluation de la conformité lors de l'utilisation de l'outil SCC.
Important
Pour balayer l'architecture Arm (aarch64), vous devez utiliser SCC version 5.5 ou ultérieure. -
OpenSCAP : Utilitaire à source ouverte disponible au moyen de yum qui peut exécuter une évaluation à l'aide de la norme STIG de la DISA ou d'un profil en amont OpenSCAP. Oracle Linux distribue un ensemble SCAP Security Guide (SSG) qui contient des profils propres à la version du système. Par exemple, le fichier de flux de données SCAP
ssg-ol7-ds.xmlfourni par l'ensemble SSG inclut le profil STIG de la DISA pour Oracle Linux 7. Un avantage de l'utilisation de l'outil OpenSCAP est que SSG fournit des scripts Bash ou Ansible pour automatiser les mesures correctives et rendre le système conforme.Attention
La correction automatique à l'aide de scripts peut entraîner une configuration système non souhaitée ou rendre un système non fonctionnel. Testez les scripts de correction dans un environnement hors production.
Pour plus d'informations sur l'exécution des outils de conformité et la génération d'un rapport de balayage, voir Rebalayage d'une instance pour vérifier sa conformité.
Cibles de conformité
L'image Oracle Linux STIG contient des mesures correctives supplémentaires pour les règles non traitées par la norme STIG de la DISA. Utilisez le profil "STIG" SSG aligné avec DISA STIG pour Oracle Linux pour étendre l'automatisation sur les règles précédemment non traitées et déterminer la conformité à l'ensemble du STIG DISA.
Deux fichiers de liste de vérification DISA STIG Viewer sont fournis avec l'image, qui sont basés sur les résultats de balayage de SCC et OpenSCAP. La liste de vérification de la norme STIG de la DISA utilise les résultats du balayage SCC, tandis que la liste de vérification du profil SSG "STIG" utilise les résultats du balayage OpenSCAP. Ces listes de vérification contiennent des commentaires d'Oracle sur les zones de l'image qui ne répondent pas aux directives. Voir Utilisation de la liste de vérification pour voir des configurations supplémentaires.
Les scores de conformité plus élevés pour la norme STIG DISA reflètent une portée plus limitée des règles par rapport à la norme STIG DISA complète. Cependant, le profil SSG "STIG" représente le STIG DISA complet, fournissant une évaluation plus complète de la conformité de l'image.
Oracle Linux 8
Les images STIG Oracle Linux 8 respectent les normes de sécurité de la DISA et sont renforcées selon le STIG de la DISA pour Oracle Linux 8. Pour la dernière version de l'image STIG Oracle Linux 8, la cible de conformité est le STIG DISA pour Oracle Linux 8, version 2, version 4. L'ensemble scap-security-guide (minimum 0.1.76-1.0.3) disponible au moyen de yum contient le profil "STIG" SSG aligné avec le STIG de la DISA pour Oracle Linux 8, version 2, version 4.
- Informations de conformité pour les images STIG d'Oracle Linux 8.10 juin 2025 :
-
Cible : Profil "STIG" SSG aligné avec le STIG DISA pour Oracle Linux 8 Ver 2, Rel 4
- Note de conformité de la liste de vérification pour x86_64 : 79,94 %
- Note de conformité de la liste de vérification pour aarch64 : 79,87 %
Cible : STIG DISA pour Oracle Linux 8 Ver 2, Rel 4 Profil de référence
- Note de conformité de la liste de vérification pour x86_64 : 84,26 %
- Note de conformité de la liste de vérification pour aarch64 : 84,26 %
Oracle Linux 7 (soutien étendu)
Les images STIG Oracle Linux 7 respectent les normes de sécurité de la DISA et sont renforcées selon le STIG de la DISA pour Oracle Linux 7. Pour la dernière version de l'image STIG Oracle Linux 7, la cible de conformité est le STIG V3, version 1 de la DISA. L'ensemble scap-security-guide (minimum 0.1.73-1.0.3) disponible au moyen de yum contient le profil SSG "STIG" aligné avec DISA STIG pour Oracle Linux 7 version 3, version 1.
- Informations de conformité pour les images STIG d'Oracle Linux 7.9 février 2025 :
-
Cible : Profil "STIG" SSG aligné avec le STIG DISA pour Oracle Linux 7, version 3, version 1
- Note de conformité de la liste de vérification x86_64 : 81,65 %
- Note de conformité de la liste de vérification aarch64 : 81,65 %
Cible : STIG de la DISA pour le profil de référence Oracle Linux 7, version 3, version 1
- Note de conformité de la liste de vérification x86_64 : 91,71 %
- Note de conformité de la liste de vérification aarch64 : 91,71 %
Note
Le standard STIG de la DISA n'a apporté aucune modification significative, autre que la formulation, entre Oracle Linux 7 Ver 3, Rel 1 et Oracle Linux 7 Ver 2, Rel 14. Pour cette raison, tout système conforme à Oracle Linux 7 version 2, version 14, est également conforme à Oracle Linux 7 version 3, version 1.
Création d'une instance et connexion
Informations supplémentaires
Utilisez les ressources ci-dessous pour obtenir des informations supplémentaires sur l'image Oracle Linux STIG.
-
Ressources Web du Département de la défense des États-Unis à l'adresse https://public.cyber.mil/.
-
Pour les catalogues STIG et SCAP de l'agence DISA, consultez les ressources suivantes :
-
Catalogue STIG à l'adresse suivante : https://public.cyber.mil/stigs/.
-
Catalogue SCAP à l'adresse suivante : https://public.cyber.mil/stigs/scap/.
-