Sécurité du centre de gestion du système d'exploitation
Le centre de gestion du système d'exploitation gère, surveille et contrôle le contenu logiciel du système d'exploitation des instances, en s'assurant qu'elles sont à jour avec les derniers correctifs de sécurité. Suivez ces meilleures pratiques de sécurité pour sécuriser le centre de gestion du système d'exploitation.
Responsabilités en matière de sécurité
Pour utiliser le centre de gestion du système d'exploitation en sécurité, découvrez vos responsabilités en matière de sécurité et de conformité.
De manière générale, Oracle assure la sécurité de l'infrastructure et des opérations en nuage, notamment le contrôle de l'accès des opérateurs au nuage et l'application de correctifs de sécurité à l'infrastructure. Vous êtes responsable de la configuration sécurisée de vos ressources en nuage. La sécurité dans le nuage est une responsabilité partagée entre vous et Oracle.
Oracle est responsable des exigences de sécurité suivantes :
- Sécurité physique : : Oracle est responsable de la protection de l'infrastructure globale qui exécute tous les services offerts dans Oracle Cloud Infrastructure. Cette infrastructure se compose du matériel, des logiciels, du réseau et des installations utilisés pour exécuter les services Oracle Cloud Infrastructure.
Vos responsabilités en matière de sécurité sont décrites dans cette page, qui comprend les domaines suivants :
- Contrôle d'accès : : Limiter au maximum les privilèges. Les utilisateurs ne doivent disposer que de l'accès nécessaire pour effectuer leur travail.
- Application de correctifs : Gardez le logiciel à jour pour prévenir les vulnérabilités.
Tâches de sécurité initiales
Utilisez cette liste de vérification pour identifier les tâches que vous effectuez pour sécuriser le centre de gestion du système d'exploitation dans une nouvelle location Oracle Cloud Infrastructure.
| Tâche | Informations supplémentaires |
|---|---|
| Utiliser des politiques IAM pour accorder l'accès aux utilisateurs et aux ressources | Politiques du centre de gestion du système d'exploitation |
| Configurer des groupes pour contrôler l'accès au service | Groupe d'utilisateurs |
| Ajouter uniquement les sources de logiciels dont vous avez besoin au service | Sélection des sources de logiciels |
| Utiliser des profils pour contrôler les sources de logiciels attachées à une instance | Sélection des sources de logiciels |
| Configurer des synchronisations miroir régulières pour les stations de gestion | Synchronisation de miroir |
Tâches de sécurité régulières
Après avoir commencé à utiliser le centre de gestion du système d'exploitation, utilisez cette liste de vérification pour identifier les tâches de sécurité que nous vous recommandons d'effectuer régulièrement.
| Tâche | Informations supplémentaires |
|---|---|
| Appliquer les derniers correctifs de sécurité | Logiciel de correction |
| Utiliser Ksplice pour appliquer des mises à jour de sécurité | Logiciel de correction |
| Surveiller le statut de la synchronisation en miroir et créer des tâches de synchronisation | Synchronisation de miroir |
| Supprimer les ensembles inutiles sur les instances | Suppression des packages inutiles |
| Vérifier les rapports pour vérifier la conformité en matière de sécurité | Consultation des rapports |
Politiques IAM
Utilisez des politiques pour limiter l'accès au centre de gestion du système d'exploitation.
Voir Politiques du centre de gestion du système d'exploitation.
Sélection des sources de logiciels
Ajoutez uniquement le nombre minimal de sources de logiciels de fournisseur dont vous avez besoin au service. Lors de la création de sources de logiciels personnalisées, utilisez des filtres ou spécifiez une liste d'ensembles pour réduire davantage le contenu disponible pour les instances. N'incluez que les packages nécessaires pour prendre en charge votre charge globale.
Lors de la création d'un profil de source de logiciels, n'incluez que les sources de logiciels requises. Cela réduit le nombre de packages disponibles pour l'instance, réduisant ainsi l'encombrement de l'installation du package. De même, lorsque vous créez un groupe ou un environnement de cycle de vie n'attachez que le jeu minimal de sources de logiciels nécessaire.
Lors de l'ajout de sources tierces ou privées, utilisez le protocole https pour les URL de référentiel et les clés GPG pour valider le contenu lors de l'installation. Voir URL de référentiel et clé GPG.
Synchronisation de miroirs
Synchronisez régulièrement les sources de logiciels en miroir pour vous assurer que la station de gestion distribue les derniers ensembles de logiciels aux instances.
Par défaut, une tâche de synchronisation miroir est exécutée une fois par semaine. Ajustez cette fréquence en fonction de vos exigences en matière de sécurité. Vous pouvez modifier le programme de synchronisation miroir selon vos besoins. De plus, surveillez le statut des synchronisations miroir de la station de gestion et exécutez une tâche de synchronisation miroir sur demande à tout moment.
Logiciel d'application de correctifs
Assurez-vous que vos instances gérées exécutent les dernières mises à jour de sécurité.
Gardez le logiciel d'instance à jour avec les correctifs de sécurité. Nous vous recommandons d'appliquer périodiquement les dernières mises à jour logicielles disponibles aux instances enregistrées dans le centre de gestion des systèmes d'exploitation. Envisagez d'utiliser plusieurs tâches de mise à jour pour tenir les instances à jour.
- Création de tâches de mise à jour
-
Pour vous assurer que les instances reçoivent des mises à jour régulières, vous pouvez créer un travail pour programmer des mises à jour récurrentes, voir :
- Exécution des mises à jour de Ksplice
-
Utilisez Oracle Ksplice pour appliquer des correctifs de sécurité critiques aux noyaux sur des instances Oracle Linux sans qu'un redémarrage soit nécessaire. Ksplice met également à jour les bibliothèques d'espace utilisateur glibc et OpenSSL, en appliquant des correctifs de sécurité critiques sans perturber les charges de travail. Créer une tâche de mise à jour récurrente qui applique les mises à jour Ksplice.
Suppression des ensembles inutiles
Supprimez les packages inutiles des instances afin de réduire l'empreinte d'installation et d'éviter les problèmes de sécurité potentiels.
La suppression d'une source de logiciels ne supprime pas les ensembles installés à partir de la source de logiciels. Par exemple, supposons que vous passiez de UEK R6 à UEK R7. Vous ajoutez la source de logiciels pour UEK R7, puis vous supprimez la source de logiciels pour UEK R6. Tous les ensembles UEK R6 installés restent sur le système. Cependant, ces ensembles ne sont plus mis à jour car la source de logiciels a été supprimée et pourraient donc apparaître dans des analyses de sécurité.
Pour plus d'informations sur la suppression de packages, voir :
Révision des rapports
Le centre de gestion du système d'exploitation génère des rapports pour les mises à jour de sécurité, les mises à jour de bogues et l'activité des instances. Vérifiez ces rapports pour identifier les instances obsolètes. Voir Consultation des rapports.