Documentation Oracle Cloud Infrastructure

Image STIG Oracle Linux

L'image STIG Oracle Linux est une implémentation d'Oracle Linux qui respecte le STIG (Security Technical Implementation Guide).

L'image STIG Oracle Linux est lancée à partir d'Oracle Cloud Marketplace. Dans Marketplace, recherchez dans les listes STIG Oracle Linux et sélectionnez l'image STIG Oracle Linux avec le profil qui vous intéresse.

Avec l'image STIG, vous pouvez configurer dans Oracle Cloud Infrastructure une instance Oracle Linux qui respecte certaines normes et exigences de sécurité définies par la Defense Information Systems Agency (DISA).

Remarque

Oracle met régulièrement à jour l'image STIG Oracle Linux avec les derniers errata de sécurité. Ce document est mis à jour chaque fois que la référence STIG change ou lorsque les modifications apportées aux directives de sécurité nécessitent une configuration manuelle de l'image. Pour connaître les modifications spécifiques apportées à chaque version, reportez-vous à Historique des révisions des images STIG Oracle Linux.
Important

Toute modification apportée à une instance d'image STIG Oracle Linux (comme l'installation d'autres applications ou la modification des paramètres de configuration) peut avoir un impact sur le score d'une conformité. Après avoir apporté des modifications, analysez à nouveau l'instance pour vérifier sa conformité

Qu'est-ce qu'un STIG ?

Un STIG (Security Technical Implementation Guide) est un document écrit par l'agence DISA (Defense Information Systems Agency). Il fournit des conseils sur la configuration d'un système afin de répondre aux exigences en matière de cybersécurité pour le déploiement au sein des systèmes de réseaux informatiques du ministère de la Défense des Etats-Unis. Les exigences STIG aident à protéger le réseau contre les menaces de cybersécurité en se concentrant sur la sécurité des infrastructures et des réseaux pour réduire les vulnérabilités. La conformité aux STIG est une exigence pour les agences du DoD ou toute organisation qui fait partie des réseaux d'information du DoD (DoDIN).

L'image STIG Oracle Linux aide à automatiser la conformité grâce à une version renforcée de l'image Oracle Linux standard. L'image est renforcée pour suivre les directives STIG. Cependant, l'image ne peut pas répondre à toutes les exigences STIG et peut nécessiter des mesures correctives manuelles supplémentaires.

Téléchargement du dernier STIG

L'agence DISA fournit des mises à jour trimestrielles des STIG. Cette documentation a été créée à l'aide du dernier STIG disponible au moment de la publication. Cependant, utilisez toujours le dernier STIG lors de l'évaluation du système.

Téléchargez en local le dernier STIG sur la page https://public.cyber.mil/stigs/downloads/. Recherchez Oracle Linux, puis téléchargez en local le fichier ZIP approprié.

Utilisez éventuellement le visualiseur de STIG de la DISA sur la page https://public.cyber.mil/stigs/srg-stig-tools/. Importez ensuite le fichier xccdf.xml du STIG pour visualiser les règles STIG.

Comment la conformité STIG est-elle évaluée ?

L'évaluation de la conformité commence souvent par une analyse effectuée à l'aide d'un outil de vérification de conformité SCAP (Security Content Automation Protocol). L'outil utilise un STIG (téléchargé au format SCAP) pour analyser la sécurité d'un système. Cependant, l'outil ne teste pas toujours toutes les règles d'un STIG et certains STIG peuvent ne pas avoir de versions SCAP. Dans un tel cas, un auditeur doit vérifier manuellement la conformité du système à l'aide des règles STIG non traitées par l'outil.

Les outils suivants permettent d'automatiser l'évaluation de la conformité :

  • Contrôleur de conformité SCAPP (SCC) : outil développé par DISA qui peut exécuter une évaluation à l'aide de la référence STIG de la DISA ou d'un profil en amont OpenSCAP. En général, la référence STIG de la DISA est utilisée pour l'analyse de conformité lors de l'utilisation de l'outil SCC.

    Important

    Pour analyser une architecture Arm (aarch64), vous devez utiliser SCC version 5.5 ou ultérieure.

  • OpenSCAP : utilitaire open source disponible via yum qui peut exécuter une évaluation à l'aide de la référence STIG de la DISA ou d'un profil en amont OpenSCAP. Oracle Linux distribue un package SSG (SCAP Security Guide) contenant des profils propres aux versions de système. Par exemple, le fichier ssg-ol7-ds.xml du flux de données SCAP fourni par le package SSG inclut le profil STIG de la DISA pour Oracle Linux 7. L'un des avantages de l'outil OpenSCAP est que le SSG fournit des scripts Bash ou Ansible pour automatiser la résolution et rendre le système conforme.

    Attention

    La résolution automatique à l'aide de scripts peut entraîner une configuration système indésirable ou rendre un système non fonctionnel. Testez les scripts de résolution dans un environnement hors production.

Pour plus d'informations sur l'exécution et la génération d'un rapport d'analyse, reportez-vous à la section Réanalyse d'une instance pour la conformité.

Cibles de conformité

L'image STIG Oracle Linux contient des corrections supplémentaires pour les règles non traitées par le test d'évaluation STIG DISA. Utilisez le profil "STIG" SSG aligné sur DISA STIG pour Oracle Linux pour étendre l'automatisation sur les règles précédemment non traitées et déterminer la conformité à l'ensemble DISA STIG.

Deux fichiers de liste de contrôle DISA STIG Viewer sont fournis avec l'image, qui sont basés sur les résultats d'analyse de SCC et OpenSCAP. La liste de contrôle pour la référence STIG DISA utilise les résultats d'analyse SCC, tandis que la liste de contrôle pour le profil "STIG" SSG utilise les résultats d'analyse OpenSCAP. Ces listes de contrôle contiennent des commentaires d'Oracle sur les zones de l'image qui ne répondent pas aux recommandations. Reportez-vous à Utilisation de la liste de contrôle pour afficher des configurations supplémentaires.

Remarque

Les scores de conformité plus élevés pour le Benchmark STIG DISA reflètent une portée de règles plus limitée par rapport au STIG DISA complet. Cependant, le profil "STIG" de la SSG tient compte de l'intégralité du STIG DISA, fournissant une évaluation plus complète de la conformité de l'image.

Oracle Linux 8 :

Les images STIG Oracle Linux 8 respectent la norme de sécurité de la DISA et sont renforcées selon le STIG Oracle Linux 8 de la DISA. Pour la dernière version de l'image STIG Oracle Linux 8, la cible de conformité est le STIG DISA pour Oracle Linux 8 Ver 2, Rel 4. Le package scap-security-guide (version 0.1.76-1.0.3 minimum) disponible via yum contient le profil "STIG" SSG conforme à DISA STIG pour Oracle Linux 8 version 2, Rel 4.

Informations de conformité pour les images STIG d'Oracle Linux 8.10 juin 2025 :

Cible : profil SSG "STIG" conforme aux STIG de DISA pour Oracle Linux 8 version 2, version 4

  • Score de conformité de la liste de contrôle pour x86_64 : 79,94 %
  • Score de conformité de la liste de contrôle pour aarch64 : 79,87 %

Cible : profil SSG DISA pour Oracle Linux 8 version 2, version 4 du profil de référence

  • Score de conformité de la liste de contrôle pour x86_64 : 84,26 %
  • Score de conformité de la liste de contrôle pour aarch64 : 84,26 %

Oracle Linux 7 (support étendu)

Les images STIG Oracle Linux 7 respectent les normes de sécurité de la DISA et sont renforcées selon le STIG Oracle Linux 7 de la DISA. Pour la dernière version d'image STIG Oracle Linux 7, la cible de conformité est passée au STIG DISA Ver 3, Rel 1. Le package scap-security-guide (0.1.73-1.0.3 minimum) disponible via yum contient le profil "STIG" SSG aligné sur DISA STIG pour Oracle Linux 7 version 3, version 1.

Informations de conformité pour les images STIG d'Oracle Linux 7.9 février 2025 :

Cible : profil SSG "STIG" conforme aux STIG de DISA pour Oracle Linux 7 version 3, version 1

  • Score de conformité de la liste de contrôle x86_64 : 81,65 %
  • Score de conformité de la liste de contrôle aarch64 : 81,65 %

Cible : DISA STIG pour Oracle Linux 7 version 3, profil de référence Rel 1

  • Score de conformité de la liste de contrôle x86_64 : 91,71 %
  • Score de conformité de la liste de contrôle aarch64 : 91,71 %
Remarque

La norme STIG de DISA n'a subi aucun changement significatif, autre que le libellé, entre Oracle Linux 7 Ver 3, Rel 1 et Oracle Linux 7 Ver 2, Rel 14. Pour cette raison, tout système compatible avec Oracle Linux 7 Ver 2, Rel 14 est également compatible avec Oracle Linux 7 Ver 3, Rel 1.