Documentation Oracle Cloud Infrastructure

Image STIG Oracle Linux

L'image STIG Oracle Linux est une implémentation d'Oracle Linux qui respecte le STIG (Security Technical Implementation Guide).

L'image STIG Oracle Linux est lancée à partir d'Oracle Cloud Marketplace. Dans le Marketplace, recherchez dans les listes STIG Oracle Linux et sélectionnez l'image STIG Oracle Linux avec le profil qui répond aux exigences métier.

Avec l'image STIG, une instance Oracle Linux dans Oracle Cloud Infrastructure est configurée pour respecter certaines normes et exigences de sécurité définies par la Defense Information Systems Agency (DISA).

Remarque

Oracle met régulièrement à jour l'image STIG Oracle Linux avec les derniers errata de sécurité. Ce document est mis à jour chaque fois que la référence STIG change ou lorsque les modifications apportées aux directives de sécurité nécessitent une configuration manuelle de l'image. Pour connaître les modifications spécifiques apportées à chaque version, reportez-vous à Historique des révisions des images STIG Oracle Linux.
Important

Toute modification apportée à une instance d'image STIG Oracle Linux (par exemple, installation d'autres applications ou modification des paramètres de configuration) peut avoir une incidence sur le score de conformité. Après avoir apporté des modifications, réanalysez l'instance pour confirmer la conformité.

À propos des STIG

Un STIG (Security Technical Implementation Guide) est un document écrit par l'agence DISA (Defense Information Systems Agency). Il fournit des conseils sur la configuration d'un système afin de répondre aux exigences en matière de cybersécurité pour le déploiement au sein des systèmes de réseaux informatiques du ministère de la Défense des Etats-Unis. Les exigences STIG protègent le réseau contre la menace de cybersécurité en se concentrant sur la sécurité des infrastructures et du réseau pour réduire les vulnérabilités potentielles. La conformité aux STIG est une exigence pour les agences du DoD ou toute organisation qui fait partie des réseaux d'information du DoD (DoDIN).

L'image STIG Oracle Linux automatise la conformité en fournissant une version renforcée de l'image Oracle Linux standard qui suit les directives STIG. Toutefois, l'image sélectionnée peut toujours nécessiter des corrections manuelles supplémentaires pour répondre à toutes les exigences STIG.

Téléchargement du dernier STIG

DISA fournit des mises à jour trimestrielles des documents STIG. Le contenu fourni par Oracle suit les derniers documents STIG disponibles au moment de la publication. Nous vous recommandons de télécharger et de suivre les derniers fichiers ZIP STIG lors de l'évaluation de la conformité des systèmes déployés.

Pour télécharger les derniers documents STIG, reportez-vous à https://public.cyber.mil/stigs/downloads/. Recherchez Oracle Linux, puis téléchargez en local le fichier ZIP approprié.

Utilisez éventuellement le visualiseur DE STIG DE LA DISA fourni à la page https://public.cyber.mil/stigs/srg-stig-tools/. Importez ensuite le fichier xccdf.xml du STIG pour visualiser les règles STIG.

Évaluation de la conformité STIG

L'évaluation de la conformité commence souvent par une analyse à l'aide d'un outil de vérification de la conformité SSCAP (Security Content Automation Protocol) qui utilise un STIG (téléchargé au format SCAP) pour analyser la sécurité d'un système. Un audit manuel supplémentaire est requis pour une couverture de conformité complète, car les outils SCAP ne testent pas toujours chaque règle dans un STIG et certains STIG n'ont peut-être pas été publiés au format SCAP.

Les outils suivants permettent d'automatiser l'évaluation de la conformité :

Contrôleur conformité SCAP (SCC)

Outil développé par DISA qui peut exécuter une évaluation à l'aide de la référence STIG de la DISA ou d'un profil en amont OpenSCAP. En général, la référence STIG de la DISA est utilisée pour l'analyse de conformité lors de l'utilisation de l'outil SCC.

Important

Pour analyser une architecture Arm (aarch64), vous devez utiliser SCC version 5.5 ou ultérieure.
OpenSCAP

Utilitaire open source fourni via les canaux logiciels Oracle Linux qui peut exécuter une évaluation à l'aide du test d'évaluation DISA STIG ou d'un profil OpenSCAP en amont. Oracle Linux distribue un package SSG (SCAP Security Guide) contenant des profils propres aux versions de système. Par exemple, le fichier ssg-ol7-ds.xml du flux de données SCAP fourni par le package SSG inclut le profil STIG pour DISA pour le profil Oracle Linux 7. L'un des avantages de l'outil OpenSCAP est que le SSG fournit des scripts pour automatiser la résolution et rendre le système conforme.

Attention

La résolution automatique à l'aide de scripts peut entraîner une configuration système indésirable ou rendre un système non fonctionnel. Testez les scripts de résolution dans un environnement hors production.

Pour plus d'informations sur l'exécution et la génération d'un rapport d'analyse, reportez-vous à la section Réanalyse d'une instance pour la conformité.

Cibles de conformité

L'image STIG Oracle Linux contient des corrections supplémentaires pour les règles non traitées par le test d'évaluation STIG DISA. Utilisez le profil "STIG" SSG aligné sur DISA STIG pour Oracle Linux pour étendre l'automatisation sur les règles non adressées et confirmer la conformité du système par rapport au STIG DISA complet.

Deux fichiers de liste de contrôle DISA STIG Viewer sont fournis avec l'image, qui sont basés sur les résultats d'analyse de SCC et OpenSCAP. La liste de contrôle pour la référence STIG DISA utilise les résultats d'analyse SCC, tandis que la liste de contrôle pour le profil "STIG" SSG utilise les résultats d'analyse OpenSCAP. Ces listes de contrôle contiennent des commentaires d'Oracle sur les zones de l'image qui ne répondent pas aux recommandations. Reportez-vous à Utilisation de la liste de contrôle pour afficher d'autres configurations.

Remarque

Les scores de conformité plus élevés pour le test de référence DISA STIG reflètent une portée de règles plus limitée par rapport au test complet DISA STIG. Cependant, le profil "STIG" de la SSG tient compte de l'intégralité du STIG DISA, fournissant une évaluation plus complète de la conformité STIG d'une image.

Oracle Linux 8 :

Les images STIG Oracle Linux 8 respectent la norme de sécurité de la DISA et sont renforcées selon le STIG Oracle Linux 8 de la DISA. Pour la dernière version de l'image STIG Oracle Linux 8, la cible de conformité est le STIG DISA pour Oracle Linux 8 Ver 2, Rel 4. Le package scap-security-guide (minimum 0.1.76-1.0.3) fourni via les canaux logiciels Oracle Linux contient le profil "STIG" SSG aligné sur DISA STIG pour Oracle Linux 8 Ver 2, Rel 4.

Informations de conformité pour les images STIG d'Oracle Linux 8.10 juin 2025 :

Cible : profil SSG "STIG" conforme aux STIG de DISA pour Oracle Linux 8 version 2, version 4

  • Score de conformité de la liste de contrôle pour x86_64 : 79,94 %
  • Score de conformité de la liste de contrôle pour aarch64 : 79,87 %

Cible : profil SSG DISA pour Oracle Linux 8 version 2, version 4 du profil de référence

  • Score de conformité de la liste de contrôle pour x86_64 : 84,26 %
  • Score de conformité de la liste de contrôle pour aarch64 : 84,26 %

Oracle Linux 7 (support étendu)

Les images STIG Oracle Linux 7 respectent les normes de sécurité de la DISA et sont renforcées selon le STIG Oracle Linux 7 de la DISA. Pour la dernière version d'image STIG Oracle Linux 7, la cible de conformité est passée au STIG DISA Ver 3, Rel 1. Le package scap-security-guide (0.1.73-1.0.3 minimum) fourni via les canaux logiciels Oracle Linux contient le profil "STIG" SSG aligné sur DISA STIG pour Oracle Linux 7 version 3, version 1.

Informations de conformité pour les images STIG d'Oracle Linux 7.9 février 2025 :

Cible : profil SSG "STIG" conforme aux STIG de DISA pour Oracle Linux 7 version 3, version 1

  • Score de conformité de la liste de contrôle x86_64 : 81,65 %
  • Score de conformité de la liste de contrôle aarch64 : 81,65 %

Cible : DISA STIG pour Oracle Linux 7 version 3, profil de référence Rel 1

  • Score de conformité de la liste de contrôle x86_64 : 91,71 %
  • Score de conformité de la liste de contrôle aarch64 : 91,71 %
Remarque

La norme STIG de DISA n'a subi aucun changement significatif, autre que le libellé, entre Oracle Linux 7 Ver 3, Rel 1 et Oracle Linux 7 Ver 2, Rel 14. Pour cette raison, tout système compatible avec Oracle Linux 7 Ver 2, Rel 14 est également compatible avec Oracle Linux 7 Ver 3, Rel 1.