Sécurité d'OS Management Hub
OS Management Hub gère, surveille et contrôle le contenu logiciel du système d'exploitation des instances, en veillant à ce qu'elles soient à jour avec les derniers patches de sécurité. Suivez ces meilleures pratiques de sécurité pour sécuriser OS Management Hub.
Responsabilités en matière de sécurité
Pour utiliser OS Management Hub en toute sécurité, découvrez vos responsabilités en matière de sécurité et de conformité.
En général, Oracle assure la sécurité de l'infrastructure et des opérations sur le cloud, par exemple les contrôles d'accès des opérateurs de cloud et l'application de patches de sécurité à l'infrastructure. Vous êtes responsable de la configuration sécurisée de vos ressources cloud. La sécurité dans le cloud est une responsabilité partagée entre vous et Oracle.
Oracle est responsable des exigences de sécurité suivantes :
- Sécurité physique : Oracle est en charge de la protection de l'infrastructure globale qui exécute tous les services offerts par Oracle Cloud Infrastructure. Cette infrastructure comprend le matériel, les logiciels, les fonctions de réseau et les installations qui exécutent les services Oracle Cloud Infrastructure.
Vos responsabilités en matière de sécurité sont décrites sur cette page et englobent les domaines suivants :
- Contrôle d'accès : limitez les privilèges autant que possible. Les utilisateurs doivent disposer uniquement des droits d'accès nécessaires pour effectuer leur travail.
- Application de patches : maintenez les logiciels à jour avec les derniers patches de sécurité pour éviter les vulnérabilités.
Tâches initiales liées à la sécurité
Utilisez cette liste de contrôle afin d'identifier les tâches que vous effectuez pour sécuriser OS Management Hub dans une nouvelle location Oracle Cloud Infrastructure.
| Tâche | Plus d'informations |
|---|---|
| Utiliser des stratégies IAM pour accorder l'accès aux utilisateurs et aux ressources | Stratégies OS Management Hub |
| Configurer des groupes pour contrôler l'accès au service | Groupe d'utilisateurs |
| Ajouter uniquement les sources logicielles dont vous avez besoin au service | Sélectionner des sources logicielles |
| Utiliser des profils pour contrôler les sources logicielles attachées à une instance | Sélectionner des sources logicielles |
| Configurer des synchronisations miroir standard pour les postes de gestion | Synchronisation des miroirs |
Tâches de routine liées à la sécurité
Après vous être familiarisé avec OS Management Hub, utilisez cette liste de contrôle pour identifier les tâches de sécurité que nous vous recommandons d'effectuer régulièrement.
| Tâche | Plus d'informations |
|---|---|
| Appliquer les derniers patches de sécurité | Appliquer des patches aux logiciels |
| Utiliser Ksplice pour appliquer les mises à jour de sécurité | Appliquer des patches aux logiciels |
| Surveiller le statut de la synchronisation miroir et créer des travaux de synchronisation | Synchronisation des miroirs |
| Supprimer les packages inutiles sur les instances | Suppression de packages inutiles |
| Vérification des rapports pour vérifier la conformité à la sécurité | Vérifier les rapports |
Stratégies IAM
Utilisez des stratégies pour limiter l'accès à OS Management Hub.
Reportez-vous à Stratégies OS Management Hub.
Sélectionner des sources logicielles
Ajoutez uniquement le nombre minimal de sources logicielles fournisseur dont vous avez besoin au service. Lorsque vous créez des sources logicielles personnalisées, utilisez des filtres ou spécifiez une liste de packages pour réduire davantage le contenu disponible pour les instances. Incluez uniquement les packages nécessaires à la prise en charge de votre charge globale.
Lors de la création d'un profil de source logicielle, incluez uniquement les sources logicielles requises. Cela réduit le nombre de packages disponibles pour l'instance, ce qui réduit l'empreinte d'installation du package. De même, lors de la création d'un groupe ou d'un environnement de cycle de vie, attachez uniquement l'ensemble minimal de sources logicielles nécessaires.
Lorsque vous ajoutez des sources tierces ou privées, utilisez le protocole https pour les URL de référentiel et les clés GPG afin de valider le contenu lors de l'installation. Reportez-vous à URL de référentiel et clé GPG.
Synchronisation des miroirs
Synchronisez régulièrement les sources logicielles mises en miroir pour vous assurer que la station de gestion distribue les derniers packages logiciels aux instances.
Par défaut, un travail de synchronisation miroir est exécuté une fois par semaine. Ajustez cette fréquence en fonction de vos exigences de sécurité. Vous pouvez modifier la programmation de synchronisation miroir selon vos besoins. En outre, surveillez le statut des synchronisations miroir de la station de gestion et exécutez un travail de synchronisation miroir à la demande à tout moment.
Appliquer des patches aux logiciels
Assurez-vous que vos instances gérées exécutent les dernières mises à jour de sécurité.
Maintenez à jour les logiciels d'instance grâce aux patches de sécurité. Nous vous recommandons d'appliquer régulièrement les dernières mises à jour logicielles disponibles aux instances inscrites auprès d'OS Management Hub. Envisagez d'utiliser plusieurs travaux de mise à jour pour maintenir les instances à jour.
- Créer des travaux de mise à jour
-
Pour vous assurer que les instances reçoivent des mises à jour régulières, vous pouvez créer un travail pour programmer des mises à jour récurrentes. Reportez-vous aux sections suivantes :
- Exécution des mises à jour Ksplice
-
Utilisez Oracle Ksplice pour appliquer des patches de sécurité critiques aux noyaux sur les instances Oracle Linux sans nécessiter de redémarrage. Ksplice met également à jour les bibliothèques d'espace utilisateur glibc et OpenSSL, appliquant ainsi des patches de sécurité critiques sans interrompre les charges globales. Créez un travail de mise à jour récurrent qui applique les mises à jour Ksplice.
Suppression des packages inutiles
Supprimez les packages inutiles des instances pour réduire l'encombrement de l'installation et éviter les problèmes de sécurité potentiels.
La suppression d'une source logicielle n'enlève pas les packages qui ont été installés à partir de celle-ci. Par exemple, supposons que vous passiez de UEK R6 à UEK R7. Vous ajoutez la source logicielle pour UEK R7, puis enlevez la source logicielle pour UEK R6. Tous les packages UEK R6 installés restent sur le système. Toutefois, ces packages ne sont plus mis à jour car la source logicielle a été enlevée et peuvent donc apparaître dans les analyses de sécurité.
Pour plus d'informations sur la suppression de packages, reportez-vous à :
Vérifier les rapports
OS Management Hub génère des rapports pour les mises à jour de sécurité, les mises à jour de bogues et l'activité d'instance. Consultez ces rapports pour identifier les instances obsolètes. Reportez-vous à la section Consultation des rapports