Outil STIG (Security Technical Implementation Guide) pour le système de base de données

Cet article décrit l'outil STIG, un script Python, pour les systèmes de base de données provisionnés à l'aide d'Oracle Linux 7.

Un Guide d'implémentation technique de la sécurité (STIG) est un document écrit par la Defense Information Systems Agency (DISA) qui fournit des conseils sur la configuration d'un système pour répondre aux normes de cybersécurité pour le déploiement dans les systèmes de réseau informatique du ministère de la Défense (DoD). Les exigences STIG aident à protéger le réseau contre les menaces de cybersécurité en se concentrant sur la sécurité des infrastructures et des réseaux pour réduire les vulnérabilités.

L'outil STIG, un script Python, est utilisé pour garantir la conformité de sécurité avec le STIG Oracle Linux 7 de la DISA. Cet outil :

  • rend l'image de base du système de base de données conforme au STIG Oracle Linux 7,
  • incorpore dans le système certaines règles STIG qui peuvent être activées après le provisionnement lorsqu'elles sont requises pour répondre aux exigences de conformité de sécurité,
  • catégorise les règles imbriquées, ce qui vous permet d'afficher et de surveiller les règles dans les catégories suivantes :

    • les règles statiques qui sont incluses dans l'image de base,
    • Règles DoD éventuellement activées après le provisionnement si nécessaires pour répondre aux exigences des Etats-Unis. les normes de conformité du ministère de la Défense, et
    • Règles d'exécution activées après le provisionnement si nécessaire et destinées à être utilisées par tous les utilisateurs qui ont besoin de renforcer la sécurité des systèmes de base de données (y compris les utilisateurs en dehors des Etats-Unis. Ministère de la Défense),
  • fournit une fonctionnalité d'annulation, vous permettant d'annuler un système de base de données pour revenir à un état où aucune modification n'a été apportée à la configuration par le script, et
  • Il fournit une fonctionnalité de vérification de la conformité qui vous permet de connaître le nombre de règles respectées par le système de base de données.

Acquisition de l'outil STIG

L'outil STIG est fourni pour tous les systèmes de base de données nouvellement provisionnés. L'outil STIG est fourni à l'emplacement de répertoire de système d'exploitation suivant sur les noeuds de système de base de données : /opt/oracle/dcs/bin/dbcsstig

Les versions mises à jour de l'outil STIG pourront être téléchargées à partir d'Oracle Technology Network (OTN). Les versions mises à jour de l'outil STIG sont également disponibles lors de la mise à jour de l'agent du système de base de données.

Utilisation de l'outil STIG

Utilisez la syntaxe suivante pour l'outil STIG :
dbcsstig --<operation><category>
Exemple :
dbcsstig --fix dod

Référence des commandes

Opérations

Tableau - Opérations

Paramètre d'opération Définition
--check, -c Permet de vérifier la conformité aux règles incluses dans la catégorie spécifiée.
--fix, -f Permet d'appliquer des corrections aux règles incluses dans la catégorie spécifiée.
--rollback, -rb Permet d'annuler les modifications de configuration système implémentées par l'outil STIG.
--version, -v Fournit des informations sur la version du script de l'outil STIG.
--help, -h Fournit des informations d'aide sur la ligne de commande.

Catégories de règle

Tableau - Catégories de règle

Paramètre de catégorie Définition
static Permet de spécifier les règles incluses dans l'image de base du système de base de données.
dod Pour spécifier les règles requises pour la conformité au STIG Oracle Linux 7 de la DISA.
runtime Spécifier les règles activées après le provisionnement à des fins de renforcement général de la sécurité.
all Pour spécifier toutes les règles.