Documentazione dell'infrastruttura Oracle Cloud

Sicurezza di Oracle Linux

Puoi utilizzare Oracle Linux in modo sicuro nel tuo ambiente cloud seguendo queste best practice di sicurezza. Oracle Linux offre anche diversi servizi cloud che eseguono aggiornamenti software automatici, installano correzioni di bug e monitorano le tue istanze per individuare eventi critici.

Procedure ottimali di sicurezza

Seguire queste best practice di sicurezza quando si utilizza Oracle Linux in un ambiente cloud.

Per ulteriori informazioni, vedere Oracle Linux 9 Enhancing System Security e Oracle Linux 8 Enhancing System Security.

Best practice per la sicurezza di Oracle Linux

Procedura ottimale

Descrizione

Ridurre e proteggere l'impronta del software

Disinstallare o disabilitare componenti, servizi e funzioni di cui non si ha bisogno o che non si utilizzano nell'ambiente cloud.

Come opzione, è consigliabile installare solo il sistema operativo di base sui sistemi Oracle Linux.

Se utilizzi l'immagine della piattaforma Oracle Cloud, scegli il tipo di immagine migliore per soddisfare le tue esigenze aziendali:

  • Immagine della piattaforma standard: un'immagine minima con strumenti di supporto e pacchetti aggiuntivi installati per impostazione predefinita. Gli strumenti e i pacchetti vengono utilizzati dal Supporto Oracle per risolvere eventuali ticket di supporto aperti, se archiviati.
  • Immagine della piattaforma minima: immagine con il numero minimo di package necessari per eseguire il boot e la connessione a un'istanza OCI dalla console SSH.
  • Immagine della piattaforma personalizzata: immagine personalizzata che segue le procedure ottimali per la sicurezza installando solo gli elementi necessari per supportare l'ambiente cloud e lo stack di applicazioni.

Rivedere regolarmente i pacchetti che fanno parte dell'immagine della piattaforma Oracle Cloud per assicurarsi che i pacchetti vengano utilizzati attivamente. Rimuovere i pacchetti non utilizzati.

Mantieni il software aggiornato

Valutare il software installato sui sistemi Oracle Linux nell'ambiente in uso e applicare gli aggiornamenti di sicurezza su base settimanale, come minimo. Verificare regolarmente la presenza di aggiornamenti delle patch e installare le patch più recenti. Determinare quando e con quale frequenza eseguire aggiornamenti più grandi che includono correzioni e miglioramenti dei bug aggiuntivi.

Utilizza i seguenti servizi cloud Oracle Linux per mantenere aggiornato il software:

  • Hub di gestione del sistema operativo: gestisce i pacchetti software più recenti nelle istanze di Oracle Cloud Infrastructure (OCI). Vedere Utilizzo dell'hub di gestione del sistema operativo.

  • Immagine di Autonomous Linux: consente ad Autonomous Linux di eseguire aggiornamenti giornalieri e monitorare problemi critici per le tue istanze OCI. Guarda l'immagine di Oracle Autonomous Linux.

  • Ksplice: applica automaticamente le patch al kernel in esecuzione e alle librerie di spazio utente comuni sui sistemi Oracle Linux nell'ambiente in uso, senza richiedere reboot o tempi di inattività. Vedere Utilizzo di Oracle Ksplice.

Limitare l'accesso

Proteggere le applicazioni e i database di livello intermedio con un firewall o limitare l'accesso mediante indirizzo IP. Se si utilizza un firewall, assicurarsi che le impostazioni del firewall siano controllate e rivedere regolarmente queste impostazioni. Se si utilizza un firewall virtuale, impostare le liste di sicurezza appropriate per le istanze. Vedere Ways to Secure Your Network e Security Lists.

Controlla i meccanismi di autenticazione e applica restrizioni rigorose alle password

Utilizzare password rigorose, chiave, certificato e autenticazione basata su token.

Concedere privilegi utente minimi

Limitare il più possibile i privilegi utente. Consente agli utenti solo l'accesso necessario per eseguire il proprio lavoro.

Monitorare l'attività del sistema

Controllare ed esaminare i record di audit di sistema.

Ksplice fornisce una funzione di rilevamento exploit nota per i sistemi su cui è installato il client Ksplice Enhanced. Per maggiori informazioni, vedere il manuale dell'utente di Ksplice.

Tenersi aggiornati circa le ultime informazioni relative alla sicurezza

Monitorare la mailing list per la sicurezza di Oracle Linux per individuare annunci critici sulla sicurezza. Vedere Sottoscrizione agli avvisi di sicurezza Oracle.

Per gli standard e i requisiti di sicurezza governativi, utilizzare l'immagine STIG

Utilizzare l'immagine STIG di Oracle Linux per creare istanze Oracle Linux che seguono determinati standard e requisiti di sicurezza impostati dalla Defense Information Systems Agency (DISA). Questi standard di sicurezza sono descritti nella Security Technical Implementation Guide (STIG).

Per ulteriori informazioni, vedere Cos'è STIG?.

Ci sono servizi aggiuntivi in Oracle Cloud che completano la sicurezza che puoi creare con Oracle Linux. Ad esempio, per controllare regolarmente gli host e le immagini dei container alla ricerca di potenziali vulnerabilità della sicurezza, è possibile utilizzare Oracle Cloud Infrastructure Vulnerability Scanning Service. Per assistenza sulla gestione degli stack di applicazioni, incluso il raggruppamento delle risorse in base a criteri definiti, è possibile utilizzare il servizio Oracle Fleet Application Management.

Vedere Panoramica sulla scansione delle vulnerabilità e Panoramica sulla gestione delle applicazioni della Flotta.

Servizi Oracle Linux per la sicurezza

Oracle Linux offre diversi servizi che ti aiutano a proteggere le istanze Oracle Linux nel tuo ambiente cloud.

Servizio Oracle Autonomous Linux

Autonomous Linux esegue aggiornamenti di sicurezza giornalieri automatici sulle istanze Oracle Linux e monitora le istanze per individuare eventi critici.

Per ulteriori informazioni, vedere Panoramica di Autonomous Linux.

Funzioni di sicurezza

Funzioni di sicurezza di Oracle Autonomous Linux

Funzione

Descrizione

Pacchetti e aggiornamenti giornalieri automatici

Le istanze che utilizzano l'immagine Oracle Autonomous Linux vengono aggiornate automaticamente ogni giorno con i pacchetti e le patch disponibili che risolvono le vulnerabilità della sicurezza. Alcuni di questi aggiornamenti possono includere patch Ksplice senza tempi di inattività per le librerie kernel, OpenSSL e glibc. È possibile modificare il tempo di esecuzione di questi aggiornamenti giornalieri.

Report di sicurezza

Visualizzare report filtrabili che elencano gli avvisi di sicurezza per le istanze e indicano se le istanze sono aggiornate sulle patch di sicurezza.

Monitoraggio degli eventi di rilevamento degli exploit

Se si verifica un evento di rilevamento exploit in un'istanza, esaminare i dettagli dell'evento, i relativi file di log e le informazioni di trace dello stack relative all'evento.

Notifiche degli eventi di sicurezza

Scegliere di ricevere una notifica quando si verifica un evento di sicurezza in un'istanza. A tale scopo, impostare l'argomento di notifica per l'istanza.

Servizio hub di gestione del sistema operativo

OS Management Hub consente di monitorare e gestire gli aggiornamenti nelle istanze Oracle Linux nell'ambiente cloud da una console di gestione centralizzata.

Per ulteriori informazioni, vedere Panoramica dell'hub di gestione del sistema operativo.

Funzioni di sicurezza

Funzioni di sicurezza dell'hub di gestione del sistema operativo

Funzione

Descrizione

Criteri IAM e gruppi

Utilizza criteri e gruppi per limitare l'accesso agli utenti e alle risorse cloud.

Origini software e profili

Controllare il numero di origini software (repositori) e specificare quali pacchetti software sono disponibili per le istanze registrate con l'hub di gestione del sistema operativo.

Job che pianificano gli aggiornamenti dell'applicazione di patch per un'istanza standalone o per tutte le istanze standalone in un compartimento

Crea job che pianificano aggiornamenti di sicurezza ricorrenti per l'istanza o le istanze. È possibile creare job che applicano gli aggiornamenti di Ksplice.

Job di sincronizzazione degli errori che sincronizzano le origini software con mirroring

Designare un'istanza come stazione di gestione. È quindi possibile creare processi che garantiscano che la stazione di gestione distribuisca i pacchetti software e di sicurezza più recenti a tutte le istanze che utilizzano tale stazione.

Report di sicurezza

Rivedere i report che forniscono informazioni sugli aggiornamenti di sicurezza, sugli aggiornamenti dei bug e sull'attività delle istanze.

Servizio Oracle Ksplice

Oracle Ksplice fornisce patch di sicurezza e aggiornamenti automatici alle istanze Oracle Linux senza dover arrestare e riavviare le istanze.

Per ulteriori informazioni su Ksplice, vedere Oracle Linux: Ksplice User's Guide.

Funzioni di sicurezza

Funzioni di sicurezza di Oracle Ksplice

Funzione

Descrizione

Aggiornamenti automatici Oracle Ksplice

Ksplice installa automaticamente le patch di sicurezza più recenti e gli aggiornamenti ai kernel Linux sulle tue istanze e senza tempi di inattività.

Patch correnti

Visualizzare le patch e gli aggiornamenti attualmente installati nelle istanze.

Aggiornamenti manuali

Se non desideri aggiornamenti automatici, installa manualmente le patch e gli aggiornamenti più recenti alle tue istanze su richiesta.

Kernels che sono attivamente mantenuti

Visualizzare i kernel gestiti attivamente da Ksplice.