Documentazione dell'infrastruttura Oracle Cloud

Immagine STIG di Oracle Linux

L'immagine STIG di Oracle Linux è un'implementazione di Oracle Linux riportata nel manuale Security Technical Implementation Guide (STIG).

L'immagine Oracle Linux STIG è lanciata da Oracle Cloud Marketplace. Nel Marketplace, cerca le schede descrittive Oracle Linux STIG e seleziona l'immagine Oracle Linux STIG con il profilo a cui sei interessato.

Con l'immagine STIG, puoi configurare un'istanza di Oracle Linux in Oracle Cloud Infrastructure che segue determinati standard e requisiti di sicurezza impostati dalla Defense Information Systems Agency (DISA).

Nota

Oracle aggiorna regolarmente l'immagine STIG di Oracle Linux con gli ultimi errori di sicurezza. Il presente documento viene aggiornato ogni volta che il benchmark STIG cambia o quando le modifiche alle linee guida sulla sicurezza richiedono una configurazione manuale dell'immagine. Consulta la Cronologia delle revisioni per le immagini STIG di Oracle Linux per le modifiche specifiche apportate in ciascuna release.
Importante

Qualsiasi modifica apportata a un'istanza di Oracle Linux STIG Image (ad esempio l'installazione di altre applicazioni o la modifica delle impostazioni di configurazione) potrebbe influire sul punteggio di conformità. Dopo aver apportato eventuali modifiche, salva l'istanza per verificare la conformità

Cos'è uno STIG?

Una Security Technical Implementation Guide (STIG) è un documento scritto dalla Defense Information Systems Agency (DISA). Fornisce indicazioni sulla configurazione di un sistema per soddisfare i requisiti di sicurezza informatica per la distribuzione all'interno dei sistemi di rete IT del Dipartimento della Difesa (DoD). I requisiti STIG aiutano a proteggere la rete dalle minacce alla sicurezza informatica concentrandosi sulla sicurezza dell'infrastruttura e della rete per mitigare le vulnerabilità. La conformità con gli STIG è un requisito per le agenzie DoD o qualsiasi organizzazione che fa parte delle reti informative DoD (DoDIN).

L'immagine STIG di Oracle Linux aiuta ad automatizzare la compliance fornendo una versione potenziata dell'immagine standard di Oracle Linux. L'immagine è indurita a seguire le linee guida STIG. Tuttavia, l'immagine non può soddisfare tutti i requisiti STIG e potrebbe richiedere ulteriori misure correttive manuali.

Scarica l'ultimo STIG

DISA fornisce aggiornamenti trimestrali agli STIG. Questa documentazione è stata creata utilizzando l'ultimo STIG disponibile al momento della pubblicazione. Tuttavia, utilizzare sempre l'ultimo STIG quando si valuta il sistema.

Scaricare la versione più recente allo STIG https://public.cyber.mil/stigs/downloads/. Cercare Oracle Linux, quindi scaricare il file zip appropriato.

Facoltativamente, utilizzare il Visualizzatore DISA STIG da https://public.cyber.mil/stigs/srg-stig-tools/. Quindi, importare nel file xccdf.xml di STIG per visualizzare le regole STIG.

Come viene valutata la conformità allo STIG?

La valutazione della conformità spesso inizia con una scansione utilizzando uno strumento di controllo della conformità SCAP (Security Content Automation Protocol). Lo strumento utilizza uno STIG (caricato in formato SCAP) per analizzare la sicurezza di un sistema. Tuttavia, lo strumento non sempre esegue il test per tutte le regole all'interno di uno STIG e alcuni STIG potrebbero non avere versioni SCAP. In questi casi, un auditor deve controllare manualmente il sistema per verificarne la conformità attraverso le regole STIG non coperte dallo strumento.

Per automatizzare la valutazione della conformità sono disponibili gli strumenti riportati di seguito.

  • SCAP Compliance Checker (SCC): uno strumento sviluppato da DISA che può eseguire una valutazione utilizzando il benchmark DISA STIG o un profilo a monte OpenSCAP. Normalmente, il benchmark DISA STIG viene utilizzato per l'analisi della conformità in caso di utilizzo dello strumento SCC.

    Importante

    Per eseguire la scansione dell'architettura Arm (aarch64), è necessario utilizzare SCC versione 5.5 o successiva.

  • OpenSCAP: utility open source disponibile tramite yum che può eseguire una valutazione utilizzando il benchmark DISA STIG o un profilo a monte OpenSCAP. Oracle Linux distribuisce un pacchetto SCAP Security Guide (SSG) contenente profili specifici delle release di sistema. Ad esempio, il file SCAP datastream ssg-ol7-ds.xml fornito dal pacchetto SSG include il profilo DISA STIG per Oracle Linux 7. Un vantaggio dell'utilizzo dello strumento OpenSCAP è che SSG fornisce script Bash o Ansible per automatizzare la correzione e portare il sistema a uno stato conforme.

    Attenzione

    La correzione automatica mediante script può portare a una configurazione di sistema indesiderata o a un sistema non funzionale. Esecuzione del test degli script di correzione in un ambiente non di produzione.

Per informazioni sull'esecuzione degli strumenti di conformità e sulla generazione di un report di scansione, vedere Esecuzione di un'istanza per la conformità.

Destinazioni di conformità

L'immagine STIG di Oracle Linux contiene modifiche aggiuntive per le regole non risolte dal benchmark DISA STIG. Utilizza il profilo "STIG" SSG allineato a DISA STIG per Oracle Linux per estendere l'automazione sulle regole non risolte in precedenza e determinare la conformità a DISA STIG completo.

Con l'immagine vengono forniti due file della lista di controllo DISA STIG Viewer, basati sui risultati della scansione di SCC e OpenSCAP. L'elenco di controllo per il benchmark DISA STIG utilizza i risultati della scansione SCC, mentre l'elenco di controllo per il profilo SSG "STIG" utilizza i risultati della scansione OpenSCAP. Questi elenchi di controllo contengono commenti di Oracle per le aree dell'immagine che non soddisfano le linee guida. Vedere Utilizzo dell'elenco di controllo per la visualizzazione di configurazioni aggiuntive.

Nota

I punteggi di aderenza più elevati per il DISA STIG Benchmark riflettono un ambito di regole più limitato rispetto al DISA STIG completo. Tuttavia, il profilo "STIG" SSG rappresenta l'intero DISA STIG, fornendo una valutazione più completa della conformità dell'immagine.

Oracle Linux 8

Le immagini STIG di Oracle Linux 8 seguono gli standard di sicurezza DISA e sono potenziate secondo lo standard DISA di Oracle Linux 8. Per l'ultima release di Oracle Linux 8 STIG Image, l'obiettivo di conformità è DISA STIG for Oracle Linux 8 Ver 1, Rel 10. Il pacchetto scap-security-guide (versione minima 0.1.73-1.0.1) disponibile tramite yum contiene il profilo "STIG" SSG allineato a DISA STIG per Oracle Linux 8 Ver 1, Rel 10.

Informazioni sulla conformità per le immagini STIG di Oracle Linux 8.10 settembre 2024:

Destinazione: il profilo "STIG" SSG è allineato a DISA STIG per Oracle Linux 8 Ver 1, Rel 10

  • Punteggio di conformità della checklist per x86_64: 74,63%
  • Punteggio di conformità della checklist per aarch64: 74,55%

Destinazione: DISA STIG per il profilo di benchmark Oracle Linux 8 Ver 1 e Rel 8

  • Punteggio di conformità della checklist per x86_64: 80,57%
  • Punteggio di conformità della checklist per aarch64: 80,57%

Oracle Linux 7 (supporto esteso)

Le immagini STIG di Oracle Linux 7 seguono gli standard di sicurezza DISA e sono potenziate secondo lo standard DISA di Oracle Linux 7. Per l'ultima release di Oracle Linux 7 STIG Image, la destinazione di conformità è passata alla versione 3 di DISA STIG, Rel 1. Il pacchetto scap-security-guide (versione minima 0.1.73-1.0.3) disponibile tramite yum contiene il profilo "STIG" SSG allineato a DISA STIG per Oracle Linux 7 Versione 3, Release 1.

Informazioni sulla conformità per le immagini STIG di Oracle Linux 7.9 febbraio 2025:

Target: profilo "STIG" SSG allineato a DISA STIG per Oracle Linux 7 Ver 3, Rel 1

  • Punteggio di conformità lista di controllo x86_64: 81,65%
  • Punteggio di conformità lista di controllo aarch64: 81,65%

Target: DISA STIG per il profilo di benchmark Oracle Linux 7 Ver 3 e Rel 1

  • Punteggio di conformità lista di controllo x86_64: 91,71%
  • Punteggio di conformità lista di controllo aarch64: 91,71%
Nota

Lo standard STIG di DISA non ha subito modifiche significative, a parte la formulazione, tra Oracle Linux 7 Ver 3, Rel 1 e Oracle Linux 7 Ver 2, Rel 14. Per questo motivo, qualsiasi sistema conforme a Oracle Linux 7 Ver 2, Rel 14 è anche conforme a Oracle Linux 7 Ver 3, Rel 1.