Documentazione dell'infrastruttura Oracle Cloud

Immagine STIG di Oracle Linux

L'immagine STIG di Oracle Linux è un'implementazione di Oracle Linux riportata nel manuale Security Technical Implementation Guide (STIG).

L'immagine Oracle Linux STIG è lanciata da Oracle Cloud Marketplace. Nel Marketplace, cerca le schede descrittive Oracle Linux STIG e seleziona l'immagine Oracle Linux STIG con il profilo che soddisfa i requisiti aziendali.

Con l'immagine STIG, un'istanza di Oracle Linux in Oracle Cloud Infrastructure è configurata per seguire gli standard e i requisiti di sicurezza stabiliti dalla Defense Information Systems Agency (DISA).

Nota

Oracle aggiorna regolarmente l'immagine STIG di Oracle Linux con gli ultimi errori di sicurezza. Il presente documento viene aggiornato ogni volta che il benchmark STIG cambia o quando le modifiche alle linee guida sulla sicurezza richiedono una configurazione manuale dell'immagine. Consulta la Cronologia delle revisioni per le immagini STIG di Oracle Linux per le modifiche specifiche apportate in ciascuna release.
Importante

Qualsiasi modifica apportata a un'istanza di Oracle Linux STIG Image (ad esempio l'installazione di altre applicazioni o la modifica delle impostazioni di configurazione) potrebbe influire sul punteggio di conformità. Dopo aver apportato le modifiche, salvare l'istanza per confermare la conformità.

Informazioni su STIG

Una Security Technical Implementation Guide (STIG) è un documento scritto dalla Defense Information Systems Agency (DISA). Fornisce indicazioni sulla configurazione di un sistema per soddisfare i requisiti di sicurezza informatica per la distribuzione all'interno dei sistemi di rete IT del Dipartimento della Difesa (DoD). I requisiti STIG proteggono la rete dalle minacce alla sicurezza informatica concentrandosi sulla sicurezza dell'infrastruttura e della rete per mitigare le potenziali vulnerabilità. La conformità con gli STIG è un requisito per le agenzie DoD o qualsiasi organizzazione che fa parte delle reti informative DoD (DoDIN).

L'immagine STIG di Oracle Linux automatizza la conformità fornendo una versione potenziata dell'immagine Oracle Linux standard che segue le linee guida STIG. Tuttavia, l'immagine selezionata potrebbe comunque richiedere ulteriori misure correttive manuali per soddisfare tutti i requisiti STIG.

Scarica l'ultimo STIG

DISA fornisce aggiornamenti trimestrali ai documenti STIG. I contenuti forniti da Oracle seguono gli ultimi documenti STIG disponibili al momento della pubblicazione. Si consiglia di scaricare e seguire i file ZIP STIG più recenti durante la valutazione della conformità dei sistemi distribuiti.

Per scaricare i documenti STIG più recenti, vedere https://public.cyber.mil/stigs/downloads/. Cercare Oracle Linux, quindi scaricare il file zip appropriato.

Facoltativamente, utilizzare il Visualizzatore DISA STIG fornito all'indirizzo https://public.cyber.mil/stigs/srg-stig-tools/. Quindi, importare nel file xccdf.xml di STIG per visualizzare le regole STIG.

Valutazione della conformità allo STIG

La valutazione della conformità spesso inizia con una scansione utilizzando uno strumento di verifica della conformità SCAP (Security Content Automation Protocol) che utilizza un STIG (caricato in formato SCAP) per analizzare la sicurezza di un sistema. Per una copertura completa della conformità sono necessarie ulteriori verifiche manuali, poiché gli strumenti SCAP non sempre eseguono test per ogni regola all'interno di un STIG e alcuni STIG potrebbero non essere stati pubblicati in formato SCAP.

Per automatizzare la valutazione della conformità sono disponibili gli strumenti riportati di seguito.

SCC (SCAP Compliance Checker)

Uno strumento sviluppato da DISA che può eseguire una valutazione utilizzando il benchmark DISA STIG o un profilo a monte OpenSCAP. Normalmente, il benchmark DISA STIG viene utilizzato per l'analisi della conformità in caso di utilizzo dello strumento SCC.

Importante

Per eseguire la scansione dell'architettura Arm (aarch64), è necessario utilizzare SCC versione 5.5 o successiva.
OpenSCAP

Una utility open source fornita tramite i canali software Oracle Linux che può eseguire una valutazione utilizzando il benchmark DISA STIG o un profilo a monte OpenSCAP. Oracle Linux distribuisce un pacchetto SCAP Security Guide (SSG) contenente profili specifici delle release di sistema. Ad esempio, il file SCAP datastream ssg-ol7-ds.xml fornito dal pacchetto SSG include DISA STIG per il profilo Oracle Linux 7. Un vantaggio dell'utilizzo dello strumento OpenSCAP è che SSG fornisce script per automatizzare la correzione e portare il sistema a uno stato conforme.

Attenzione

La correzione automatica mediante script può portare a una configurazione di sistema indesiderata o a un sistema non funzionale. Esecuzione del test degli script di correzione in un ambiente non di produzione.

Per informazioni sull'esecuzione degli strumenti di conformità e sulla generazione di un report di scansione, vedere Esecuzione di un'istanza per la conformità.

Destinazioni di conformità

L'immagine STIG di Oracle Linux contiene modifiche aggiuntive per le regole non risolte dal benchmark DISA STIG. Utilizza il profilo "STIG" SSG allineato a DISA STIG per Oracle Linux per estendere l'automazione sulle regole non risolte e confermare la conformità del sistema rispetto all'intero STIG DISA.

Con l'immagine vengono forniti due file della lista di controllo DISA STIG Viewer, basati sui risultati della scansione di SCC e OpenSCAP. L'elenco di controllo per il benchmark DISA STIG utilizza i risultati della scansione SCC, mentre l'elenco di controllo per il profilo SSG "STIG" utilizza i risultati della scansione OpenSCAP. Questi elenchi di controllo contengono commenti di Oracle per le aree dell'immagine che non soddisfano le linee guida. Vedere Utilizzo dell'elenco di controllo per visualizzare altre configurazioni.

Nota

I punteggi di compliance più elevati del DISA STIG Benchmark riflettono un ambito di regole più limitato rispetto al DISA STIG completo. Tuttavia, il profilo "STIG" SSG rappresenta l'intero STIG DISA, fornendo una valutazione più completa della conformità STIG di un'immagine.

Oracle Linux 8

Le immagini STIG di Oracle Linux 8 seguono gli standard di sicurezza DISA e sono potenziate secondo lo standard DISA di Oracle Linux 8. Per l'ultima release di Oracle Linux 8 STIG Image, l'obiettivo di conformità è DISA STIG for Oracle Linux 8 Ver 2, Rel 4. Il pacchetto scap-security-guide (minimo 0.1.76-1.0.3) fornito tramite i canali software Oracle Linux contiene il profilo "STIG" SSG allineato a DISA STIG per Oracle Linux 8 Ver 2, Rel 4.

Informazioni sulla conformità per le immagini STIG di Oracle Linux 8.10 giugno 2025:

Destinazione: il profilo "STIG" SSG è allineato a DISA STIG per Oracle Linux 8 Ver 2, Rel 4

  • Punteggio di conformità della checklist per x86_64: 79,94%
  • Punteggio di conformità della checklist per aarch64: 79,87%

Destinazione: DISA STIG per il profilo di benchmark Oracle Linux 8 Ver 2 e Rel 4

  • Punteggio di conformità della checklist per x86_64: 84,26%
  • Punteggio di conformità della checklist per aarch64: 84,26%

Oracle Linux 7 (supporto esteso)

Le immagini STIG di Oracle Linux 7 seguono gli standard di sicurezza DISA e sono potenziate secondo lo standard DISA di Oracle Linux 7. Per l'ultima release di Oracle Linux 7 STIG Image, la destinazione di conformità è passata alla versione 3 di DISA STIG, Rel 1. Il pacchetto scap-security-guide (minimo 0.1.73-1.0.3) fornito tramite i canali software Oracle Linux contiene il profilo "STIG" SSG allineato a DISA STIG per Oracle Linux 7 Versione 3, Release 1.

Informazioni sulla conformità per le immagini STIG di Oracle Linux 7.9 febbraio 2025:

Target: profilo "STIG" SSG allineato a DISA STIG per Oracle Linux 7 Ver 3, Rel 1

  • Punteggio di conformità lista di controllo x86_64: 81,65%
  • Punteggio di conformità lista di controllo aarch64: 81,65%

Target: DISA STIG per il profilo di benchmark Oracle Linux 7 Ver 3 e Rel 1

  • Punteggio di conformità lista di controllo x86_64: 91,71%
  • Punteggio di conformità lista di controllo aarch64: 91,71%
Nota

Lo standard STIG di DISA non ha subito modifiche significative, a parte la formulazione, tra Oracle Linux 7 Ver 3, Rel 1 e Oracle Linux 7 Ver 2, Rel 14. Per questo motivo, qualsiasi sistema conforme a Oracle Linux 7 Ver 2, Rel 14 è anche conforme a Oracle Linux 7 Ver 3, Rel 1.