Documentazione dell'infrastruttura Oracle Cloud

Sicurezza Oracle Linux

Puoi utilizzare Oracle Linux in tutta sicurezza nel tuo ambiente cloud seguendo queste best practice di sicurezza. Oracle Linux fornisce anche diversi servizi cloud che eseguono aggiornamenti software automatici, installano correzioni di bug e monitorano le istanze per individuare eventi critici.

Procedure ottimali di sicurezza

Segui queste best practice di sicurezza quando utilizzi Oracle Linux in un ambiente cloud.

Per ulteriori informazioni, vedere Oracle Linux 9 Enhancing System Security e Oracle Linux 8 Enhancing System Security.

Best practice per la sicurezza di Oracle Linux

Procedura ottimale

descrizione;

Riduci e proteggi il footprint del software

Disinstallare o disabilitare componenti, servizi e funzioni non necessari o non utilizzati nell'ambiente cloud.

Come opzione, considera di installare solo il sistema operativo di base sui sistemi Oracle Linux.

Se utilizzi l'immagine della piattaforma Oracle Cloud, scegli il tipo di immagine migliore per soddisfare le tue esigenze aziendali:

  • Immagine della piattaforma standard: immagine di dimensioni minime con strumenti di supporto e pacchetti aggiuntivi installati per impostazione predefinita. Gli strumenti e i pacchetti vengono utilizzati dal Supporto Oracle per gestire eventuali ticket di supporto aperti, se archiviati.
  • Immagine di piattaforma minima: immagine con il numero minimo di package necessari per avviare e connettersi a un'istanza OCI dalla console SSH.
  • Immagine della piattaforma personalizzata: immagine personalizzata che segue le best practice per la sicurezza installando solo gli elementi necessari per supportare l'ambiente cloud e lo stack di applicazioni.

Rivedere regolarmente i pacchetti che fanno parte dell'immagine della piattaforma Oracle Cloud per assicurarsi che i pacchetti vengano utilizzati attivamente. Rimuovere i package non utilizzati.

Tenere aggiornato il software

Valuta il software installato sui sistemi Oracle Linux nel tuo ambiente e applica gli aggiornamenti di sicurezza almeno una volta alla settimana. Controllare regolarmente la presenza di aggiornamenti delle patch e installare le patch più recenti. Determinare quando e con quale frequenza eseguire aggiornamenti di dimensioni maggiori che includono correzioni e miglioramenti aggiuntivi dei bug.

Utilizza i seguenti servizi cloud Oracle Linux per mantenere aggiornato il software:

  • Hub di gestione del sistema operativo: gestisce i pacchetti software più recenti nelle istanze di Oracle Cloud Infrastructure (OCI). Vedere Utilizzo dell'hub di gestione del sistema operativo.

  • Immagine di Autonomous Linux: consente ad Autonomous Linux di eseguire aggiornamenti giornalieri e monitorare problemi critici per le tue istanze OCI. Guarda l'immagine di Oracle Autonomous Linux.

  • Ksplice: applica automaticamente patch alle librerie del kernel in esecuzione e dello spazio utente comune sui sistemi Oracle Linux nell'ambiente in uso, senza dover eseguire un reboot o un tempo di inattività. Vedere Uso di Oracle Ksplice.

Limitare l'accesso

Proteggere le applicazioni e i database di livello medio con un firewall o limitare l'accesso tramite indirizzo IP. Se si utilizza un firewall, assicurarsi che le impostazioni del firewall siano controllate e rivedere regolarmente queste impostazioni. Se si utilizza un firewall virtuale, impostare le liste di sicurezza appropriate per le istanze. Vedere Modalità di protezione della rete ed Elenchi di sicurezza.

Controlla i meccanismi di autenticazione e applica rigorose limitazioni alle password

Utilizza password, chiave, certificato e autenticazione basata su token rigorosi.

Concedi privilegi utente minimi

Limitare il più possibile i privilegi utente. Consente agli utenti solo l'accesso necessario per eseguire il proprio lavoro.

Monitorare l'attività del sistema

Controllare ed esaminare i record di controllo del sistema.

Ksplice fornisce una funzione nota di rilevamento dell'exploit per i sistemi in cui è installato il client Ksplice Enhanced. Per maggiori informazioni, vedere il Manuale dell'utente di Ksplice.

Tieniti aggiornato con le ultime informazioni sulla sicurezza

Monitorare la mailing list di Oracle Linux Security per gli annunci di sicurezza critici. Vedere Sottoscrivi gli avvisi di sicurezza Oracle.

Per gli standard e i requisiti di sicurezza governativi, utilizzare l'immagine STIG

Utilizza l'immagine STIG di Oracle Linux per creare istanze Oracle Linux che seguono determinati standard e requisiti di sicurezza impostati dalla DISA (Defense Information Systems Agency). Questi standard di sicurezza sono descritti nella Guida all'implementazione tecnica della sicurezza (STIG, Security Technical Implementation Guide).

Per ulteriori informazioni, vedere Che cos'è STIG?.

Oracle Cloud offre servizi aggiuntivi che completano la sicurezza che puoi creare con Oracle Linux. Ad esempio, per verificare regolarmente la presenza di potenziali vulnerabilità della sicurezza negli host e nelle immagini dei container, puoi utilizzare Oracle Cloud Infrastructure Vulnerability Scanning Service. Per assistenza nella gestione degli stack di applicazioni, incluso il raggruppamento delle risorse in base a criteri definiti, è possibile utilizzare Oracle Fleet Application Management Service.

Vedere Panoramica sulla scansione delle vulnerabilità e Panoramica sulla gestione delle applicazioni della flotta.

Servizi Oracle Linux per la sicurezza

Oracle Linux offre diversi servizi che ti aiutano a proteggere le istanze di Oracle Linux nel tuo ambiente cloud.

Servizio Oracle Autonomous Linux

Autonomous Linux esegue aggiornamenti di sicurezza giornalieri automatici sulle istanze di Oracle Linux e monitora le istanze per individuare eventi critici.

Per ulteriori informazioni, vedere Panoramica di Autonomous Linux.

Funzioni di sicurezza

Funzioni di sicurezza di Oracle Autonomous Linux

Funzione

descrizione;

Pacchetti giornalieri e aggiornamenti automatici

Le istanze che utilizzano l'immagine di Oracle Autonomous Linux vengono aggiornate automaticamente ogni giorno con pacchetti e patch disponibili che risolvono le vulnerabilità della sicurezza. Alcuni di questi aggiornamenti possono includere patch Ksplice senza tempi di inattività per le librerie kernel, OpenSSL e glibc. È possibile modificare il tempo di esecuzione di questi aggiornamenti giornalieri.

Report sulla sicurezza

Visualizzare report filtrabili che elencano gli avvisi di sicurezza per le istanze e indicano se le istanze sono aggiornate sulle patch di sicurezza.

Monitoraggio degli eventi di rilevamento degli exploit

Se si verifica un evento di rilevamento di exploit in un'istanza, esaminare i dettagli dell'evento, i relativi file di log e le informazioni di stack trace relative all'evento.

Notifiche degli eventi di sicurezza

Scegliere di ricevere una notifica quando si verifica un evento di sicurezza su un'istanza. A tale scopo, impostare l'argomento di notifica per l'istanza.

Servizio Hub di gestione del sistema operativo

Hub di gestione del sistema operativo consente di monitorare e gestire gli aggiornamenti nelle istanze di Oracle Linux nel tuo ambiente cloud da una console di gestione centralizzata.

Per ulteriori informazioni, vedere Panoramica dell'hub di gestione del sistema operativo.

Funzioni di sicurezza

Funzioni di sicurezza dell'hub di gestione del sistema operativo

Funzione

descrizione;

criteri e gruppi IAM

Utilizza criteri e gruppi per limitare l'accesso a utenti e risorse cloud.

Origini software e profili

Controllare il numero di origini software (repositori) e specificare i pacchetti software disponibili per le istanze registrate nell'hub di gestione del sistema operativo.

Job che pianificano gli aggiornamenti dell'applicazione di patch per un'istanza standalone o tutte le istanze standalone in un compartimento

Crea job che pianificano aggiornamenti di sicurezza ricorrenti per l'istanza o le istanze. È possibile creare job che applicano gli aggiornamenti di Ksplice.

Job di sincronizzazione mirror che sincronizzano origini software con mirroring

Designare un'istanza come stazione di gestione. È quindi possibile creare job che garantiscano che la stazione di gestione distribuisca i pacchetti software e di sicurezza più recenti a qualsiasi istanza che utilizza tale stazione.

Report sulla sicurezza

Rivedere i report che forniscono informazioni sugli aggiornamenti della sicurezza, sugli aggiornamenti dei bug e sull'attività dell'istanza.

Servizio Oracle Ksplice

Oracle Ksplice fornisce patch di sicurezza e aggiornamenti automatici alle istanze Oracle Linux senza dover arrestare e riavviare le istanze.

Per ulteriori informazioni su Ksplice, vedere il manuale Oracle Linux: Ksplice User's Guide.

Funzioni di sicurezza

Funzioni di sicurezza di Oracle Ksplice

Funzione

descrizione;

Aggiornamenti automatici di Oracle Ksplice

Ksplice installa automaticamente le patch di sicurezza e gli aggiornamenti più recenti ai kernel Linux nelle tue istanze e senza tempi di inattività.

Patch correnti

Visualizzare le patch e gli aggiornamenti attualmente installati nelle istanze.

Aggiornamenti manuali

Se non desideri aggiornamenti automatici, installa manualmente le patch e gli aggiornamenti più recenti delle istanze su richiesta.

Kernels che sono attivamente mantenuti

Visualizza quali kernel vengono gestiti attivamente da Ksplice.