Protezione della gestione del sistema operativo

Per utilizzare la gestione del sistema operativo in modo sicuro, conoscere le responsabilità relative a sicurezza e conformità.

In generale, Oracle fornisce la sicurezza dell'infrastruttura e delle operazioni cloud, come i controlli di accesso degli operatori cloud e l'applicazione di patch di sicurezza dell'infrastruttura. Sei responsabile della configurazione sicura delle tue risorse cloud. La sicurezza nel cloud è una responsabilità condivisa tra te e Oracle.

Oracle è responsabile dei seguenti requisiti di sicurezza:

• Sicurezza fisica: Oracle è responsabile della protezione dell'infrastruttura globale che esegue tutti i servizi offerti in Oracle Cloud Infrastructure. Questa infrastruttura è costituita da hardware, software, networking e strutture che eseguono i servizi Oracle Cloud Infrastructure.

In questa pagina sono descritte le responsabilità in materia di sicurezza, che includono le aree riportate di seguito.

• Controllo dell'accesso: limitare il più possibile i privilegi. Agli utenti dovrebbe essere concesso solo l'accesso necessario per svolgere il proprio lavoro.
• Applicazione delle patch: mantenere il software aggiornato con le patch di sicurezza più recenti per prevenire le vulnerabilità.

Utilizzare questa lista di controllo per identificare le attività da eseguire per proteggere la gestione del sistema operativo in una nuova tenancy di Oracle Cloud Infrastructure.

Dopo aver iniziato a utilizzare la gestione del sistema operativo, utilizzare questa lista di controllo per identificare i task di sicurezza che si consiglia di eseguire regolarmente.

Utilizzare i criteri per limitare l'accesso alla gestione del sistema operativo.

Una policy specifica chi può accedere alle risorse di Oracle Cloud Infrastructure e come. Per ulteriori informazioni, vedere Funzionamento dei criteri.

Assegnare a un gruppo i privilegi minimi necessari per eseguire le proprie responsabilità. Ogni criterio ha un verbo che descrive le azioni che il gruppo può eseguire. Dal minimo accesso al massimo, i verbi disponibili sono: inspect, read, use e manage.

Per ulteriori informazioni sui criteri di gestione del sistema operativo e per visualizzare esempi, vedere Impostazione dei criteri IAM per la gestione del sistema operativo e Impostazione dei criteri IAM necessari per Autonomous Linux.

Rimuovere le origini software non necessarie per le istanze Oracle Linux.

Gestione sistema operativo utilizza origini software per fornire package alle istanze e per tenere traccia degli aggiornamenti disponibili per tali package. Le origini software standard vengono fornite nel compartimento radice della tenancy. Le origini software standard sono collegate ai repository standard a monte per il sistema operativo.

Quando la gestione del sistema operativo è abilitata per un'istanza, all'istanza viene aggiunto un set di origini software predefinite per il sistema operativo. È possibile rimuovere le origini software non necessarie per le istanze per ridurre al minimo il numero di pacchetti disponibili per l'istanza, riducendo così il footprint di installazione del pacchetto.

Per ulteriori informazioni sulla rimozione delle origini software, vedere Rimozione delle origini software.

È possibile ridurre ulteriormente il footprint di installazione dei pacchetti creando fonti software personalizzate. Per ulteriori informazioni sulle origini software personalizzate, vedere Origini software per Oracle Linux.

Impostare l'argomento di notifica per le istanze di Oracle Autonomous Linux

Dopo aver creato un'istanza di Oracle Autonomous Linux, impostare l'argomento di notifica per l'istanza utilizzando la console, l'interfaccia CLI o l'API. Autonomous Linux utilizza gli argomenti del servizio di notifiche per inviare notifiche su aggiornamenti ed eventi autonomi.

Per ulteriori informazioni, vedere Gestione delle impostazioni di Autonomous Linux.

Assicurarsi che le istanze gestite stiano eseguendo gli aggiornamenti di sicurezza più recenti.

Tenere aggiornato il software dell'istanza con le patch di sicurezza. Si consiglia di applicare periodicamente gli ultimi aggiornamenti software disponibili alle istanze. Per ulteriori informazioni, vedere Gestione di pacchetti Linux e Gestione di aggiornamenti Windows.

• Per le istanze Oracle Autonomous Linux, le tue istanze ricevono aggiornamenti giornalieri automatici, inclusi gli aggiornamenti Ksplice senza tempi di inattività per le librerie kernel, OpenSSL e glibc. Per ulteriori informazioni, vedere Panoramica di Autonomous Linux.
• Per le istanze Oracle Linux e Windows, pianificare job ricorrenti per attività quali l'installazione di tutti gli aggiornamenti dei pacchetti sui gruppi di istanze gestite (per Oracle Linux) e l'installazione di tutti gli aggiornamenti sui gruppi di istanze gestite (per Windows). Per informazioni sull'impostazione dei gruppi di istanze gestite, vedere Amministrazione dei gruppi di istanze gestite.

Eseguire regolarmente i report di conformità per assicurarsi che le istanze gestite abbiano installato gli aggiornamenti di sicurezza più recenti.

Utilizzando l'SDK Python con il servizio di gestione del sistema operativo, puoi eseguire un report sulla conformità alla sicurezza. Per un esempio di script Python che genera un report sulla conformità della sicurezza, in una tenancy o per compartimento, per tutte le istanze gestite a cui mancano gli aggiornamenti della sicurezza, vedere Utilizzo dell'SDK Python per generare report di conformità.