Protezione dell'hub di gestione del sistema operativo
Hub di gestione del sistema operativo gestisce, monitora e controlla il contenuto del software del sistema operativo delle istanze, assicurandosi che siano aggiornate con le patch di sicurezza più recenti. Attenersi alle procedure ottimali di sicurezza riportate di seguito per proteggere l'hub di gestione del sistema operativo.
Responsabilità di sicurezza
Per utilizzare l'hub di gestione del sistema operativo in modo sicuro, conoscere le responsabilità in materia di sicurezza e conformità.
In generale, Oracle fornisce la sicurezza dell'infrastruttura e delle operazioni cloud, come i controlli di accesso degli operatori cloud e l'applicazione di patch di sicurezza dell'infrastruttura. Sei responsabile della configurazione sicura delle tue risorse cloud. La sicurezza nel cloud è una responsabilità condivisa tra te e Oracle.
Oracle è responsabile dei seguenti requisiti di sicurezza:
- Sicurezza fisica: Oracle è responsabile della protezione dell'infrastruttura globale che esegue tutti i servizi offerti in Oracle Cloud Infrastructure. Questa infrastruttura è costituita da hardware, software, networking e strutture che eseguono i servizi Oracle Cloud Infrastructure.
In questa pagina sono descritte le responsabilità di sicurezza dell'utente, che includono le aree riportate di seguito.
- Controllo dell'accesso: limitare il più possibile i privilegi. Agli utenti dovrebbe essere concesso solo l'accesso necessario per svolgere il proprio lavoro.
- Applicazione delle patch: mantenere il software aggiornato con le patch di sicurezza più recenti per prevenire le vulnerabilità.
Task di sicurezza iniziali
Utilizzare questa lista di controllo per identificare i task eseguiti per proteggere l'hub di gestione del sistema operativo in una nuova tenancy di Oracle Cloud Infrastructure.
| Attività | Ulteriori informazioni |
|---|---|
| Utilizzare i criteri IAM per concedere l'accesso a utenti e risorse | Criteri hub di gestione del sistema operativo |
| Configurare i gruppi per controllare l'accesso al servizio | Gruppo utente |
| Aggiungere al servizio solo le origini software necessarie | Selezione delle origini software |
| Utilizzare i profili per controllare le origini software collegate a un'istanza | Selezione delle origini software |
| Configura sincronizzazioni mirror regolari per le stazioni di gestione | Sincronizzazione mirroring |
Task di protezione di routine
Dopo aver iniziato a utilizzare l'hub di gestione del sistema operativo, utilizzare questa lista di controllo per identificare i task di sicurezza che si consiglia di eseguire regolarmente.
| Attività | Ulteriori informazioni |
|---|---|
| Applicare le patch di sicurezza più recenti | Applicare patch al software. |
| Utilizzare Ksplice per applicare gli aggiornamenti di sicurezza | Applicare patch al software. |
| Monitora lo stato di sincronizzazione del mirror e crea job di sincronizzazione | Sincronizzazione mirroring |
| Rimuovi package non necessari nelle istanze | Rimozione dei package non necessari |
| Esaminare i report per verificare la conformità alla sicurezza | Analisi dei report |
Criteri IAM
Utilizzare i criteri per limitare l'accesso all'hub di gestione del sistema operativo.
Vedere Criteri di OS Management Hub.
Selezione delle origini software
Aggiungere al servizio solo il numero minimo di origini software del fornitore necessarie. Quando si creano origini software personalizzate, utilizzare i filtri o specificare un elenco di pacchetti per ridurre ulteriormente il contenuto disponibile per le istanze. Includere solo i pacchetti necessari per supportare il carico di lavoro.
Quando si crea un profilo di origine software, includere solo le origini software richieste. Ciò riduce al minimo il numero di pacchetti disponibili per l'istanza, riducendo il footprint di installazione del pacchetto. Analogamente, quando si crea un gruppo o un ambiente del ciclo di vita, collegare solo il set minimo di origini software necessario.
Quando si aggiunge origini di terze parti o private, utilizzare il protocollo https per gli URL del repository e le chiavi GPG per convalidare il contenuto al momento dell'installazione. Vedere URL repository e chiave GPG.
Sincronizzazione mirroring
Sincronizza regolarmente le origini software in mirroring per garantire che la stazione di gestione distribuisca i pacchetti software più recenti alle istanze.
Per impostazione predefinita, un job di sincronizzazione dei mirror viene eseguito una volta alla settimana. Regola questa frequenza in base ai tuoi requisiti di sicurezza. È possibile modificare la pianificazione della sincronizzazione del mirror in base alle esigenze. Inoltre, monitorare lo stato delle sincronizzazioni dei mirror della stazione di gestione ed eseguire un job di sincronizzazione dei mirror su richiesta in qualsiasi momento.
Applicazione di patch al software
Assicurarsi che le istanze gestite stiano eseguendo gli aggiornamenti di sicurezza più recenti.
Mantenere aggiornato il software dell'istanza con le patch di sicurezza. Si consiglia di applicare periodicamente gli ultimi aggiornamenti software disponibili alle istanze registrate nell'hub di gestione del sistema operativo. Valutare la possibilità di utilizzare più job di aggiornamento per mantenere aggiornate le istanze.
- Creazione di job di aggiornamento
-
Per assicurarsi che le istanze ricevano aggiornamenti regolari, è possibile creare un job per pianificare aggiornamenti ricorrenti. Vedere:
- Esecuzione degli aggiornamenti di Ksplice
-
Usa Oracle Ksplice per applicare patch di sicurezza critiche ai kernel sulle istanze di Oracle Linux senza richiedere un riavvio. Ksplice aggiorna anche le librerie di spazi utente glibc e OpenSSL, applicando patch di sicurezza critiche senza interrompere i carichi di lavoro. Crea un job di aggiornamento ricorrente che applica gli aggiornamenti Ksplice.
Rimozione dei pacchetti non necessari
Rimuovere i pacchetti non necessari dalle istanze per ridurre il footprint di installazione e prevenire potenziali problemi di sicurezza.
La rimozione di un'origine software non rimuove i pacchetti installati dall'origine software. Si supponga, ad esempio, di passare da UEK R6 a UEK R7. Aggiungere l'origine software per UEK R7, quindi rimuovere l'origine software per UEK R6. Tutti i pacchetti UEK R6 installati rimangono nel sistema. Tali pacchetti, tuttavia, non vengono più aggiornati perché l'origine software è stata rimossa e quindi potrebbe apparire nelle scansioni di sicurezza.
Per ulteriori informazioni sulla rimozione dei pacchetti, vedere:
Analisi dei report
OS Management Hub genera report per aggiornamenti di sicurezza, aggiornamenti di bug e attività dell'istanza. Rivedere questi report per identificare eventuali istanze non aggiornate. Vedere Visualizzazione dei report.