セキュリティのベスト・プラクティス
クラウド環境でOracle Linuxを使用する場合は、次のセキュリティのベスト・プラクティスに従ってください。
詳細は、『Oracle Linux 10: システム・セキュリティの拡張』、『Oracle Linux 9: システム・セキュリティの拡張』および『Oracle Linux 8: システム・セキュリティの拡張』を参照してください。
|
ベスト・プラクティス |
説明 |
|---|---|
|
ソフトウェアのフットプリントを最小化して保護します |
特定のクラウド環境では不要なコンポーネント、サービスおよび機能をアンインストールまたは無効化します。 オプションとして、Oracle LinuxシステムにベースOSのみをインストールすることを検討してください。 Oracle Cloudプラットフォーム・イメージを使用する場合は、ビジネス要件を満たす最適なイメージ・タイプを選択します。
Oracle Cloudプラットフォーム・イメージの一部であるパッケージを定期的に確認し、パッケージがアクティブに使用されていることを確認します。使用されていないパッケージを削除します。 |
|
ソフトウェアを最新状態に保つ |
クラウド環境のOracle Linuxシステムにインストールされているソフトウェアを評価し、少なくとも週次でセキュリティ更新を適用します。パッチの更新を定期的に確認し、最新のパッチをインストールします。追加のバグ修正と機能拡張を含む大規模な更新を実行するタイミングと頻度を決定します。 次のOracle Linuxクラウド・サービスを使用すると、ソフトウェアを最新の状態に保つことができます。
|
|
アクセス制限 |
中間層アプリケーションおよびデータベースをファイアウォールの内側に保持するか、IPアドレスによるアクセスを制限します。ファイアウォールを使用している場合は、ファイアウォール設定が制御されていることを確認し、これらの設定を定期的に確認します。仮想ファイアウォールを使用している場合は、デプロイされたインスタンスに適切なセキュリティ・リストを設定します。ネットワークを保護する方法およびセキュリティ・リストを参照してください。 |
|
認証メカニズムの制御および厳密なパスワード制限の強制 |
厳密なパスワード、鍵、証明書、およびトークンベースの認証を使用します。 |
|
最小ユーザー権限の付与 |
ユーザー権限を可能なかぎり制限します。作業の実行に必要なアクセス権のみをユーザーに付与します。 |
|
システムの動作状態をモニターします |
システム監査レコードの監査およびレビュー。 Kspliceは、Ksplice拡張クライアントがインストールされているシステムで、既知の脆弱性を検出する機能を提供します。詳細は、Kspliceユーザー・ガイドを参照してください。 |
|
最新のセキュリティ情報を最新の状態に保つ |
Oracle Linuxセキュリティ・メーリング・リストで重要なセキュリティのお知らせを監視します。「Oracleセキュリティ・アラートのサブスクライブ」を参照してください。 |
|
政府のセキュリティ標準および要件については、STIGイメージを使用します |
Oracle Linux STIGイメージを使用して、国防情報システム局(DISA)によって設定された特定のセキュリティ標準および要件に準拠するOracle Linuxインスタンスを作成します。これらのセキュリティ標準は、セキュリティ技術導入ガイド(STIG)に記載されています。 詳細は、STIGとは何ですか。を参照してください。 |
Oracle Cloudのその他のサービスは、Oracle Linuxで構築できるセキュリティを補完します。たとえば、ホストおよびコンテナ・イメージで潜在的なセキュリティ脆弱性を定期的にチェックするには、Oracle Cloud Infrastructure Vulnerability Scanning Serviceの使用を検討してください。定義された基準に基づいてリソースをグループ化するなど、アプリケーション・スタックの管理に役立つように、Oracle Fleet Application Management Serviceを使用できます。
脆弱性スキャンの概要およびフリート・アプリケーション管理の概要を参照してください。