セキュリティのベスト・プラクティス
クラウド環境でOracle Linuxを使用する場合は、次のセキュリティのベスト・プラクティスに従ってください。
詳細は、Oracle Linux 9システム・セキュリティの拡張およびOracle Linux 8システム・セキュリティの拡張を参照してください。
|
ベスト・プラクティス |
説明 |
|---|---|
|
ソフトウェアのフットプリントを最小化して保護します |
クラウド環境では不要なコンポーネント、サービスおよび機能をアンインストールまたは無効化します。 オプションとして、Oracle LinuxシステムにベースOSのみをインストールすることを検討してください。 Oracle Cloudプラットフォーム・イメージを使用する場合は、ビジネス・ニーズを満たす最適なイメージ・タイプを選択します。
Oracle Cloudプラットフォーム・イメージの一部であるパッケージを定期的に確認して、パッケージがアクティブに使用されていることを確認してください。使用されていないパッケージを削除します。 |
|
ソフトウェアを最新状態に保つ |
ご使用の環境のOracle Linuxシステムにインストールされているソフトウェアを評価し、少なくとも週単位でセキュリティ更新を適用します。パッチの更新を定期的に確認し、最新のパッチをインストールします。追加のバグ修正や機能拡張を含む大規模な更新を実行するタイミングと頻度を決定します。 次のOracle Linuxクラウド・サービスを使用すると、ソフトウェアを最新の状態に保つことができます。
|
|
アクセス制限 |
中間層アプリケーションおよびデータベースをファイアウォールの内側に保持するか、IPアドレスによるアクセスを制限します。ファイアウォールを使用している場合は、ファイアウォール設定が制御されていることを確認し、これらの設定を定期的に確認します。仮想ファイアウォールを使用している場合は、インスタンスに適切なセキュリティ・リストを設定します。ネットワークを保護する方法およびセキュリティ・リストを参照してください。 |
|
認証メカニズムの制御および厳密なパスワード制限の強制 |
厳密なパスワード、鍵、証明書、およびトークンベースの認証を使用します。 |
|
最小ユーザー権限の付与 |
ユーザー権限を可能なかぎり制限します。作業の実行に必要なアクセス権のみをユーザーに付与します。 |
|
システムの動作状態をモニターします |
システム監査レコードの監査およびレビュー。 Kspliceは、Ksplice拡張クライアントがインストールされているシステムで、既知の脆弱性を検出する機能を提供します。詳細は、Kspliceユーザー・ガイドを参照してください。 |
|
最新のセキュリティ情報を最新の状態に保つ |
Oracle Linuxセキュリティ・メーリング・リストで重要なセキュリティのお知らせを監視します。「Oracleセキュリティ・アラートのサブスクライブ」を参照してください。 |
|
政府のセキュリティ標準および要件については、STIGイメージを使用します |
Oracle Linux STIGイメージを使用して、国防情報システム局(DISA)によって設定された特定のセキュリティ標準および要件に準拠するOracle Linuxインスタンスを作成します。これらのセキュリティ標準については、セキュリティ技術導入ガイド(STIG)で説明します。 詳細は、「STIGとは何ですか。」を参照してください。 |
Oracle Cloudには、Oracle Linuxで構築できるセキュリティを補完する追加サービスがあります。たとえば、ホストおよびコンテナ・イメージで潜在的なセキュリティ脆弱性を定期的にチェックするには、Oracle Cloud Infrastructure Vulnerability Scanning Serviceを使用できます。定義された基準に基づくリソースのグループ化など、アプリケーション・スタックの管理に役立つように、Oracle Fleet Application Management Serviceを使用できます。
脆弱性スキャンの概要およびフリート・アプリケーション管理の概要を参照してください。