Oracle Linuxセキュリティー
これらのセキュリティのベスト・プラクティスに従うことで、クラウド環境でOracle Linuxを安全に使用できます。Oracle Linuxには、自動ソフトウェア更新の実行、バグ修正のインストール、およびクリティカル・イベントのインスタンスの監視を行う複数のクラウド・サービスもあります。
セキュリティのベスト・プラクティス
クラウド環境でOracle Linuxを使用する場合は、次のセキュリティのベスト・プラクティスに従ってください。
詳細は、Oracle Linux 9システム・セキュリティの強化およびOracle Linux 8システム・セキュリティの強化を参照してください。
|
ベスト・プラクティス |
説明 |
|---|---|
|
ソフトウェアのフットプリントを最小化して保護します |
クラウド環境では不要なコンポーネント、サービスおよび機能をアンインストールまたは無効化します。 オプションとして、Oracle LinuxシステムにベースOSのみをインストールすることを検討してください。 Oracle Cloudプラットフォーム・イメージを使用する場合は、ビジネス・ニーズを満たす最適なイメージ・タイプを選択します。
Oracle Cloudプラットフォーム・イメージの一部であるパッケージを定期的に確認して、パッケージがアクティブに使用されていることを確認してください。使用されていないパッケージを削除します。 |
|
ソフトウェアを最新状態に保つ |
ご使用の環境のOracle Linuxシステムにインストールされているソフトウェアを評価し、少なくとも週単位でセキュリティ更新を適用します。パッチの更新を定期的に確認し、最新のパッチをインストールします。追加のバグ修正や機能拡張を含む大規模な更新を実行するタイミングと頻度を決定します。 次のOracle Linuxクラウド・サービスを使用すると、ソフトウェアを最新の状態に保つことができます。
|
|
アクセス制限 |
中間層アプリケーションおよびデータベースをファイアウォールの内側に保持するか、IPアドレスによるアクセスを制限します。ファイアウォールを使用している場合は、ファイアウォール設定が制御されていることを確認し、これらの設定を定期的に確認します。仮想ファイアウォールを使用している場合は、インスタンスに適切なセキュリティ・リストを設定します。ネットワークを保護する方法およびセキュリティ・リストを参照してください。 |
|
認証メカニズムの制御および厳密なパスワード制限の強制 |
厳密なパスワード、鍵、証明書、およびトークンベースの認証を使用します。 |
|
最小ユーザー権限の付与 |
ユーザー権限を可能なかぎり制限します。作業の実行に必要なアクセス権のみをユーザーに付与します。 |
|
システムの動作状態をモニターします |
システム監査レコードの監査およびレビュー。 Kspliceは、Ksplice拡張クライアントがインストールされているシステムで、既知の脆弱性を検出する機能を提供します。詳細は、Kspliceユーザー・ガイドを参照してください。 |
|
最新のセキュリティ情報を最新の状態に保つ |
Oracle Linuxセキュリティ・メーリング・リストで重要なセキュリティのお知らせを監視します。「Oracleセキュリティ・アラートのサブスクライブ」を参照してください。 |
|
政府のセキュリティ標準および要件については、STIGイメージを使用します |
Oracle Linux STIGイメージを使用して、国防情報システム局(DISA)によって設定された特定のセキュリティ標準および要件に準拠するOracle Linuxインスタンスを作成します。これらのセキュリティ標準については、セキュリティ技術導入ガイド(STIG)で説明します。 詳細は、STIGとは何ですか。を参照してください。 |
Oracle Cloudには、Oracle Linuxで構築できるセキュリティを補完する追加サービスがあります。たとえば、ホストおよびコンテナ・イメージで潜在的なセキュリティ脆弱性を定期的にチェックするには、Oracle Cloud Infrastructure Vulnerability Scanning Serviceを使用できます。定義された基準に基づくリソースのグループ化など、アプリケーション・スタックの管理に役立つように、Oracle Fleet Application Management Serviceを使用できます。
脆弱性スキャンの概要およびフリート・アプリケーション管理の概要を参照してください。
セキュリティーのための Oracle Linuxサービス
Oracle Linuxには、クラウド環境でOracle Linuxインスタンスを保護するのに役立つ複数のサービスが用意されています。
Oracle Autonomous Linuxサービス
Autonomous Linuxは、Oracle Linuxインスタンスに対して毎日の自動セキュリティ更新を実行し、クリティカル・イベントのインスタンスをモニターします。
詳細は、Autonomous Linuxの概要を参照してください。
セキュリティ機能
|
機能 |
説明 |
|---|---|
|
Oracle Autonomous Linuxイメージを使用するインスタンスは、セキュリティの脆弱性に対応する使用可能なパッケージおよびパッチで毎日自動的に更新されます。これらの更新には、カーネル、OpenSSLおよびglibcライブラリに対する停止時間なしのKspliceパッチが含まれる場合があります。これらの日次更新の実行時間を変更できます。 |
|
|
インスタンスのセキュリティ・アドバイザをリストし、インスタンスがセキュリティ・パッチの最新であるかどうかを示す、フィルタ可能なレポートを表示します。 |
|
|
インスタンスでエクスプロイト検出イベントが発生した場合は、イベントの詳細、そのログ・ファイルおよびイベントに関するスタック・トレース情報を確認します。 |
|
|
インスタンスでセキュリティ・イベントが発生したときに通知されるように選択します。これを行うには、インスタンスの通知トピックを設定します。 |
OS管理ハブ・サービス
OS管理ハブを使用すると、一元化された管理コンソールから、クラウド環境のOracle Linuxインスタンス全体の更新をモニターおよび管理できます。
詳細は、OS管理ハブの概要を参照してください。
セキュリティ機能
|
機能 |
説明 |
|---|---|
|
ポリシーおよびグループを使用して、ユーザーおよびクラウド・リソースへのアクセスを制限します。 |
|
|
ソフトウェア・ソース(リポジトリ)の数を制御し、OS管理ハブに登録されているインスタンスで使用可能なソフトウェア・パッケージを指定します。 |
|
|
スタンドアロン・インスタンスまたはコンパートメント内のすべてのスタンドアロン・インスタンスのパッチ適用更新をスケジュールするジョブ |
インスタンスまたはインスタンスの定期的なセキュリティ更新をスケジュールするジョブを作成します。Ksplice更新を適用するジョブを作成できます。 |
|
ミラー化されたソフトウェアソースを同期するミラー同期ジョブ |
インスタンスを管理ステーションに指定します。その後、管理ステーションがそのステーションを使用するすべてのインスタンスに最新のソフトウェアおよびセキュリティ・パッケージを確実に配布するジョブを作成できます。 |
|
セキュリティ更新、バグ更新およびインスタンス・アクティビティに関する情報を提供するレポートをレビューします。 |
Oracle Kspliceサービス
Oracle Kspliceは、インスタンスの停止および再起動を必要とせずに、Oracle Linuxインスタンスに自動セキュリティ・パッチおよび更新を提供します。
Kspliceの詳細は、『Oracle Linux Kspliceユーザーズ・ガイド』を参照してください。
セキュリティ機能
|
機能 |
説明 |
|---|---|
|
Kspliceは、インスタンス上のLinuxカーネルに対する最新のセキュリティ・パッチおよび更新を自動的にダウンタイムなしでインストールします。 |
|
|
インスタンスに現在インストールされているパッチおよび更新を表示します。 |
|
|
自動更新が必要ない場合は、最新のパッチおよび更新をオンデマンドでインスタンスに手動でインストールします。 |
|
|
Kspliceによってアクティブにメンテナンスされているカーネルを表示します。 |