Ferramenta STIG (Security Technical Implementation Guide) para o Sistema de Banco de Dados

Este artigo descreve a ferramenta STIG, um script Python, para Sistemas de BD provisionados com o Oracle Linux 7.

Um Guia de Implementação Técnica de Segurança (STIG) é um documento escrito pela Defense Information Systems Agency (DISA) que fornece orientação sobre a configuração de um sistema para atender aos padrões de segurança cibernética para implantação nos sistemas de rede de TI do Departamento de Defesa (DoD). Os requisitos do STIG ajudam a proteger a rede contra ameaças de segurança cibernética, concentrando-se na infraestrutura e na segurança da rede para atenuar vulnerabilidades.

A ferramenta STIG, um script Python, é usada para garantir a conformidade de segurança com o DISA STIG para Oracle Linux 7. Esta ferramenta:

  • torna a imagem base do Sistema de BD compatível com o STIG do Oracle Linux 7,
  • incorpora determinadas regras do STIG ao sistema que podem ser ativadas após o provisionamento quando necessário para atender aos requisitos de conformidade de segurança,
  • categoriza as regras incorporadas, permitindo que você exiba e monitore as regras nas seguintes categorias:

    • Regras estáticas que são incluídas na imagem base,
    • Regras DoD que são opcionalmente ativadas após provisionamento quando necessário para atender aos EUA. padrões de conformidade do Departamento de Defesa e
    • Regras de Runtime que são ativadas após o provisionamento quando necessário e devem ser usadas por todos os usuários que precisam fortalecer a segurança para Sistemas de Banco de Dados (incluindo usuários fora dos EUA). Departamento de Defesa),
  • fornece um recurso de rollback, permitindo que você faça rollback de um Sistema de BD para um estado sem modificações de configuração feitas pelo script e
  • fornece um recurso de verificação de conformidade, permitindo que você veja quantas regras foram especificadas com sucesso pelo Sistema de BD.

Adquirir a Ferramenta STIG

A ferramenta STIG é fornecida a todos os Sistemas de BD recém- provisionados. A ferramenta STIG é fornecida no seguinte local do diretório do sistema operacional nos nós do Sistema de Banco de Dados: /opt/oracle/dcs/bin/dbcsstig

As versões atualizadas da ferramenta STIG estarão disponíveis para download no OTN (Oracle Technology Network). As versões atualizadas da ferramenta STIG também são fornecidas quando você atualiza o agente do Sistema de BD.

Usar a Ferramenta STIG

Use a seguinte sintaxe da ferramenta STIG:
dbcsstig --<operation><category>
Por exemplo:
dbcsstig --fix dod

Referência de Comando

Operações

Tabela - Operações

Parâmetro de Operação Definição
--check, -c Verifica a conformidade com as regras incluídas na categoria especificada.
--fix, -f Aplica correções para regras incluídas na categoria especificada.
--rollback, -rb Faz rollback das alterações de configuração do sistema implementadas pela ferramenta STIG.
--version, -v Fornece informações de versão para o script da ferramenta STIG.
--help, -h Fornece informações de ajuda da linha de comando.

Categorias de Regra

Tabela - Categorias de Regra

Parâmetro da Categoria Definição
static Para especificar regras incluídas na imagem base do Sistema de BD.
dod Para especificar as regras necessárias para conformidade com o DISA STIG para Oracle Linux 7.
runtime Para especificar regras ativadas após o provisionamento para hardening de segurança geral.
all Para especificar todas as regras.