Documentação do Oracle Cloud Infrastructure

Imagem do Oracle Linux STIG

A Imagem do Oracle Linux STIG é uma implementação do Oracle Linux que segue o Security Technical Implementation Guide (STIG).

A imagem do Oracle Linux STIG é lançada no Oracle Cloud Marketplace. No Marketplace, pesquise as listagens do Oracle Linux STIG e selecione a imagem do Oracle Linux STIG com o perfil desejado.

Com a imagem do STIG, você pode configurar uma instância do Oracle Linux 7 no Oracle Cloud Infrastructure que segue determinados padrões e requisitos de segurança definidos pela DISA (Defense Information Systems Agency).

Observação

A Oracle atualiza a Imagem do Oracle Linux STIG regularmente com os últimos relatórios de erros de segurança. Este documento é atualizado sempre que o benchmark do STIG é alterado ou quando alterações na orientação de segurança exigem configuração manual da imagem. Consulte Histórico de Revisão para Imagens do Oracle Linux STIG para obter alterações específicas feitas em cada versão.
Importante

Quaisquer alterações feitas em uma instância de Imagem do Oracle Linux STIG (como instalar outros aplicativos ou modificar as definições da configuração) podem impactar a pontuação da conformidade. Após fazer qualquer alteração, verifique a instância novamente para verificar a conformidade

O que é um STIG?

Um STIG (Security Technical Implementation Guide) é um documento escrito pela DISA (Defense Information Systems Agency). Ele fornece orientação sobre como configurar um sistema para atender aos requisitos de segurança cibernética para implantação nos sistemas de rede de TI do Departamento de Defesa (DoD). Os requisitos do STIG ajudam a proteger a rede contra ameaças de segurança cibernética, concentrando-se na infraestrutura e na segurança da rede para atenuar vulnerabilidades. A conformidade com STIGs é uma exigência para as agências DoD, ou qualquer organização que faz parte das redes de informações DoD (DoDIN).

A imagem do Oracle Linux STIG ajuda a automatizar a conformidade fornecendo uma versão protegida da imagem padrão do Oracle Linux. A imagem é protegida para seguir as diretrizes do STIG. No entanto, a imagem não pode atender a todos os requisitos do STIG e pode exigir remediação manual adicional.

Download do STIG Mais Recente

A DISA fornece atualizações trimestrais para os STIGs. Esta documentação foi criada usando o STIG mais recente disponível no momento da publicação. No entanto, sempre use o STIG mais recente ao avaliar seu sistema.

Faça download do mais recente no STIG https://public.cyber.mil/stigs/downloads/. Procure o Oracle Linux e faça download do arquivo zip apropriado.

Opcionalmente, use o Visualizador de STIG da DISA em https://public.cyber.mil/stigs/srg-stig-tools/. Em seguida, importe no arquivo xccdf.xml do STIG para exibir as regras do STIG.

Como é avaliada a conformidade com STIG?

A avaliação de conformidade geralmente começa com uma verificação usando uma ferramenta de verificação de conformidade com o SCAP (Security Content Automation Protocol). A ferramenta usa um STIG (transferido por upload no formato SCAP) para analisar a segurança de um sistema. No entanto, nem sempre a ferramenta testa todas as regras dentro de um STIG e alguns STIGs podem não ter versões de SCAP. Nesses casos, um auditor precisa verificar a conformidade do sistema manualmente, passando pelas regras do STIG não cobertas pela ferramenta.

As seguintes ferramentas estão disponíveis para automatizar a avaliação de conformidade:

  • SCAP Compliance Checker (SCC): Uma ferramenta desenvolvida pela DISA que pode executar uma avaliação usando o Benchmark DISA STIG ou um perfil upstream OpenSCAP. Geralmente, o Benchmark DISA STIG é usado para verificação de conformidade ao usar a ferramenta SCC.

    Importante

    Para escanear a arquitetura Arm (aarch64), use o SCC versão 5.5 ou posterior.

  • OpenSCAP: Um utilitário open source disponível por meio de yum que pode executar uma avaliação usando o Benchmark DISA STIG ou um perfil de upstream OpenSCAP. O Oracle Linux distribui um pacote SSG (SCAP Security Guide) que contém perfis específicos da release do sistema. Por exemplo, o arquivo SCAP datastream ssg-ol7-ds.xml fornecido pelo pacote SSG inclui o STIG DISA para perfil Oracle Linux 7. Uma vantagem de usar a ferramenta OpenSCAP é que o SSG fornece scripts Bash ou Ansible para automatizar a remediação e levar o sistema a um estado de conformidade.

    Cuidado

    A correção automática usando scripts pode levar a uma configuração de sistema indesejada ou tornar um sistema não funcional. Testar os scripts de remediação em um ambiente de não produção.

Consulte Verificando Novamente uma Instância para Conformidade para mais informações sobre como executar as ferramentas de conformidade e gerar um relatório de verificação.

Destinos de Conformidade

A imagem do Oracle Linux STIG contém correções adicionais para regras não tratadas pelo Benchmark do DISA STIG. Use o perfil "STIG" do SSG alinhado com o DISA STIG para Oracle Linux para estender a automação nas regras não tratadas anteriormente e determinar a conformidade com o DISA STIG completo.

Dois arquivos de lista de verificação do Visualizador DISA STIG são fornecidos com a imagem, que são baseados nos resultados de varredura do SCC e OpenSCAP. A lista de verificação do Benchmark DISA STIG usa os resultados da varredura SCC, enquanto a lista de verificação do perfil "STIG" SSG usa os resultados da varredura OpenSCAP. Essas listas de verificação contêm comentários da Oracle para áreas da imagem que não atendem à orientação. Consulte Usando a Lista de Verificação para Exibir Configurações Adicionais.

Observação

Os maiores escores de conformidade para o Benchmark DISA STIG refletem um escopo de regras mais limitado em comparação com o DISA STIG completo. No entanto, o perfil SSG "STIG" é responsável por todo o DISA STIG, proporcionando uma avaliação mais abrangente da conformidade da imagem.

Oracle Linux 8

Imagens do Oracle Linux 8 STIG seguem os padrões e são reforçadas de acordo com o Oracle Linux 8 DISA STIG. Para a versão mais recente da Imagem do Oracle Linux 8 STIG, o alvo de conformidade é o DISA STIG para Oracle Linux 8 Ver 2, Rel 4. O pacote scap-security-guide (mínimo 0.1.76-1.0.3) disponível por meio dos yum contém o perfil "STIG" SSG alinhado com DISA STIG para Oracle Linux 8 Ver 2, Rel 4.

Informações de Conformidade para imagens do Oracle Linux 8.10 de junho de 2025 STIG:

Destino: perfil SSG "STIG" alinhado com a DISA STIG para Oracle Linux 8 Ver 2, Rel 4

  • Pontuação de Conformidade da Lista de Verificação para x86_64: 79,94%
  • Pontuação de Conformidade da Lista de Verificação para aarch64: 79,87%

Destino: DISA STIG para os perfis dos Benchmarks do Oracle Linux 8 Ver 2, Rel 4

  • Pontuação de Conformidade da Lista de Verificação para x86_64: 84,26%
  • Pontuação de Conformidade da Lista de Verificação para aarch64: 84,26%

Oracle Linux 7 (suporte estendido)

As imagens do Oracle Linux 7 STIG seguem os padrões de segurança da DISA e são protegidas de acordo com o Oracle Linux 7 DISA STIG. Para a release mais recente da Imagem do Oracle Linux 7 STIG, o destino de conformidade fez a transição para o DISA STIG Ver 3, Rel 1. O pacote scap-security-guide (mínimo 0.1.73-1.0.3) disponível por meio do yum contém o perfil "STIG" do SSG alinhado com o DISA STIG para o Oracle Linux 7 Versão 3, Versão 1.

Informações de Conformidade para imagens do Oracle Linux 7.9 de fevereiro de 2025 STIG:

Destino: perfil SSG "STIG" alinhado com a DISA STIG para Oracle Linux 7 Ver 3, Rel 1

  • Pontuação de Conformidade da Lista de Verificação x86_64: 81,65%
  • Pontuação de Conformidade da Lista de Verificação aarch64: 81,65%

Destino: DISA STIG para Oracle Linux 7 Ver 3, Rel 1 Perfil de Benchmark

  • Pontuação de Conformidade da Lista de Verificação x86_64: 91,71%
  • Pontuação de Conformidade da Lista de Verificação aarch64: 91,71%
Observação

O padrão STIG do DISA não teve alterações significativas, além da redação, entre Oracle Linux 7 Ver 3, Rel 1 e Oracle Linux 7 Ver 2, Rel 14. Devido a isso, qualquer sistema compatível com o Oracle Linux 7 Ver 2, o Rel 14 também é compatível com o Oracle Linux 7 Ver 3, Rel 1.