Imagem do Oracle Linux STIG
A Imagem do Oracle Linux STIG é uma implementação do Oracle Linux que segue o Security Technical Implementation Guide (STIG).
A imagem do Oracle Linux STIG é lançada no Oracle Cloud Marketplace. No Marketplace, pesquise as listagens do Oracle Linux STIG e selecione a imagem do Oracle Linux STIG com o perfil que atende aos requisitos de negócios.
Com a imagem do STIG, uma instância do Oracle Linux no Oracle Cloud Infrastructure é configurada para seguir os padrões e requisitos de segurança definidos pela DISA (Defense Information Systems Agency).
- Sobre STIGs
- Avaliando a Conformidade com STIG
- Destinos de Conformidade
- Aplicando Remediações
- Verificando Novamente a Conformidade de uma Instância
- Histórico de Revisão para Imagens do Oracle Linux STIG
A Oracle atualiza a Imagem do Oracle Linux STIG regularmente com os últimos relatórios de erros de segurança. Este documento é atualizado sempre que o benchmark do STIG é alterado ou quando alterações na orientação de segurança exigem configuração manual da imagem. Consulte Histórico de Revisão para Imagens do Oracle Linux STIG para obter alterações específicas feitas em cada versão.
Quaisquer alterações feitas em uma instância da Imagem do Oracle Linux STIG (como instalar outros aplicativos ou alterar as definições de configuração) podem afetar a pontuação de conformidade. Após fazer alterações, verifique a instância novamente para confirmar a conformidade.
Sobre STIGs
Um STIG (Security Technical Implementation Guide) é um documento escrito pela DISA (Defense Information Systems Agency). Ele fornece orientação sobre como configurar um sistema para atender aos requisitos de segurança cibernética para implantação nos sistemas de rede de TI do Departamento de Defesa (DoD). Os requisitos da STIG protegem a rede contra ameaças à segurança cibernética, concentrando-se na infraestrutura e segurança de rede para mitigar possíveis vulnerabilidades. A conformidade com STIGs é uma exigência para as agências DoD, ou qualquer organização que faz parte das redes de informações DoD (DoDIN).
A imagem STIG do Oracle Linux automatiza a conformidade fornecendo uma versão protegida da imagem padrão do Oracle Linux que segue as diretrizes STIG. No entanto, a imagem selecionada ainda pode exigir reparação manual adicional para atender a todos os requisitos do STIG.
Download do STIG Mais Recente
DISA fornece atualizações trimestrais para documentos STIG. O conteúdo fornecido pela Oracle segue os documentos STIG mais recentes disponíveis no momento da publicação. Recomendamos que você faça download e siga os arquivos zip STIG mais recentes ao avaliar os sistemas implantados para conformidade.
Para fazer download dos documentos STIG mais recentes, consulte https://public.cyber.mil/stigs/downloads/. Procure o Oracle Linux e faça download do arquivo zip apropriado.
Opcionalmente, use o Visualizador DISA STIG fornecido em https://public.cyber.mil/stigs/srg-stig-tools/. Em seguida, importe no arquivo xccdf.xml do STIG para exibir as regras do STIG.
Avaliando a Conformidade com STIG
A avaliação de conformidade geralmente começa com uma verificação usando uma ferramenta de verificação de conformidade SCAP (Security Content Automation Protocol) que usa um STIG (uploaded in SCAP format) para analisar a segurança de um sistema. Uma auditoria manual adicional é necessária para cobertura total de conformidade, porque as ferramentas SCAP nem sempre testam todas as regras em um STIG e alguns STIGs podem não ter sido publicados no formato SCAP.
As seguintes ferramentas estão disponíveis para automatizar a avaliação de conformidade:
- Verificador de Conformidade SCAP (SCC)
-
Uma ferramenta desenvolvida pela DISA que pode executar uma avaliação usando o Benchmark DISA STIG ou um perfil upstream OpenSCAP. Geralmente, o Benchmark DISA STIG é usado para verificação de conformidade ao usar a ferramenta SCC.
Importante
Para escanear a arquitetura Arm (aarch64), use o SCC versão 5.5 ou posterior. - OpenSCAP
-
Um utilitário de código aberto fornecido por meio de canais de software do Oracle Linux que podem executar uma avaliação usando o Benchmark DISA STIG ou um perfil upstream OpenSCAP. O Oracle Linux distribui um pacote SSG (SCAP Security Guide) que contém perfis específicos da release do sistema. Por exemplo, o arquivo SCAP datastream
ssg-ol7-ds.xmlfornecido pelo pacote SSG inclui o STIG DISA para os perfis do Oracle Linux 7. Uma vantagem de usar a ferramenta OpenSCAP é que o SSG fornece scripts para automatizar a remediação e levar o sistema a um estado de conformidade.Cuidado
A correção automática usando scripts pode levar a uma configuração de sistema indesejada ou tornar um sistema não funcional. Testar os scripts de remediação em um ambiente de não produção.
Consulte Verificando Novamente uma Instância para Conformidade para mais informações sobre como executar as ferramentas de conformidade e gerar um relatório de verificação.
Destinos de Conformidade
A imagem do Oracle Linux STIG contém correções adicionais para regras não tratadas pelo Benchmark do DISA STIG. Use o perfil "STIG" do SSG alinhado com o DISA STIG para Oracle Linux para estender a automação nas regras não resolvidas e confirmar a conformidade do sistema em relação ao DISA STIG completo.
Dois arquivos de lista de verificação do Visualizador DISA STIG são fornecidos com a imagem, que são baseados nos resultados de varredura do SCC e OpenSCAP. A lista de verificação do Benchmark DISA STIG usa os resultados da varredura SCC, enquanto a lista de verificação do perfil "STIG" SSG usa os resultados da varredura OpenSCAP. Essas listas de verificação contêm comentários da Oracle para áreas da imagem que não atendem à orientação. Consulte Usando a Lista de Verificação para Exibir Mais Configurações.
Os maiores escores de conformidade para o Benchmark DISA STIG refletem um escopo de regras mais limitado em comparação com o DISA STIG completo. No entanto, o perfil "STIG" do SSG é responsável pelo DISA STIG completo, fornecendo uma avaliação mais abrangente da conformidade com o STIG de uma imagem.
Oracle Linux 8
Imagens do Oracle Linux 8 STIG seguem os padrões e são reforçadas de acordo com o Oracle Linux 8 DISA STIG. Para a versão mais recente da Imagem do Oracle Linux 8 STIG, o alvo de conformidade é o DISA STIG para Oracle Linux 8 Ver 2, Rel 4. O pacote scap-security-guide (mínimo de 0.1.76-1.0.3) fornecido por meio dos canais de software Oracle Linux contém o perfil "STIG" de SSG alinhado com o DISA STIG para Oracle Linux 8 Ver 2, Rel 4.
- Informações de Conformidade para imagens do Oracle Linux 8.10 de junho de 2025 STIG:
-
Destino: perfil SSG "STIG" alinhado com a DISA STIG para Oracle Linux 8 Ver 2, Rel 4
- Pontuação de Conformidade da Lista de Verificação para x86_64: 79,94%
- Pontuação de Conformidade da Lista de Verificação para aarch64: 79,87%
Destino: DISA STIG para os perfis dos Benchmarks do Oracle Linux 8 Ver 2, Rel 4
- Pontuação de Conformidade da Lista de Verificação para x86_64: 84,26%
- Pontuação de Conformidade da Lista de Verificação para aarch64: 84,26%
Oracle Linux 7 (suporte estendido)
As imagens do Oracle Linux 7 STIG seguem os padrões de segurança da DISA e são protegidas de acordo com o Oracle Linux 7 DISA STIG. Para a release mais recente da Imagem do Oracle Linux 7 STIG, o destino de conformidade fez a transição para o DISA STIG Ver 3, Rel 1. O pacote scap-security-guide (mínimo de 0.1.73-1.0.3) fornecido por meio dos canais de software Oracle Linux contém o perfil "STIG" de SSG alinhado com o DISA STIG para o Oracle Linux 7 Versão 3, Versão 1.
- Informações de Conformidade para imagens do Oracle Linux 7.9 de fevereiro de 2025 STIG:
-
Destino: perfil SSG "STIG" alinhado com a DISA STIG para Oracle Linux 7 Ver 3, Rel 1
- Pontuação de Conformidade da Lista de Verificação x86_64: 81,65%
- Pontuação de Conformidade da Lista de Verificação aarch64: 81,65%
Destino: DISA STIG para Oracle Linux 7 Ver 3, Rel 1 Perfil de Benchmark
- Pontuação de Conformidade da Lista de Verificação x86_64: 91,71%
- Pontuação de Conformidade da Lista de Verificação aarch64: 91,71%
Observação
O padrão STIG do DISA não teve alterações significativas, além da redação, entre Oracle Linux 7 Ver 3, Rel 1 e Oracle Linux 7 Ver 2, Rel 14. Devido a isso, qualquer sistema compatível com o Oracle Linux 7 Ver 2, o Rel 14 também é compatível com o Oracle Linux 7 Ver 3, Rel 1.
Criando uma Instância e Estabelecendo Conexão com Ela
Consulte Criando uma Instância e Acessando uma Instância.
Imagens disponíveis:
Mais Informações
Para obter mais informações sobre a Imagem do Oracle Linux STIG, consulte os seguintes recursos:
-
Recursos do Departamento de Defesa na web em https://public.cyber.mil/.
-
Catálogo do STIG em https://public.cyber.mil/stigs/.
-
Catálogo do SCAP em https://public.cyber.mil/stigs/scap/.