Protegendo o Serviço OS Management

Para usar o OS Management Hub de forma segura, saiba mais sobre suas responsabilidades de segurança e conformidade.

Em geral, a Oracle fornece segurança de infraestrutura e operações na nuvem, como controles de acesso do operador de nuvem e aplicação de patch de segurança da infraestrutura. Você é responsável por configurar com segurança seus recursos de nuvem. A segurança na nuvem é uma responsabilidade compartilhada entre você e a Oracle.

A Oracle é responsável pelos seguintes requisitos de segurança:

• Segurança Física: A Oracle é responsável por proteger a infraestrutura global que executa todos os serviços oferecidos no Oracle Cloud Infrastructure. Essa infraestrutura consiste em hardware, software, redes e equipamentos que executam os serviços do Oracle Cloud Infrastructure.

Suas responsabilidades de segurança estão descritas nesta página, que incluem as seguintes áreas:

• Controle de Acesso: Limite os privilégios o máximo possível. Os usuários só deverão receber o acesso necessário para executar o trabalho deles.
• Aplicação de Patches: Mantenha o software atualizado com os patches de segurança mais recentes para evitar vulnerabilidades.

Use esta lista de verificação para identificar as tarefas que você executa para proteger o OS Management Hub em uma nova tenancy do Oracle Cloud Infrastructure.

Tarefa	Mais Informações
Usar políticas de IAM para conceder acesso a usuários e recursos	Políticas do OS Management Hub
Configurar grupos para controlar o acesso ao serviço	Grupo de Usuários
Adicionar apenas as origens de software necessárias ao serviço	Selecionando Origens de Software
Usar perfis para controlar as origens de software anexadas a uma instância	Selecionando Origens de Software
Configurar sincronizações de espelho regulares para as estações de gerenciamento	Sincronizando Espelhos

Depois de se familiarizar com o OS Management Hub, use esta lista de verificação para identificar tarefas de segurança que recomendamos que você execute regularmente.

Tarefa	Mais Informações
Aplicar os patches de segurança mais recentes	Software de Aplicação de Patches
Usar o Ksplice para aplicar atualizações de segurança	Software de Aplicação de Patches
Monitore o status de sincronização espelho e crie jobs de sincronização	Sincronizando Espelhos
Remover pacotes desnecessários em instâncias	Removendo pacotes desnecessários
Revise relatórios para verificar a conformidade de segurança	Revisando Relatórios

Use políticas para limitar o acesso ao OS Management Hub.

Consulte Políticas do OS Management Hub.

Adicione ao serviço apenas o número mínimo de origens de software do fornecedor necessárias. Ao criar origens de software personalizadas, use filtros ou especifique uma lista de pacotes para reduzir ainda mais o conteúdo disponível para as instâncias. Inclua apenas os pacotes necessários para suportar sua carga de trabalho.

Ao criar um perfil de origem de software, inclua somente as origens de software necessárias. Isso minimiza o número de pacotes disponíveis para a instância reduzindo a área ocupada pela instalação do pacote. Da mesma forma, ao criar um grupo ou ambiente de ciclo de vida, anexe apenas o conjunto mínimo de origens de software necessárias.

Ao adicionar origens de terceiros ou privadas, use o protocolo https para os URLs do repositório e as chaves GPG para validar o conteúdo na instalação. Consulte URL do repositório e chave GPG.

Sincronize regularmente origens de software espelhadas para garantir que a estação de gerenciamento distribua os pacotes de software mais recentes para instâncias.

Por padrão, um job de sincronização de espelho é executado uma vez por semana. Ajuste essa frequência com base em seus requisitos de segurança. Você pode editar a programação de sincronização espelho conforme necessário. Além disso, monitore o status das sincronizações de espelho da estação de gerenciamento e execute um job de sincronização de espelho sob demanda a qualquer momento.

Certifique-se de que suas instâncias gerenciadas estejam executando as atualizações de segurança mais recentes.

Mantenha o software da instância atualizado com patches de segurança. Recomendamos que você aplique periodicamente as atualizações de software mais recentes disponíveis às instâncias registradas no OS Management Hub. Considere o uso de vários jobs de atualização para manter as instâncias atualizadas.

Criando Jobs de Atualização

Para garantir que as instâncias recebam atualizações regulares, você pode criar um job para programar atualizações recorrentes. Consulte:

• Atualizando uma Instância
• Atualizando Instâncias em um Grupo
• Atualizando Todas as Instâncias em um Compartimento

Executando Atualizações do Ksplice

Use o Oracle Ksplice para aplicar patches de segurança críticos a kernels em instâncias do Oracle Linux sem exigir uma reinicialização. O Ksplice também atualiza as bibliotecas de espaço do usuário glibc e OpenSSL, aplicando patches de segurança críticos sem interromper as cargas de trabalho. Crie um job de atualização recorrente que aplique atualizações do Ksplice.

Remova pacotes desnecessários das instâncias para reduzir o espaço da instalação e evitar possíveis problemas de segurança.

A remoção de uma origem de software não remove pacotes que foram instalados da origem de software. Por exemplo, vamos supor que você esteja migrando do UEK R6 para o UEK R7. Você adiciona a origem de software do UEK R7 e depois remove a origem de software do UEK R6. Todos os pacotes UEK R6 instalados permanecem no sistema. No entanto, esses pacotes não são mais atualizados porque a origem de software foi removida e, portanto, pode aparecer em verificações de segurança.

Para obter informações sobre como remover pacotes, consulte:

• Removendo Pacotes de uma Instância
• Removendo pacotes de um grupo

O OS Management Hub gera relatórios para atualizações de segurança, atualizações de bugs e atividade da instância. Revise esses relatórios para identificar quaisquer instâncias desatualizadas. Consulte Exibição de Relatórios.