Autonomous Linuxの保護
Autonomous Linuxは、インスタンスのOSソフトウェア・コンテンツを管理、監視および制御し、最新のセキュリティ・パッチで最新であることを確認します。Autonomous Linuxを保護するには、次のセキュリティのベスト・プラクティスに従います。
セキュリティの責任
Autonomous Linuxをセキュアに使用するために、セキュリティおよびコンプライアンスの責任について学習します。
通常、Oracleはクラウド・インフラストラクチャおよび操作のセキュリティ(クラウド・オペレータのアクセス制御やインフラストラクチャ・セキュリティ・パッチ適用など)を提供します。クラウド・リソースをセキュアに構成する責任はユーザーにあります。クラウドのセキュリティは、ユーザーとOracleの共同責任です。
Oracleは、次のセキュリティ要件に対して責任を負います:
- 物理セキュリティ: Oracleは、Oracle Cloud Infrastructureで提供されるすべてのサービスを実行するグローバル・インフラストラクチャを保護する責任を負います。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。
お客様のセキュリティの責任について説明します。次のような領域があります:
- アクセス制御:権限をできるだけ制限します。ユーザーには、作業を実行するために必要なアクセス権のみを付与する必要があります。
- パッチ適用: 脆弱性を防止するために、最新のセキュリティ・パッチでソフトウェアを最新の状態に保ちます。
初期セキュリティ・タスク
このチェックリストを使用して、新しいOracle Cloud InfrastructureテナンシでAutonomous Linuxを保護するために実行するタスクを識別します。
| 仕事 | その他の情報 |
|---|---|
| IAMポリシーを使用したユーザーおよびリソースへのアクセス権の付与 | Autonomous Linuxポリシー |
| サービスへのアクセスを制御するためのグループの構成 | ユーザー・グループ |
| サービスに必要なソフトウェア・ソースのみを追加します。 | ソフトウェア・ソースの選択 |
| プロファイルを使用して、インスタンスにアタッチされたソフトウェア・ソースを制御します。 | ソフトウェア・ソースの選択 |
定期的なセキュリティ・タスク
Autonomous Linuxの開始後、このチェックリストを使用して、定期的に実行することが推奨されるセキュリティ・タスクを識別します。
| 仕事 | その他の情報 |
|---|---|
| 最新のセキュリティ・パッチの適用 | ソフトウェアへのパッチ適用 |
| Kspliceを使用したセキュリティ更新の適用 | ソフトウェアへのパッチ適用 |
| インスタンス上の不要なパッケージの削除 | 不要なパッケージの削除 |
| レポートを確認して、セキュリティ・コンプライアンスを確認します。 | レポートの確認 |
IAMポリシー
ポリシーを使用して、Autonomous Linuxへのアクセスを制限します。
Autonomous Linuxポリシーを参照してください。
Autonomous Linuxで通知を使用できるようにするには、次のポリシーを追加します。
Autonomous Linuxサービスが通知を公開できるようにするには:
Allow any-user to use ons-topics in tenancy where request.principal.type='alx-notification'- テナント・レベルのポリシー
-
ユーザーが通知トピックを作成および使用できるようにするには:
allow group <user_group> to manage ons-topics in tenancy - コンパートメント・レベルのポリシー(テナンシ・レベルを使用しない場合)
-
テナンシ管理者がテナンシ・レベルでのIAMポリシーの設定を許可しない場合、Autonomous Linuxリソースの使用をコンパートメントとその子コンパートメントに制限できます(ポリシーはコンパートメント継承を使用します)。
ユーザーがテナンシ内のコンパートメントで通知トピックを作成および使用できるようにするには:
allow group <user_group> to manage ons-topics in compartment <compartment_name>
ソフトウェア・ソースの選択
サービスに必要なベンダー・ソフトウェア・ソースの最小数のみを追加します。カスタム・ソフトウェア・ソースを作成する場合は、フィルタを使用するか、パッケージ・リストを指定して、インスタンスで使用可能なコンテンツをさらに減らします。ワークロードのサポートに必要なパッケージのみを含めます。
ソフトウェア・ソース・プロファイルを作成する場合、必要なソフトウェア・ソースのみを含めます。これにより、インスタンスで使用可能なパッケージの数が最小限に抑えられ、パッケージのインストール・フットプリントが削減されます。同様に、グループの作成時
サードパーティ・ソースまたはプライベート・ソースを追加する場合は、リポジトリURLおよびGPGキーにhttpsプロトコルを使用して、インストール時にコンテンツを検証します。リポジトリURLおよびGPGキーを参照してください。
ソフトウェアへのパッチ適用
管理対象インスタンスで最新のセキュリティ更新が実行されていることを確認します。
セキュリティ・パッチにより、インスタンス・ソフトウェアを最新の状態に維持します。Autonomous Linuxに登録されているインスタンスに、使用可能な最新のソフトウェア更新を定期的に適用することをお薦めします。インスタンスを最新の状態に保つために、複数の更新ジョブを使用することを検討してください。
- 更新ジョブの作成
-
インスタンスが定期的に更新されるようにするには、繰返し更新をスケジュールするジョブを作成します。次を参照してください:
- Ksplice更新の実行
-
Oracle Kspliceを使用すると、リブートしなくてもOracle Linuxインスタンス上のカーネルに対してクリティカルなセキュリティ・パッチを適用することができます。Kspliceでは、glibcおよびOpenSSLユーザー領域ライブラリも更新され、ワークロードを中断することなくクリティカルなセキュリティ・パッチが適用されます。Ksplice更新を適用する定期的な更新ジョブを作成します。
不要なパッケージの削除
インスタンスから不要なパッケージを削除して、インストール・フットプリントを削減し、潜在的なセキュリティ問題を回避します。
ソフトウェア・ソースを削除しても、ソフトウェア・ソースからインストールされたパッケージは削除されません。たとえば、UEK R6からUEK R7に移行するとします。UEK R7のソフトウェア・ソースを追加してから、UEK R6のソフトウェア・ソースを削除します。インストール済のUEK R6パッケージはシステムに残ります。ただし、ソフトウェア・ソースが削除されたため、これらのパッケージは更新されず、セキュリティ・スキャンに表示される可能性があります。
パッケージの削除については、次を参照してください。
レポートの確認
Autonomous Linuxは、セキュリティ更新、バグ更新およびインスタンス・アクティビティに関するレポートを生成します。これらのレポートを確認して、古いインスタンスを特定します。レポートの表示を参照してください。