Oracle Linuxセキュリティ
次のセキュリティのベスト・プラクティスに従うことで、クラウド環境でOracle Linuxを安全に使用できます。Oracle Linuxには、自動ソフトウェア更新の実行、バグ修正のインストール、および重要なイベントのインスタンスの監視を行う複数のクラウド・サービスも用意されています。
セキュリティのベスト・プラクティス
クラウド環境でOracle Linuxを使用する場合は、次のセキュリティ・ベスト・プラクティスに従います。
詳細は、Oracle Linux 9システム・セキュリティの拡張およびOracle Linux 8システム・セキュリティの拡張を参照してください。
|
ベスト・プラクティス |
説明 |
|---|---|
|
ソフトウェア・フットプリントの最小化と保護 |
クラウド環境で使用する必要のないコンポーネント、サービスおよび機能をアンインストールまたは無効にします。 オプションとして、Oracle LinuxシステムにベースOSのみをインストールすることを検討してください。 Oracle Cloudプラットフォーム・イメージを使用する場合は、ビジネス・ニーズを満たす最適なイメージ・タイプを選択します。
Oracle Cloudプラットフォーム・イメージの一部であるパッケージを定期的に確認し、パッケージがアクティブに使用されていることを確認します。使用されていないパッケージを削除します。 |
|
ソフトウェアの最新状態の維持 |
ご使用の環境のOracle Linuxシステムにインストールされているソフトウェアを評価し、最低でも毎週セキュリティ更新を適用します。パッチの更新を定期的に確認し、最新のパッチをインストールします。追加のバグ修正および拡張を含む大規模な更新をいつ、どのくらいの頻度で実行するかを決定します。 ソフトウェアを最新の状態に保つには、次のOracle Linuxクラウド・サービスを使用します。
|
|
アクセスの制限 |
中間層のアプリケーションやデータベースをファイアウォールの背後に置くか、IPアドレスでアクセスを制限します。ファイアウォールを使用している場合は、ファイアウォール設定が制御されていることを確認し、これらの設定を定期的に確認してください。仮想ファイアウォールを使用している場合は、インスタンスに適切なセキュリティ・リストを設定します。ネットワークを保護する方法およびセキュリティ・リストを参照してください。 |
|
認証メカニズムを制御し、厳密なパスワード制限を適用します。 |
厳密なパスワード、キー、証明書およびトークンベースの認証を使用します。 |
|
最小限のユーザー権限の付与 |
ユーザー権限を制限します。作業の実行に必要なアクセス権のみをユーザーに付与します。 |
|
システムの動作状態をモニターします |
システム監査レコードを監査およびレビューします。 Kspliceは、Ksplice拡張クライアントがインストールされているシステムに、既知の脆弱性を検出する機能を提供します。詳細は、Kspliceユーザー・ガイドを参照してください。 |
|
最新のセキュリティ情報の入手 |
Oracle Linuxセキュリティのメーリング・リストで重要なセキュリティのお知らせを監視します。Oracleセキュリティ・アラートのサブスクライブを参照してください。 |
|
政府のセキュリティ基準および要件については、STIGイメージを使用してください |
Oracle Linux STIGイメージを使用して、Defense Information Systems Agency (DISA)によって設定された特定のセキュリティ標準および要件に準拠するOracle Linuxインスタンスを作成します。これらのセキュリティー標準については、セキュリティー技術導入ガイド(STIG)を参照してください。 詳細は、STIGとは何ですか。を参照してください。 |
Oracle Cloudには、Oracle Linuxで構築できるセキュリティを補完する追加サービスがあります。たとえば、ホストおよびコンテナ・イメージで潜在的なセキュリティ脆弱性を定期的にチェックするには、Oracle Cloud Infrastructure Vulnerability Scanning Serviceを使用します。定義済基準に基づくリソースのグループ化など、アプリケーション・スタックの管理を支援するために、Oracle Fleet Application Management Serviceを使用できます。
脆弱性スキャンの概要およびフリート・アプリケーション管理の概要を参照してください。
セキュリティのためのOracle Linuxサービス
Oracle Linuxには、クラウド環境でのOracle Linuxインスタンスの保護に役立つ複数のサービスが用意されています。
Oracle Autonomous Linuxサービス
Autonomous Linuxは、Oracle Linuxインスタンスに対して毎日の自動セキュリティ更新を実行し、インスタンスでクリティカル・イベントを監視します。
詳細は、Autonomous Linuxの概要を参照してください。
セキュリティ機能
|
機能 |
説明 |
|---|---|
|
Oracle Autonomous Linuxイメージを使用するインスタンスは、セキュリティの脆弱性に対処する使用可能なパッケージおよびパッチで毎日自動的に更新されます。これらの更新には、カーネル、OpenSSLおよびglibcライブラリの停止時間ゼロのKspliceパッチが含まれる場合があります。これらの日次更新の実行時間を変更できます。 |
|
|
インスタンスのセキュリティ・アドバイザをリストし、インスタンスがセキュリティ・パッチで最新かどうかを示すフィルタ可能なレポートを表示します。 |
|
|
インスタンスでエクスプロイト検出イベントが発生した場合は、イベントの詳細、そのログ・ファイルおよびイベントに関するスタック・トレース情報を確認します。 |
|
|
インスタンスでセキュリティ・イベントが発生したときに通知されるように選択します。そのためには、インスタンスの通知トピックを設定します。 |
OS管理ハブ・サービス
OS管理ハブを使用すると、一元化された管理コンソールから、クラウド環境内のOracle Linuxインスタンス全体の更新を監視および管理できます。
詳細は、OS管理ハブの概要を参照してください。
セキュリティ機能
|
機能 |
説明 |
|---|---|
|
ポリシーおよびグループを使用して、ユーザーおよびクラウド・リソースへのアクセスを制限します。 |
|
|
ソフトウェア・ソース(リポジトリ)の数を制御し、OS管理ハブに登録されているインスタンスで使用可能なソフトウェア・パッケージを指定します。 |
|
|
スタンドアロン・インスタンスまたはコンパートメント内のすべてのスタンドアロン・インスタンスのパッチ適用更新をスケジュールするジョブ |
インスタンスまたはインスタンスの繰返しセキュリティ更新をスケジュールするジョブを作成します。Ksplice更新を適用するジョブを作成できます。 |
|
ミラー化されたソフトウェアソースを同期するミラー同期ジョブ |
インスタンスを管理ステーションに指定します。その後、管理ステーションが最新のソフトウェアおよびセキュリティ・パッケージをそのステーションを使用するすべてのインスタンスに確実に配布するジョブを作成できます。 |
|
セキュリティ更新、バグ更新およびインスタンス・アクティビティに関する情報を提供するレポートを確認します。 |
Oracle Kspliceサービス
Oracle Kspliceは、インスタンスを停止して再起動することなく、Oracle Linuxインスタンスに自動セキュリティ・パッチおよび更新を提供します。
Kspliceの詳細は、『Oracle Linux Kspliceユーザーズ・ガイド』を参照してください。
セキュリティ機能
|
機能 |
説明 |
|---|---|
|
Kspliceによって、Linuxカーネルに対する最新のセキュリティ・パッチおよび更新がインスタンスに自動的にインストールされ、停止時間はゼロになります。 |
|
|
インスタンスに現在インストールされているパッチおよび更新を表示します。 |
|
|
自動更新が不要な場合は、インスタンスの最新のパッチおよび更新をオンデマンドで手動でインストールします。 |
|
|
Kspliceによってアクティブにメンテナンスされているカーネルを表示します。 |