Protección de Autonomous Linux
Autonomous Linux gestiona, supervisa y controla el contenido de software del sistema operativo de las instancias, lo que garantiza que estén actualizados con los parches de seguridad más recientes. Siga estas mejores prácticas de seguridad para proteger Autonomous Linux.
Funciones de seguridad
Para utilizar Autonomous Linux de forma segura, debe conocer sus responsabilidades en materia de seguridad y conformidad.
En general, Oracle proporciona seguridad en la infraestructura y las operaciones en la nube, como controles de acceso de operadores en la nube y aplicación de parches de seguridad de la infraestructura. Usted es responsable de configurar de forma segura sus recursos en la nube. La seguridad en la nube es una responsabilidad compartida entre usted y Oracle.
Oracle es responsable de los siguientes requisitos de seguridad:
- Seguridad física: Oracle es responsable de proteger la infraestructura global que ejecuta todos los servicios que se ofrecen en Oracle Cloud Infrastructure. Esta infraestructura consta del hardware, el software, la red y las instalaciones que ejecutan los servicios de Oracle Cloud Infrastructure.
Las responsabilidades de seguridad se describen en esta página, que incluye las siguientes áreas:
- Control de acceso: limite los privilegios lo máximo posible. A los usuarios solo se les debe otorgar el acceso necesario para realizar su trabajo.
- Parche: mantenga el software actualizado con los últimos parches de seguridad para evitar vulnerabilidades.
Tareas de seguridad iniciales
Utilice esta lista de control para identificar las tareas que debe realizar para proteger Autonomous Linux en un nuevo arrendamiento de Oracle Cloud Infrastructure.
| Tarea | Más información |
|---|---|
| Utilice políticas de IAM para otorgar acceso a usuarios y recursos | Políticas de Autonomous Linux |
| Configurar grupos para controlar el acceso al servicio | Grupo de Usuarios |
| Agregue solo los orígenes de software que necesita al servicio | Selección de orígenes de software |
| Utilizar perfiles para controlar los orígenes de software asociados a una instancia | Selección de orígenes de software |
Tareas de seguridad de rutina
Después de empezar a utilizar Autonomous Linux, utilice esta lista de control para identificar las tareas de seguridad que le recomendamos que realice con regularidad.
| Tarea | Más información |
|---|---|
| Aplique los últimos parches de seguridad | Aplicar parches al software |
| Utilizar Ksplice para aplicar actualizaciones de seguridad | Aplicar parches al software |
| Eliminar paquetes innecesarios en instancias | Eliminación de paquetes innecesarios |
| Revise los informes para verificar la conformidad de la seguridad | Revisión de informes |
Políticas de IAM
Utilice políticas para limitar el acceso a Autonomous Linux.
Consulte Políticas de Linux autónomas.
Agregue las siguientes políticas para permitir el uso de notificaciones en Autonomous Linux.
Para permitir que el servicio Autonomous Linux publique notificaciones:
Allow any-user to use ons-topics in tenancy where request.principal.type='alx-notification'- Políticas de nivel de arrendamiento
-
Para permitir al usuario crear y utilizar temas de notificación:
allow group <user_group> to manage ons-topics in tenancy - Políticas de nivel de compartimento (si no utiliza el nivel de arrendamiento)
-
Si el administrador del arrendamiento no permite definir políticas de IAM en el nivel de arrendamiento, puede restringir el uso de recursos de Autonomous Linux a un compartimento y sus subcompartimentos (las políticas utilizan la herencia de compartimentos).
Para permitir al usuario crear y utilizar temas de notificación en un compartimento dentro del arrendamiento:
allow group <user_group> to manage ons-topics in compartment <compartment_name>
Selección de orígenes de software
Agregue al servicio solo el número mínimo de orígenes de software de proveedor que necesita. Al crear orígenes de software personalizados, utilice filtros o especifique una lista de paquetes para reducir aún más el contenido disponible para las instancias. Incluya solo los paquetes necesarios para soportar la carga de trabajo.
Al crear un perfil de origen de software, incluya únicamente los orígenes de software necesarios. Esto minimiza la cantidad de paquetes disponibles para la instancia, lo que reduce la huella de instalación del paquete. Del mismo modo, al crear un grupo
Al agregar orígenes de terceros o privados, utilice el protocolo https para las URL del repositorio y las claves GPG para validar el contenido en la instalación. Consulte URL de repositorio y clave GPG.
Aplicar parches al software
Asegúrese de que las instancias gestionadas ejecutan las últimas actualizaciones de seguridad.
Mantener el software de la instancia actualizado con los parches de seguridad. Le recomendamos que aplique periódicamente las últimas actualizaciones de software disponibles en las instancias registradas con Autonomous Linux. Considere el uso de varios trabajos de actualización para mantener las instancias actualizadas.
- Creación de trabajos de actualización
-
Para asegurarse de que las instancias reciban actualizaciones periódicas, puede crear un trabajo para programar actualizaciones recurrentes. Consulte:
- Ejecución de actualizaciones de Ksplice
-
Utilice Oracle Ksplice para aplicar parches de seguridad críticos a los núcleos en instancias de Oracle Linux sin necesidad de reiniciar. Ksplice también actualiza las bibliotecas de espacio de usuario glibc y OpenSSL aplicando parches de seguridad esenciales sin interrumpir las cargas de trabajo. Cree un trabajo de actualización recurrente que aplique actualizaciones de Ksplice.
Eliminación de paquetes innecesarios
Elimine los paquetes innecesarios de las instancias para reducir la huella de instalación y evitar posibles problemas de seguridad.
La eliminación de un origen de software no elimina los paquetes instalados desde el origen de software. Por ejemplo, suponga que va a pasar de UEK R6 a UEK R7. Agregue el origen de software para UEK R7 y, a continuación, suprima el origen de software para UEK R6. Los paquetes UEK R6 instalados permanecen en el sistema. Sin embargo, esos paquetes ya no se actualizan porque el origen de software se ha eliminado y, por lo tanto, podría aparecer en exploraciones de seguridad.
Para obtener información sobre cómo eliminar paquetes, consulte:
Revisión de informes
Autonomous Linux genera informes para actualizaciones de seguridad, actualizaciones de bugs y actividad de instancias. Revise estos informes para identificar las instancias que están desactualizadas. Consulte Visualización de informes.