OS管理の保護
OS管理のセキュリティ情報および推奨事項について説明します。
OS管理では、OS管理Oracle Autonomous Linuxサービスによって管理されるインスタンスを含め、Oracle Cloudインスタンス上のオペレーティング・システム環境の更新およびパッチを管理およびモニターできます。
セキュリティの責任
OS管理をセキュアに使用するには、セキュリティおよびコンプライアンスの責任について学習します。
一般に、Oracleは、クラウド・オペレータのアクセス制御やインフラストラクチャのセキュリティ・パッチ適用などのクラウド・インフラストラクチャおよび操作のセキュリティを提供します。クラウド・リソースを安全に構成する責任はお客様にあります。クラウドのセキュリティは、ユーザーとOracleの間で共有される責任です。
Oracleは、次のセキュリティ要件に対して責任を負います:
- 物理セキュリティ: Oracleは、Oracle Cloud Infrastructureで提供されるすべてのサービスを実行するグローバル・インフラストラクチャを保護する責任を負います。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。
お客様のセキュリティの責任についてこのページで説明します。次のような領域があります:
- アクセス制御: 可能なかぎり権限を制限します。ユーザーが作業を行うために必要なアクセス権のみを付与する必要があります。
- パッチ適用: 脆弱性を防ぐために、最新のセキュリティ・パッチでソフトウェアを最新の状態に保ちます。
初期セキュリティ・タスク
このチェックリストを使用して、新しいOracle Cloud InfrastructureテナンシでOS管理を保護するために実行するタスクを識別します。
| タスク | 詳細情報 |
|---|---|
| IAMポリシーを使用したユーザーおよびリソースへのアクセス権の付与 | IAMポリシー |
| インスタンスで不要なソフトウェア・ソースの削除 | ソフトウェア・ソース |
| Oracle Autonomous Linuxインスタンスの通知トピックの設定 | Oracle Autonomous Linux |
定期的なセキュリティ・タスク
OS管理の開始後、このチェックリストを使用して、定期的に実行することが推奨されるセキュリティ・タスクを識別します。
| タスク | 詳細情報 |
|---|---|
| 最新のセキュリティ・パッチの適用 | パッチ適用のスケジュール |
| セキュリティ監査を実行します | 監査 |
IAMポリシー
ポリシーを使用して、OS管理へのアクセスを制限します。
ポリシーは、Oracle Cloud Infrastructureリソースに誰がどのようにアクセスできるかを指定します。詳細は、ポリシーの仕組みを参照してください。
グループに、その職責を実行するために必要な最小限の権限を割り当てます。各ポリシーには、グループに許可されるアクションを記述する動詞があります。使用可能な動詞は、アクセス・レベルが低い方から順にinspect、read、use、manageです。
OS管理ポリシーの詳細および例については、OS管理のIAMポリシーの設定およびAutonomous Linuxに必要なIAMポリシーの設定を参照してください。
ソフトウェア・ソース
Oracle Linuxインスタンスには不要のソフトウェア・ソースを削除します。
OS管理はソフトウェア・ソースを使用してパッケージをインスタンスに提供し、これらのパッケージに対して使用可能な更新をトラッキングします。標準ソフトウェア・ソースは、テナンシのルート・コンパートメントで提供されます。標準ソフトウェア・ソースは、オペレーティング・システムの標準アップストリーム・リポジトリにリンクされています。
インスタンスに対してOS管理が有効になっている場合、オペレーティング・システムのデフォルトのソフトウェア・ソースのセットがインスタンスに追加されます。インスタンスに不要なソフトウェア・ソースを削除して、インスタンスで使用可能なパッケージの数を最小限に抑えることで、パッケージのインストール・フットプリントを削減できます。
ソフトウェア・ソースの削除の詳細は、ソフトウェア・ソースの削除を参照してください。
カスタム・ソフトウェア・ソースを作成することで、パッケージのインストール・フットプリントをさらに最小化できます。カスタム・ソフトウェア・ソースの詳細は、Oracle Linuxのソフトウェア・ソースを参照してください。
Oracle Autonomous Linux
Oracle Autonomous Linuxインスタンスの通知トピックの設定
Oracle Autonomous Linuxインスタンスを作成した後、コンソール、CLIまたはAPIを使用してインスタンスの通知トピックを設定します。Autonomous Linuxは、通知サービスのトピックを使用して、自律型更新およびイベントに関する通知を送信します。
詳細は、Autonomous Linux設定の管理を参照してください。
パッチ適用のスケジュール
管理対象インスタンスが最新のセキュリティ更新を実行していることを確認します。
セキュリティ・パッチにより、インスタンス・ソフトウェアを最新の状態に保ちます。使用可能な最新のソフトウェア更新をインスタンスに定期的に適用することをお薦めします。詳細は、Linuxパッケージの管理およびWindows更新の管理を参照してください。
- Oracle Autonomous Linuxインスタンスでは、インスタンスは自動日次更新を受信します。これには、カーネル、OpenSSLおよびglibcライブラリのゼロダウンタイムKsplice更新が含まれます。詳細は、Autonomous Linuxの概要を参照してください。
- Oracle LinuxおよびWindowsインスタンスでは、管理対象インスタンス・グループへのすべてのパッケージ更新のインストール(Oracle Linuxの場合)、管理対象インスタンス・グループへのすべての更新のインストール(Windowsの場合)などのタスクに対して繰返しジョブをスケジュールします。管理対象インスタンス・グループの設定の詳細は、管理対象インスタンス・グループの管理を参照してください。
監査
コンプライアンス・レポートを定期的に実行し、管理対象インスタンスが最新のセキュリティ更新をインストールしていることを確認します。
OS管理サービスでPython SDKを使用して、セキュリティ・コンプライアンス・レポートを実行できます。セキュリティ更新がないすべての管理対象インスタンスについて、テナンシ全体またはコンパートメントごとにセキュリティ・コンプライアンス・レポートを生成するPythonスクリプトの例については、Python SDKを使用したコンプライアンス・レポートの生成を参照してください。