OS Management Hubの保護
OS管理ハブは、インスタンスのOSソフトウェア・コンテンツを管理、監視および制御し、最新のセキュリティ・パッチで最新であることを確認します。OS管理ハブを保護するには、次のセキュリティのベスト・プラクティスに従います。
セキュリティの責任
OS Management Hubをセキュアに使用するには、セキュリティおよびコンプライアンスの責任について学習します。
通常、Oracleはクラウド・インフラストラクチャおよび操作のセキュリティ(クラウド・オペレータのアクセス制御やインフラストラクチャ・セキュリティ・パッチ適用など)を提供します。クラウド・リソースをセキュアに構成する責任はユーザーにあります。クラウドのセキュリティは、ユーザーとOracleの共同責任です。
Oracleは、次のセキュリティ要件に対して責任を負います:
- 物理セキュリティ: Oracleは、Oracle Cloud Infrastructureで提供されるすべてのサービスを実行するグローバル・インフラストラクチャを保護する責任を負います。このインフラストラクチャは、Oracle Cloud Infrastructureサービスを実行するハードウェア、ソフトウェア、ネットワーキングおよび設備で構成されます。
お客様のセキュリティの責任についてこのページで説明します。次のような領域があります:
- アクセス制御:権限をできるだけ制限します。ユーザーには、作業を実行するために必要なアクセス権のみを付与する必要があります。
- パッチ適用: 脆弱性を防止するために、最新のセキュリティ・パッチでソフトウェアを最新の状態に保ちます。
初期セキュリティ・タスク
このチェックリストを使用して、新しいOracle Cloud InfrastructureテナンシでOS管理ハブを保護するために実行するタスクを識別します。
| タスク | 詳細情報 |
|---|---|
| IAMポリシーを使用したユーザーおよびリソースへのアクセス権の付与 | OS管理ハブ・ポリシー |
| サービスへのアクセスを制御するグループの構成 | ユーザー・グループ |
| サービスに必要なソフトウェア・ソースのみを追加します。 | ソフトウェア・ソースの選択 |
| プロファイルを使用して、インスタンスにアタッチされているソフトウェア・ソースを制御します。 | ソフトウェア・ソースの選択 |
| 管理ステーションの定期的なミラー同期の構成 | ミラーの同期 |
定期的なセキュリティ・タスク
OS Management Hubの開始後、このチェックリストを使用して、定期的に実行することが推奨されるセキュリティ・タスクを識別します。
| タスク | 詳細情報 |
|---|---|
| 最新のセキュリティ・パッチの適用 | ソフトウェアへのパッチ適用 |
| Kspliceを使用したセキュリティ更新の適用 | ソフトウェアへのパッチ適用 |
| ミラー同期ステータスのモニターおよび同期ジョブの作成 | ミラーの同期 |
| インスタンス上の不要なパッケージの削除 | 不要なパッケージの削除 |
| レポートをレビューし、セキュリティ・コンプライアンスを確認します。 | レポートの確認 |
IAMポリシー
ポリシーを使用して、OS管理ハブへのアクセスを制限します。
OS管理ハブ・ポリシーを参照してください。
ソフトウェア・ソースの選択
サービスに必要なベンダー・ソフトウェア・ソースの最小数のみを追加します。カスタム・ソフトウェア・ソースを作成する場合は、フィルタを使用するか、パッケージ・リストを指定して、インスタンスで使用可能なコンテンツをさらに減らします。ワークロードのサポートに必要なパッケージのみを含めます。
ソフトウェア・ソース・プロファイルを作成する場合、必要なソフトウェア・ソースのみを含めます。これにより、インスタンスで使用可能なパッケージの数が最小限に抑えられ、パッケージのインストール・フットプリントが削減されます。同様に、グループの作成またはライフサイクル環境では、必要な最小限のソフトウェア・ソース・セットのみをアタッチします。
サードパーティ・ソースまたはプライベート・ソースを追加する場合は、リポジトリURLおよびGPGキーにhttpsプロトコルを使用して、インストール時にコンテンツを検証します。リポジトリURLおよびGPGキーを参照してください。
ミラーの同期
ミラー化されたソフトウェア・ソースを定期的に同期して、管理ステーションが最新のソフトウェア・パッケージをインスタンスに分散していることを確認します。
デフォルトでは、ミラー同期ジョブは週に1回実行されます。セキュリティ要件に基づいてこの頻度を調整します。必要に応じて、ミラー同期スケジュールを編集できます。また、管理ステーションのミラー同期のステータスをモニターし、いつでもオンデマンド・ミラー同期ジョブを実行します。
ソフトウェアへのパッチ適用
管理対象インスタンスが最新のセキュリティ更新を実行していることを確認します。
セキュリティ・パッチにより、インスタンス・ソフトウェアを最新の状態に維持します。OS管理ハブに登録されているインスタンスに、使用可能な最新のソフトウェア更新を定期的に適用することをお薦めします。インスタンスを最新の状態に保つために、複数の更新ジョブを使用することを検討してください。
- 更新ジョブの作成
-
インスタンスが定期的に更新を受け取るようにするには、定期的な更新をスケジュールするジョブを作成します。次を参照してください:
- Ksplice更新の実行
-
Oracle Kspliceを使用すると、リブートしなくてもOracle Linuxインスタンス上のカーネルにクリティカルなセキュリティ・パッチを適用できます。Kspliceは、glibcおよびOpenSSLユーザー領域ライブラリも更新し、ワークロードを中断することなくクリティカルなセキュリティ・パッチを適用します。Ksplice更新を適用する繰返し更新ジョブを作成します。
不要なパッケージの削除
インスタンスから不要なパッケージを削除して、インストール・フットプリントを削減し、潜在的なセキュリティ問題を防止します。
ソフトウェア・ソースを削除しても、ソフトウェア・ソースからインストールされたパッケージは削除されません。たとえば、UEK R6からUEK R7に移行するとします。UEK R7のソフトウェア・ソースを追加してから、UEK R6のソフトウェア・ソースを削除します。インストールされたすべてのUEK R6パッケージは、システムに残ります。ただし、ソフトウェア・ソースが削除されたため、これらのパッケージは更新されないため、セキュリティ・スキャンに表示される可能性があります。
パッケージの削除については、次を参照してください。
レポートの確認
OS管理ハブは、セキュリティ更新、バグ更新およびインスタンス・アクティビティに関するレポートを生成します。これらのレポートを確認して、古いインスタンスを特定します。レポートの表示を参照してください。