ضمان أمان البرامج

Oracle Software
Security Assurance

التكوين الآمن

يمكن معاودة تتبع مواطن الضعف في الوضع الأمني لمؤسسة ما لمعرفة التكوينات البرمجية غير الآمنة، ولا تكون بالضرورة ناتجة عن أخطاء في التصميم أو الترميز في البرنامج الذي تستخدمه. تشمل أمثلة التكوينات غير الآمنة ملفات البيانات الحساسة المكونة افتراضيًا ليسهل الوصول إليها من جميع مستخدمي النظام أو البرنامج باستخدام حسابات مديرين مهيَّأة مسبقًا ذات كلمات مرور افتراضية. يتطلب معيار التكوين الآمن من Oracle أن تكون المنتجات وخدمات السحابة ذات تكوينات آمنة افتراضيًا.

متطلبات التكوين الآمن

يلزم أن تكون منتجات Oracle وخدماتها آمنة افتراضيًا. يجب تثبيت المكونات الأساسية داخل المنتجات والخدمات فقط من أجل أداء وظائفها المعدة لها. ويجب عدم تثبيت أي مزايا غير معدة لنشر الإنتاج مثل محتوى العرض والحسابات الافتراضية وأدوات تصحيح الأخطاء. ويشير هذا غالبًا إلى تقليل سطح الهجوم إلى الحد الأدنى. يجب ألا يستخدم المنتج أو الخدمة سوى الخوارزميات والبروتوكولات الآمنة فقط افتراضيًا.

تعتمد معظم منتجات Oracle على منتجات أو مكونات أخرى. على سبيل المثال، إذا كان هناك تطبيق يتطلب قاعدة بيانات، فإن مطوري التطبيق يجب أن يدركوا مزايا قاعدة البيانات اللازمة ويوصوا بتثبيت مخصص للمكونات الأساسية فقط. تشمل أنظمة التشغيل الكثير من المزايا أو الخدمات التي لا تحتاج إليها جميع التطبيقات. يجب أن يحدد مطورو التطبيق الخدمات اللازمة ويقوموا بتعطيل أي خدمات أخرى.

التكوين الآمن للسحابة

يتم نشر الخدمات السحابية في تكوين خاص أو عدد صغير من التكوينات. يجب أن يخطط فريق التطوير أمان هذا التكوين من مرحلة التصميم. يجب أن يكون مطورو تنفيذ الخدمة على دراية بالتكوين المخطط. يجب إجراء الاختبار على المنتج في هذا التكوين، مع إجراء اختبارات نشر مسبقة في بيئة مطابقة لبيئة المنتج.

يجب أن تقدم فرق تطوير السحابة الخدمة إلى فرق تشغيل السحابة في تكوين مؤتمت وآمن بالكامل. ويساعد استخدام الحاويات مثل حاوية Docker وأنابيب النشر المؤتمتة فرق التطوير على الوفاء بهذا المطلب.

يجب على مؤسسات التطوير توفير قدرة يمكن من خلالها تقييم التكوين الآمن لخدمة سحابية ما وفق أساس التكوين الآمن بطريقة مؤتمتة وبفاعلية واتساق وموثوقية عبر مجموعة من المثيلات.


معرفة المزيد