Configuração Segura

Introdução

Os pontos fracos na postura de segurança de uma organização podem, muitas vezes, indicar configurações de software inseguras e não necessariamente erros de design ou codificação do software usado. Exemplos de configurações inseguras incluem arquivos de dados confidenciais configurados por padrão para serem acessados por todos os usuários do sistema, ou software com contas de administrador pré-configuradas com senhas padrão. O padrão de Configuração segura da Oracle requer que produtos e serviços de nuvem tenham configurações seguras por padrão.

Requisitos de Configuração Segura

Os produtos e serviços da Oracle precisam ser seguros por padrão. Produtos e serviços devem instalar apenas os componentes essenciais para executar as funções pretendidas. Quaisquer recursos não destinados a uma implementação de produção, como conteúdo de demonstração, contas padrão e ferramentas de depuração, não devem ser instalados por padrão. Isso é comumente chamado de minimizar a superfície de ataque. Por padrão, o produto ou serviço deve usar somente protocolos e algoritmos seguros.

A maioria dos produtos Oracle depende de outros produtos ou componentes. Por exemplo, se um aplicativo exige um banco de dados, os desenvolvedores de aplicativo devem conhecer quais recursos de banco de dados são necessários e recomendar uma instalação personalizada somente dos componentes essenciais. Os sistemas operacionais incluem muitos recursos ou serviços que não são necessários para todos os aplicativos. Os desenvolvedores de aplicativos devem determinar quais serviços são necessários e desativar todos os outros.

Configuração Segura de Nuvem

Os serviços de nuvem são implementados em uma configuração específica ou em um pequeno número de configurações. A segurança dessa configuração deve ser planejada na fase de design, pela equipe de desenvolvimento. Os desenvolvedores que implementam o serviço precisam estar atentos à configuração planejada. Os testes devem ser realizados no produto com essa configuração; os testes de pré-implementação devem ser executados em um ambiente idêntico ao ambiente de produção.

As equipes de desenvolvimento em nuvem são necessárias para fornecer o serviço às equipes de operações em nuvem em uma configuração totalmente segura e automatizada. O uso de contêineres, como o Docker e os pipelines de implementação automatizada, ajuda as equipes de desenvolvimento a atender a esse requisito.

As organizações de desenvolvimento precisam fornecer um recurso em que a configuração de segurança de um serviço em nuvem possa ser avaliada em relação à linha de base de configuração segura de maneira automatizada, eficiente, consistente e confiável em uma frota de instâncias.