Aucun résultat trouvé

Votre recherche n'a donné aucun résultat.

Configuration sécurisée

Introduction

Les faiblesses dans la posture de sécurité d’une entreprise trouvent souvent leur origine dans des configurations logicielles non sécurisées et ne proviennent pas nécessairement d’erreurs de conception ou de codage des logiciels qu’elle utilise. Des fichiers de données critiques configurés par défaut pour être accessibles par tous les utilisateurs du système ou des logiciels comportant des comptes d'administrateur préconfigurés avec des mots de passe par défaut sont des exemples de configurations non sécurisées. La norme de configuration sécurisée d’Oracle exige que les produits et les services en nuage soient dotés de configurations sécurisées par défaut.

Exigences en matière de configuration sécurisée

Les produits et les services d’Oracle doivent être sécurisés par défaut. Seuls les composants essentiels à l’exécution de leurs fonctions prévues doivent être installés. Toute caractéristique non prévue pour une mise en production, comme du contenu de démonstration, des comptes par défaut et des outils de débogage, ne doit pas être installée par défaut. C’est ce qu’on appelle communément la réduction de l’exposition aux attaques. Par défaut, le produit ou le service ne devrait utiliser que des protocoles et des algorithmes sécurisés.

La plupart des produits Oracle dépendent d’autres produits ou composants. Par exemple, si une application exige une base de données, ses développeurs doivent comprendre les besoins sur le plan des fonctions de la base de données et recommander une installation personnalisée des composants essentiels seulement. Les systèmes d'exploitation comprennent beaucoup de fonctions ou de services qui ne sont pas nécessaires pour toutes les applications. Les développeurs d'application doivent déterminer lesquels des services sont nécessaires et désactiver les autres.

Configuration sécurisée en nuage

Les services en nuage sont déployés dans une configuration bien précise ou un petit nombre de configurations. L’équipe de développement doit planifier la sécurité de cette configuration dès la phase de conception. Les développeurs de la mise en œuvre du service doivent être au courant de la configuration prévue. La mise à l’essai doit être effectuée sur le produit dans cette configuration; les essais avant-déploiement doivent être réalisés dans un environnement identique à celui de la production.

Les équipes de développement de nuages sont tenues de fournir le service aux équipes d'exploitation de nuages dans une configuration automatisée entièrement sécurisée. L’utilisation de conteneurs, comme les conteneurs Docker et les pipelines de déploiement automatisés, aide les équipes de développement à répondre à cette exigence.

Les organisations de développement sont tenues de fournir une capacité où la configuration de sécurité d’un service en nuage peut être évaluée par rapport à la configuration sécurisée de base de manière automatisée, avec efficacité, uniformité et fiabilité, dans une série de circonstances.