Sichere Konfiguration

Schwächen im Sicherheitszustand eines Unternehmens lassen sich oft auf unsichere Softwarekonfigurationen zurückführen und basieren nicht zwangsläufig auf Fehlern bei der Entwicklung oder Programmierung der verwendeten Software. Von unsicheren Konfigurationen spricht man beispielsweise, wenn Dateien mit vertraulichen Daten für alle Systemnutzer zugänglich sind oder wenn eine Software vorab konfigurierte Administratorkonten mit Standardkennwörtern enthält. Der Standard von Oracle für sichere Konfigurationen macht es erforderlich, dass Produkte und Cloud-Services standardmäßig sichere Konfigurationen aufweisen.

Anforderungen für eine sichere Konfiguration

Oracle Produkte und Services müssen standardmäßig sicher sein. Produkte und Services sollen nur die wesentlichen Komponenten installieren, die für die Ausführung der beabsichtigten Funktionen benötigt werden. Alle Funktionen, die nicht für eine Produktionsbereitstellung gedacht sind, z. B. Vorführungsinhalte, Standardkonten oder Debugging-Tools, sollen standardmäßig nicht installiert werden. Dies wird häufig als Reduzierung von angreifbaren Stellen bezeichnet. Standardmäßig sollen die Produkte und Services nur sichere Protokolle und Algorithmen verwenden.

Die meisten Oracle Produkte sind von anderen Produkten oder Komponenten abhängig. Wenn beispielsweise eine Anwendung eine Datenbank erfordert, müssen die Anwendungsentwickler wissen, welche Datenbankfunktionen benötigt werden, und eine nutzerdefinierte Installation empfehlen, bei der nur die wesentlichen Komponenten installiert werden. Betriebssysteme umfassen viele Funktionen und Dienste, die nicht von allen Anwendungen gebraucht werden. Die Anwendungsentwickler müssen bestimmen, welche Dienste erforderlich sind, und die anderen deaktivieren.

Sichere Cloud-Konfiguration

Cloud-Services werden in einer bestimmte Konfiguration bzw. einer kleinen Anzahl an Konfigurationen bereitgestellt. Die Sicherheit dieser Konfiguration muss schon in der Entwurfsphase vom Entwicklungsteam geplant werden. Die Entwickler, die den Service implementieren, müssen die geplante Konfiguration kennen. Die Tests müssen auf dem Produkt in dieser Konfiguration durchgeführt werden, wobei Tests vor der Bereitstellung in einer Umgebung stattfinden, die mit der Produktionsumgebung identisch ist.

Cloud-Entwicklungsteams müssen den Cloud-Betriebsteams den Service in einer automatisierten, vollständig sicheren Konfiguration bereitstellen. Container wie Docker und automatisierte Bereitstellungs-Pipelines unterstützen die Erfüllung dieser Anforderung.

Entwicklungsteams müssen eine Möglichkeit anbieten, die Sicherheitskonfiguration eines Cloud-Services mit der Grundlage der sicheren Konfiguration automatisch, effizient, konsistent und zuverlässig über zahlreiche Instanzen hinweg abzugleichen.