Zabezpečená konfigurace

Za slabinami v zabezpečení organizace často stojí nezabezpečená konfigurace softwaru – nemusí tedy nezbytně vyplývat z chyb v návrhu nebo kódu používaného softwaru. Mezi příklady nezabezpečených konfigurací patří soubory s citlivými daty nakonfigurované ve výchozím nastavení tak, aby k nim měli přístup všichni uživatelé systému, nebo software s předkonfigurovanými účty správců s výchozími hesly. Standard zabezpečené konfigurace společnosti Oracle vyžaduje, aby produkty a cloudové služby měly ve výchozím nastavení zabezpečenou konfiguraci.

Požadavky na zabezpečenou konfiguraci

Vyžaduje se, aby produkty a služby společnosti Oracle byly ve výchozím nastavení zabezpečené. V produktech a službách by měly být nainstalovány jen jejich nezbytné součásti, které provádějí jejich zamýšlené funkce. Ve výchozím nastavení by neměly být nainstalovány funkce, které nejsou určeny pro výrobní nasazení, jako je například ukázkový obsah, výchozí účty nebo nástroje pro ladění. Takový postup se obvykle označuje jako minimalizace prostoru k útoku. Produkt nebo služba by ve výchozím nastavení měly používat pouze zabezpečené protokoly nebo algoritmy.

Většina produktů společnosti Oracle závisí na dalších produktech a součástech. Pokud například aplikace vyžaduje databázi, měli by vývojáři aplikace zjistit, které funkce databáze budou potřebné, a doporučit vlastní instalaci zahrnující pouze nezbytné součásti. Operační systémy mají mnoho funkcí nebo služeb, které nejsou nutné pro všechny aplikace. Vývojáři aplikací musí určit, které služby jsou nutné, a deaktivovat ostatní.

Zabezpečená konfigurace cloudu

Cloudové služby jsou nasazovány v konkrétní konfiguraci nebo v malém počtu konfigurací. Zabezpečení této konfigurace musí být týmem vývojářů plánováno již od fáze návrhu. Vývojáři implementující tuto službu musí mít povědomí o plánované konfiguraci. Testování musí být prováděno na produktu v této konfiguraci po provedení testu před nasazením v prostředí, které bude totožné s produkčním prostředím.

Týmy vývoje pro cloud musí poskytovat služby týmům pro provoz cloudu v automatické a zcela zabezpečené konfiguraci. Použití kontejnerů, jako jsou například řešení Docker nebo kanály pro automatické nasazení, pomáhá týmům pro vývoj splnit tento požadavek.

Organizace zabývající se vývojem jsou povinny poskytnout kapacity v situacích, kde lze automaticky, efektivně, konzistentně a spolehlivě pro celou skupinu instancí vyhodnotit konfiguraci zabezpečení vzhledem k základní linii bezpečné konfigurace.