Configuración segura

Los puntos débiles en la postura de seguridad de una organización a menudo se remontan a configuraciones de software no seguras y no necesariamente se derivan de errores de diseño o código del software que emplea. Entre los ejemplos de configuraciones no seguras se incluyen los archivos con datos confidenciales configurados de forma predeterminada para que sean accesibles para todos los usuarios del sistema, o software con cuentas de administrador preconfiguradas con contraseñas predeterminadas. El estándar de configuración segura de Oracle exige que todos los productos y servicios en la nube presenten configuraciones seguras de forma predeterminada.

Requisitos de configuración segura

Se exige que los productos y servicios Oracle sean seguros de forma predeterminada. Los productos y servicios deben instalar solo los componentes esenciales para realizar las funciones para las que fueron diseñados. No deberá instalarse de forma predeterminada ninguna característica que no esté destinada a la implementación de la producción, como contenido de demostración, cuentas predeterminadas y herramientas de depuración. Esto se dirige normalmente a minimizar la superficie de ataque. De forma predeterminada, el producto o servicio solo debe emplear protocolos y algoritmos seguros.

La mayoría de los productos Oracle depende de otros productos o componentes. Por ejemplo, si una aplicación necesita una base de datos, los desarrolladores de la aplicación deben entender qué características de las bases de datos son necesarias y recomendar una instalación personalizada únicamente de los componentes esenciales. Los sistemas operativos incluyen muchas características o servicios que no necesitan todas las aplicaciones. Los desarrolladores de aplicaciones deben determinar qué servicios son necesarios y deshabilitar el resto.

Configuración segura en la nube

Los servicios en la nube se implementan en una configuración específica o en un pequeño grupo de configuraciones. El equipo de desarrollo debe planificar la seguridad de esta configuración desde la fase de diseño. Los desarrolladores que implementen el servicio deben ser conscientes de la configuración planificada. Debe probarse el producto con esta configuración mediante pruebas previas a la implementación realizadas en un entorno idéntico al entorno de producción.

Los equipos de desarrollo en la nube deben facilitar el servicio a los equipos de operaciones en la nube con una configuración automatizada y totalmente segura. El uso de contenedores como Docker y de carteras de implementación automatizadas ayuda a que los equipos de desarrollo cumplan este requisito.

Las organizaciones de desarrollo deben proporcionar capacidades en las que pueda evaluarse la configuración de seguridad de un servicio en la nube con respecto a la configuración segura básica de forma automatizada, eficiente, coherente y fiable en diversas instancias.