Configuration sécurisée

Les faiblesses du système de sécurité d’une entreprise sont souvent liées à des configurations logicielles non sécurisées. Elle ne sont pas nécessairement la conséquence d’erreurs de conception ou de programmation des logiciels utilisés. Parmi les exemples de configurations non sécurisées, citons les fichiers de données sensibles configurés par défaut pour être accessibles par tous les utilisateurs du système ou les logiciels fonctionnant avec des comptes d’administrateur préconfigurés avec des mots de passe par défaut. La norme de configuration sécurisée d’Oracle implique que les produits et services cloud soient dotés de configurations sécurisées par défaut.

Besoin de configuration sécurisée

Les produits et services Oracle se doivent d’être sécurisés par défaut. Ils doivent installer uniquement les composants essentiels pour effectuer leurs fonctions dédiées. Les fonctionnalités non destinées à un déploiement de production, par exemple un contenu de démonstration, les comptes par défaut et les outils de débogage, ne doivent pas être installées par défaut. C’est ce que l’on appelle réduire la surface d’attaque. Par défaut, le produit ou service doit utiliser exclusivement des protocoles et algorithmes sécurisés.

La plupart des produits Oracle dépendent d’autres produits ou composants. Par exemple, si une application nécessite une base de données, les développeurs de l’application doivent comprendre quelles fonctionnalités de base de données sont requises et recommander une installation personnalisée des seuls composants essentiels. Les systèmes d’exploitation comprennent de nombreux services ou fonctionnalités qui ne sont pas indispensables pour toutes les applications. Les développeurs de l’application doivent déterminer quels services sont indispensables et désactiver les autres.

Configuration de cloud sécurisée

Les services de cloud sont déployés au sein d’une configuration spécifique ou d’un petit nombre de configurations. La sécurité de cette configuration doit être planifiée dès la phase de conception, par l’équipe de développement. Les développeurs mettant en œuvre le service doivent connaître la configuration planifiée. Les tests doivent être réalisés sur le produit dans cette configuration, les test préalables au déploiement étant réalisés dans un environnement identique à l’environnement de production.

Les équipes de développement cloud doivent fournir le service aux équipes d’opérations cloud au sein d’une configuration automatisée, entièrement sécurisée. L’utilisation de conteneurs, tels que Docker et les pipelines de déploiement automatique, aide les équipes de développement à répondre à ce besoin.

Les organisations de développement doivent offrir la possibilité d’évaluer la configuration de sécurité d’un service cloud par rapport à la configuration sécurisée de base de manière automatique, efficace, cohérente et fiable sur une flotte d’instances.