Configuración segura

Una débil posición de seguridad de una organización a menudo puede deberse a las configuraciones de software inseguras, y no necesariamente a errores de diseño o codificación del software que utiliza. Ejemplos de configuraciones inseguras incluyen: archivos de datos sensibles configurados de forma predeterminada para que sean accesibles para todos los usuarios del sistema, o software con cuentas de administrador preconfiguradas con contraseñas configuradas de forma predeterminada. El estándar de la configuración de seguridad de Oracle requiere que los productos y los servicios en la nube tengan configuraciones seguras de forma predeterminada.

Requisitos de la configuración segura

Los productos y servicios de Oracle deben ser seguros de forma predeterminada. Los productos y servicios solo deben instalar los componentes esenciales para poder ejecutar sus funciones. Cualquier función que no se destine a la implementación de producción, como demostración de contenido, cuentas predeterminadas y herramientas de depuración, no deben ser instaladas de forma predeterminada. A esto comúnmente se lo llama reducción de la superficie de ataque. Por configuración predeterminada, el producto o el servicio solo debe utilizar protocolos y algoritmos seguros.

La mayoría de los productos de Oracle dependen de otros productos o componentes. Por ejemplo, si una aplicación necesita de una base de datos, los desarrolladores de aplicaciones deben saber qué funciones de la base de datos son necesarias y recomendar una instalación personalizada de los componentes esenciales exclusivamente Los sistemas operativos incluyen muchas funciones o servicios que no necesitan todas las aplicaciones. Los desarrolladores de aplicaciones deben determinar qué servicios son necesarios y desactivar los que no.

Configuración segura de la nube

Los servicios en la nube se implementan en configuraciones específicas o en pequeñas cantidades de configuraciones. El equipo desarrollador debe diseñar la seguridad de esta configuración desde la fase de diseño. Los desarrolladores que implementan el servicio deben estar al tanto de la configuración planificada. La prueba se debe realizar sobre el producto de la configuración, con la ejecución de pruebas de preimplementación en un entorno idéntico al de producción.

Los equipos de desarrollo de la nube deben brindar el servicio a los equipos de operaciones de la nube en una configuración automatizada y complemente segura. El uso de contenedores, como Docker y canalizaciones automatizadas de implementación ayudan a los equipos de desarrolladores a cumplir con estos requisitos.

Las organizaciones de desarrolladores deben ofrecer una capacidad donde la configuración de seguridad de un servicio en la nube pueda ser evaluado frente a la configuración de seguridad de base de forma automática, eficiente, consistente y confiable a través de varias instancias.