Veilige configuratie

Zwakke punten in de beveiliging van een organisatie zijn vaak terug te voeren op onveilige softwareconfiguraties en zijn niet noodzakelijkerwijs het resultaat van fouten in het ontwerp of de codering in de gebruikte software. Voorbeelden van onveilige configuraties zijn gevoelige databestanden die standaard zo zijn geconfigureerd dat ze toegankelijk zijn voor alle systeemgebruikers of software met vooraf geconfigureerde beheerdersaccounts met standaardwachtwoorden. De standaard Veilige configuratie van Oracle vereist dat producten en cloudservices standaard veilige configuraties hebben.

Vereisten voor veilige configuratie

Oracle-producten en -services moeten standaard veilig zijn. Bij producten en services mogen alleen de essentiële componenten worden geïnstalleerd om de bedoelde functies uit te voeren. Alle functies die niet bedoeld zijn voor een productie-implementatie, zoals demonstratie-inhoud, standaardaccounts en debugtools, mogen niet standaard worden geïnstalleerd. Dit wordt meestal minimalisering van het aanvalsoppervlak genoemd. In het product of de service mogen standaard alleen veilige protocollen en algoritmen worden gebruikt.

De meeste Oracle-producten zijn afhankelijk van andere producten of componenten. Als een applicatie bijvoorbeeld een database nodig heeft, moeten de applicatieontwikkelaars begrijpen welke databasekenmerken nodig zijn en een aangepaste installatie van alleen essentiële componenten aanbevelen. Besturingssystemen bevatten veel functies of services die niet voor alle applicaties nodig zijn. De applicatieontwikkelaars moeten bepalen welke services nodig zijn en eventuele andere services uitschakelen.

Veilige configuratie cloud

Cloudservices worden geïmplementeerd in een specifieke configuratie of een klein aantal configuraties. De beveiliging van deze configuratie moet door het ontwikkelingsteam vanaf de ontwerpfase worden gepland. De ontwikkelaars die de service implementeren, moeten op de hoogte zijn van de geplande configuratie. In deze configuratie moeten tests voor het product worden uitgevoerd, waarbij pre-implementatietests worden uitgevoerd in een omgeving die identiek is aan de productieomgeving.

Er zijn cloudontwikkelingsteams vereist om de service te leveren aan teams die in de cloud in een geautomatiseerde, volledig veilige configuratie werken. Het gebruik van containers, zoals Docker en geautomatiseerde implementatiepijplijnen, helpt ontwikkelingsteams aan deze vereiste te voldoen.

Ontwikkelingsorganisaties moeten een mogelijkheid bieden waarbij de beveiligingsconfiguratie van een cloudservice aan de hand van de veilige configuratiebasis op een geautomatiseerde manier, efficiënt, consistent en betrouwbaar in een hele reeks instanties kan worden geëvalueerd.