Bezpieczna konfiguracja

Niski poziom zabezpieczeń organizacji często jest konsekwencją nieodpowiednich konfiguracji oprogramowania, a nie błędów w projekcie lub kodzie źródłowym tych aplikacji. Przykładem takich niebezpiecznych konfiguracji jest ustawienie dostępności plików zawierających wrażliwe dane domyślnie dla wszystkich użytkowników systemu albo używanie programów, w których predefiniowane konta administratorów mają przypisane domyślne hasła. Stosowany przez Oracle standard „Bezpieczna konfiguracja” wymaga, aby wszystkie produkty i usługi chmurowe miały domyślnie bezpieczne konfiguracje.

Wymagania standardu „Bezpieczna konfiguracja”

Produkty i usługi Oracle muszą być domyślnie bezpieczne. Oznacza to między innymi, że powinny instalować tylko te swoje składniki, które są niezbędne do wykonywania deklarowanych funkcji. Wszelkie opcje zbędne w środowisku produkcyjnym, takie jak treści demonstracyjne, konta domyślne i narzędzia debugowania, nie powinny być instalowane domyślnie. Takie obostrzenie powszechnie nazywa się „minimalizowaniem powierzchni ataku”. Domyślnie produkty i usługi powinny używać wyłącznie bezpiecznych protokołów i algorytmów.

Większość produktów Oracle potrzebuje do prawidłowego działania produktów i składników innych producentów. Na przykład: jeśli aplikacja potrzebuje bazy danych, programiści tworzący aplikację powinni ustalić, jakie funkcje bazy są niezbędne, i zarekomendować niestandardową instalację tylko nieodzownych składników. Systemy operacyjne zawierają wiele funkcji i usług przydatnych tylko niektórym aplikacjom. Programiści aplikacji muszą stwierdzić, które usługi są potrzebne, a pozostałe wyłączyć.

Bezpieczna konfiguracja chmury

Usługi chmurowe są wdrażane z określonymi konfiguracjami albo z niewielką liczbą różnych konfiguracji. Bezpieczeństwo tych konfiguracji musi zostać szczegółowo zaplanowane już na etapie projektowania przez zespół tworzący oprogramowanie. Z kolei programiści wdrażający usługę muszą wiedzieć o planowanej konfiguracji. Produkt musi zostać przetestowany w tej konfiguracji, z testami przedwdrożeniowymi w środowisku identycznym z produkcyjnym.

Zespoły opracowujące rozwiązania dla chmury muszą dostarczyć gotowe usługi zespołom operatorów chmury w postaci automatycznej, całkowicie zabezpieczonej konfiguracji. Pomaga w tym stosowanie kontenerów, takich jak Docker czy automatyczne potoki wdrożeń.

Zespoły programistów tworzących aplikacje muszą udostępnić środowisko, w którym konfigurację zabezpieczeń usługi chmurowej można porównać w wzorcem bezpiecznej konfiguracji w pełni automatycznie, sprawnie, spójnie i niezawodnie dla wszystkich planowanych wystąpień.