Configurare securizată

Slăbiciunile din starea de securitate a unei organizaţii pot fi adesea reduse la configuraţiile software nesecurizate şi nu sunt neapărat rezultatul unor erori de proiectare sau de codificare în software-ul pe care îl utilizează. Exemplele de configuraţii nesecurizate includ fişiere de date sensibile configurate în mod implicit ca fiind accesibile tuturor utilizatorilor din sistem, sau software în care conturile de administrator pre-configurate au parole implicite. Standardul de configurare securizată Oracle impune ca produsele şi serviciile în cloud să aibă implicit configuraţii securizate.

Cerinţe pentru configurarea securizată

Produsele şi serviciile Oracle trebuie să fie implicit securizate. Produsele şi serviciile trebuie să aibă instalate numai componentele esenţiale necesare pentru executarea funcţiilor stabilite. Orice caracteristici care nu au fost destinate implementării în producţie, precum un conţinut demonstrativ, conturi sau instrumente de depanare implicite, nu trebuie instalate implicit. Acest lucru constituie, de regulă, o minimizare a suprafeţei de atac. Implicit, produsul sau serviciul trebuie să utilizeze numai protocoale sau algoritmi securizaţi.

Cele mai multe produse Oracle depind de alte produse sau componente. De exemplu, dacă o aplicaţie necesită o baze de date, dezvoltatorii aplicaţiei trebuie să înţeleagă ce caracteristici ale bazei de date sunt necesare şi să recomande numai instalarea personalizată a componentelor esenţiale. Sistemele de operare includ multe caracteristici sau servicii care nu sunt necesare pentru toate aplicaţiile. Dezvoltatorii de aplicaţii trebuie să determine care servicii sunt necesare şi să le dezactiveze pe celelalte.

Configurare securizată în cloud

Serviciile în cloud sunt implementate ca o configuraţie specifică sau ca un număr mic de configuraţii. Securitatea acestor configuraţii trebuie planificată din faza de proiectare, de către echipa de dezvoltare. Dezvoltatorii care implementează serviciul trebuie să cunoască detaliile configuraţiei planificate. Testarea produsului trebuie efectuată în această configuraţie, cu testele dinaintea implementării efectuate într-un mediu identic cu mediul de producţie.

Echipele de dezvoltare în cloud trebuie să furnizeze serviciul echipelor de operaţiuni în cloud într-o configuraţie automatizată, complet securizată. Utilizarea unor containere, precum Docker şi a magistralelor automatizate de implementare ajută echipele de dezvoltare să îndeplinească această cerinţă.

Organizaţiile de dezvoltare trebuie să ofere o funcţionalitate prin care configuraţiile de securitate ale unui serviciu în cloud să poată fi comparate cu configuraţia securizată de referinţă, în mod automatizat, eficient, consecvent şi fiabil, în cadrul mai multor instanţe.