Обеспечение безопасности ПО

Гарантия защищенности ПО
Oracle Software Security Assurance

Безопасная конфигурация

Введение

Слабые места в уровне защиты организации часто являются следствием незащищенных конфигураций используемого ПО, а не ошибок при его разработке или программировании. Как примеры незащищенных конфигураций можно привести случаи, когда к файлам с конфиденциальными данными по умолчанию открыт доступ для всех пользователей системы или когда в ПО с предварительно настроенными учетными записями администраторов используются стандартные пароли. Стандарт защищенных конфигураций Oracle требует, чтобы в продуктах и облачных сервисах по умолчанию использовались защищенные конфигурации.

Требования к защищенной конфигурации

Продукты и сервисы Oracle должны быть защищены по умолчанию. В стандартную установку продуктов и сервисов должны входить только компоненты, необходимые для выполнения заданных функций. Любые компоненты, не предназначенные для производственного развертывания, такие как демонстрационный контент, стандартные учетные записи и инструменты отладки, не должны устанавливаться по умолчанию. Таким образом, сводится к минимуму количество видов возможных атак. Продукты и сервисы по умолчанию должны использовать только защищенные протоколы и алгоритмы.

Большинство продуктов Oracle зависит от других продуктов или компонентов. Например, если для приложения требуется база данных, разработчики приложения должны понимать, какие именно функции базы данных нужны приложению, и рекомендовать пользовательскую установку только нужных компонентов. Операционные системы включают множество функций и служб, которые нужны не всем приложениям. Разработчики приложения должны определить необходимые службы и отключить все остальные.

Защищенная конфигурация облака

Облачные сервисы развертываются в определенной конфигурации или в небольшом количестве конфигураций. Безопасность этой конфигурации должна планироваться командой разработчиков, начиная с этапа проектирования. Разработчики, развертывающие службу, должны быть в курсе запланированной конфигурации. Продукт должен быть предварительно протестирован в этой конфигурации, при этом тестирование должно проводиться в среде, идентичной производственной.

Отделы разработки облачных служб должны передавать службы в отделы эксплуатации в автоматизированной, полностью защищенной конфигурации. Чтобы выполнить это требование, отделы разработки могут использовать контейнеры, такие как Docker, и автоматизированные циклы развертывания.

Организации, занимающиеся разработкой, должны предоставить возможность автоматически, эффективно, последовательно и стабильно проверять соответствие защищенной конфигурации облачного сервиса базовым стандартам по всему набору экземпляров.


Узнать больше