Güvenli Konfigürasyon

Bir kuruluşun güvenlik duruşundaki zayıflıkların kaynağına inildiğinde genellikle güvenli olmayan yazılım yapılandırmaları ile karşılaşılır ve bu zayıflıklar kesin olarak kullanılan yazılımdaki tasarım veya kodlamada hatalarından kaynaklanmayabilir. Varsayılan olarak tüm sistem kullanıcıları tarafından erişilebilecek şekilde yapılandırılan hassas veri dosyaları veya varsayılan parolalar ile önceden yapılandırılan yönetici hesaplarını içeren yazılımlar güvenli olmayan yapılandırmalara örnek olarak verilebilir. Oracle’ın Güvenli Yapılandırma standardı ürünlerin ve bulut servislerinin varsayılan olarak güvenli yapılandırmalara sahip olmasını gerektirir.

Güvenli Yapılandırma Gereksinimleri

Oracle ürünlerinin ve servislerinin varsayılan olarak güvenli olması gerekir. Ürünler ve servisler yalnızca amaçlanan işlevlerini yerine getirmek üzere gerekli bileşenleri yüklemelidir. Gösterim içeriği, varsayılan hesaplar ve hata ayıklama araçları gibi bir ürün dağıtımında amaçlanmayan hiçbir özellik varsayılan olarak yüklenmemelidir. Bu genellikle saldırı yüzeyini en aza indirmek olarak ifade edilir. Varsayılan olarak ürün veya servisin yalnızca güvenli protokolleri ve algoritmaları kullanması gerekir.

Çoğu Oracle ürünü, diğer ürünlere veya bileşenlere dayanır. Örneğin uygulama yazılımı bir veritabanını gerekli kılıyorsa uygulama yazılımı geliştiricileri hangi veritabanı özelliklerinin gerekli olduğunu anlamalı ve yalnızca temel bileşenlere ilişkin özel yükleme seçeneğini önermelidir. İşletim sistemleri tüm uygulama yazılımlarının ihtiyaç duymadığı pek çok özelliği veya servisi içerir. Uygulama yazılımı geliştiricileri hangi servislerin gerekli olduğunu belirlemeli ve diğerlerini devre dışı bırakmalıdır.

Güvenli Bulut Yapılandırması

Bulut servisleri belirli bir yapılandırmada veya çok az sayıda yapılandırmada dağıtılır. Geliştirme ekibi tasarım aşamasından itibaren bu yapılandırmanın güvenliğini planlamalıdır. Servisi uygulayan geliştiriciler planlanan yapılandırma konusunda bilgi sahibi olmalıdır. Test işlemi, üretim ortamı ile aynı ortamda ön dağıtım testleri gerçekleştirilmiş şekilde ürün üzerinde bu yapılandırmada gerçekleştirilmelidir.

Bulut geliştirme ekiplerinin servisi otomatik ve tamamen güvenli bir yapılandırmada bulut operasyonlarına sunması gerekir. Docker ve otomatik dağıtım hatları gibi konteynerlerin kullanılması, geliştirme ekiplerinin bu gereksinimi yerine getirmesine yardımcı olur.

Geliştirme kuruluşları, bir bulut servisinin güvenli yapılandırmasını çeşitli örnekler genelinde otomatik, verimli, tutarlı ve güvenilir şekilde güvenli yapılandırma temeline göre değerlendirebilme özelliği sağlamalıdır.