Erste Schritte mit Vulnerability Detection and Patch Management Service
Hier finden Sie Informationen zu den ersten Schritten mit Vulnerability Detection und Patch Management. Beachten Sie, dass beim Aktivieren des Vulnerability Detection- und Patching-Service beide Komponenten aktiviert werden und nicht einzeln aktiviert oder deaktiviert werden können.
Unterstützte Varianten
| Unterstützte Deployment-Typen | Unterstützte Datenbankversionen zur Erkennung von Sicherheitslücken | Unterstützte Datenbankversionen für Patchmanagement | Unterstützte Plattformen |
|---|---|---|---|
Externe Datenbanken
|
12c und höher | 19c und höher | Linux |
Terminologie für die Erkennung und das Patchen von Sicherheitslücken
- Erkennung und Korrektur von Sicherheitslücken: Es handelt sich um einen Prozess, der potenzielle Sicherheitslücken (Schwachstellen) innerhalb von Datenbanksystemen identifiziert und die erforderlichen Maßnahmen ergreift, um diese Schwachstellen zu beheben oder zu mindern und das Risiko der Ausbeutung durch Cyberangreifer effektiv zu beseitigen. Es umfasst das Scannen nach Sicherheitslücken, das Priorisieren nach Schweregrad, das Einspielen von Patches und Updates, um diese zu beheben.
- CVE: Das CVE-System (Common Vulnerabilities and Exposures) bietet eine Referenzmethode für öffentlich bekannte Sicherheitslücken und -risiken. Die Mission des CVE-Programms ist es, öffentlich offengelegte Cybersicherheitsschwachstellen zu identifizieren, zu definieren und zu katalogisieren.
Die US-amerikanische National Cybersecurity FFRDC, die von der MITRE Corporation betrieben wird, verwaltet die Datenbank. CVE- und CVE-IDs sind im System von Mitre sowie in der US National Vulnerability Database aufgeführt.
- CVSS: Das Common Vulnerability Scoring System (CVSS) ist eine Methode zur Bereitstellung eines qualitativen Schweregrads. Metriken führen zu einem numerischen Score von 0 bis 10. CVSS eignet sich gut als Standard-Messsystem für Branchen, Organisationen und Regierungen, die genaue und konsistente Sicherheitslücken-Schweregrade benötigen.
Qualitative Bewertungen des Schweregrads in CVSS v4.0 notiert Bewertungen wie folgt:
Severity Scorebereich Keine 0 Low 0,1-3,9 Medium 4-6,9 High 7-8,9 Kritisch 9-10
- BYOL: Mit Bring Your Own License (BYOL) können Sie Ihre vorhandenen Oracle-Softwarelizenzen aus On-Premise-Umgebungen verwenden, um Anwendungen in der Oracle Cloud auszuführen, ohne neue Lizenzen erwerben zu müssen. Wenn Sie Enterprise Manager Database Lifecycle Management-(DBLM-)Pack lizenziert haben, können Sie mit der BYOL-Option den OCI Vulnerability Detection and Patching-Service zu 50% Kosten verwenden.
- Patchklassifizierung : Empfohlene Sicherheits-/alternative Patches. Oracle Critical Patch Updates (CPU) gelten als empfohlene Sicherheitspatches und werden am dritten Dienstag im Januar, April, Juli und Oktober veröffentlicht.
Oracle empfiehlt Critical Patch Updates (CPUs) für unterstützte Produkte. Der Service zur Erkennung und Patches von Sicherheitslücken empfiehlt Ihnen, obligatorische empfohlene Sicherheitspatches einzuspielen sowie empfohlene alternative Patches zu evaluieren und einzuspielen.
- Datenbankrelease: Gibt ein Major Release an. Beispiel: 19c, 23ai.
- Gold Image: Stellt ein Datenbankrelease dar. Ein Gold Image besteht aus Versionen, die der Datenbankversion zugeordnet sind. Wenn Sie ein Gold Image (manchmal auch als Image bezeichnet) erstellen, erstellen Sie es mit einer Version. Oracle empfiehlt, pro Datenbankrelease nur ein Gold Image zu erstellen. Gold-Bilder dürfen nicht leer sein, sie müssen ein Bild enthalten.
Wenn neue Datenbankversionen von Oracle freigegeben werden, fügen Sie Ihrem Image neue Versionen hinzu. Beispiel: In einem 19c-Release erstellen Sie das Gold-Image 19c_Release und fügen dann neue Versionen wie 1910DBRU, 1915DBRU, 1922DBRU usw. hinzu. Oracle empfiehlt, dass Gold Images bis zu 3 Versionen enthalten, was eine einfache Wartung und Speicherplatznutzung ermöglicht.
- Datenbank aktualisieren: Ist ein Patching-Vorgang, bei dem die Datenbank innerhalb desselben Release von einem höheren Wert aktualisiert wird. Beispiel: Aktualisieren Sie von Oracle 19.15c auf 19.22c.
- MOS-Verbindung und Zugangsdaten: Ein Service, der eine Verbindung zu MOS (My Oracle Support) herstellt, um Patches, Releaseupdates, Patches für monatliche Releases, ARU-Seed-Daten (Produkte, Plattformen, Releases, Komponenten, Zertifizierungsdetails und Patchempfehlungen) herunterzuladen.
- Ressourcentyp: Sicherheitslückenerkennung und -patching können mit den folgenden externen Datenbanken verwendet werden: Containerdatenbank (CDB), Einzelinstanz- und RAC-Instanzdatenbanken.
Hinweis
Derzeit werden nur externe Datenbanken unterstützt, die auf On-Premise- oder virtuellen Oracle Cloud Infrastructure-Maschinen unter Linux-Betriebssystem ausgeführt werden. - Out-of-Place-Patching: Ist ein Mechanismus, bei dem das Gold Image mit den erforderlichen Patches in einem neuen Home bereitgestellt wird. Nach Abschluss migrieren Sie die Datenbankinstanzen, um sie vom neuen Home aus auszuführen, und stellen so minimale Ausfallzeiten sicher.
- Rolling-Modus: In diesem Modus werden die Knoten des Clusters einzeln nacheinander gepatcht.
- Prüfkonflikte: Bewerten Sie Patchkonflikte pro Datenbank, und reduzieren Sie anschließend die Anzahl der zusammengeführten Patches.
- Software bereitstellen: Oracle Home-Software-Deployment.
- Patchvorgang: Sie können alle Patchmanagementvorgänge nach Vorgangsname, Anzahl der gepatchten Datenbanken, Status (erfolgreich, mit Fehlern abgeschlossen, nicht erfolgreich), Startzeit, Endzeit und verstrichener Zeit anzeigen.
- Patchcompliance: Zeigt an, wie viele der abonnierten Ziele sich in der aktuellen Version befinden. Die Compliance gibt auch an, dass abonnierte Ziele nicht in der aktuellen Version des Images enthalten sind und aktualisiert werden müssen.
Sicherheitslücken und Patching einrichten
Um mit der Erkennung und dem Patching von Sicherheitslücken zu beginnen, müssen Sie die Voraussetzungen erfüllen, die erforderlichen Berechtigungen abrufen und den Service aktivieren.