Documentación de Oracle Cloud Infrastructure

Introducción al servicio de detección de vulnerabilidades y gestión de parches

A continuación, se muestra información sobre cómo empezar a utilizar la detección de vulnerabilidades y la gestión de parches. Tenga en cuenta que al activar el servicio de detección y aplicación de parches de vulnerabilidades, ambos componentes se activarán y no se podrán activar ni desactivar individualmente.

Versiones Soportadas

Tipos de despliegue soportados Versiones de base de datos compatibles con la detección de vulnerabilidades Versiones de Base de Datos Soportadas por la Gestión de Parches Plataformas soportadas
Bases de datos externas
  • Bases de datos que se ejecutan de forma local
  • Bases de datos basadas en VM de OCI registradas como externas en OCI Database Management
 12c y posteriores 19c y posteriores Linux

Terminología utilizada en la detección y aplicación de parches de vulnerabilidades

Terminología específica de la detección de vulnerabilidades:
  • Detección y solución de vulnerabilidades: es un proceso que identifica posibles debilidades de seguridad (vulnerabilidades) dentro de los sistemas de base de datos y toma las medidas necesarias para corregir o mitigar dichas debilidades y eliminar eficazmente el riesgo de explotación por parte de los ciberataques. Implica analizar las vulnerabilidades, priorizarlas en función de la gravedad, aplicar parches y actualizaciones para abordarlas.
  • CVE: el sistema Common Vulnerabilities and Exposures (CVE) proporciona un método de referencia para vulnerabilidades y exposiciones de seguridad de la información conocidas públicamente. La misión del Programa CVE es identificar, definir y catalogar vulnerabilidades de ciberseguridad divulgadas públicamente.

    El FFRDC de ciberseguridad nacional de los Estados Unidos, operado por MITRE Corporation, mantiene la base de datos. Los ID de CVE y CVE se enumeran en el sistema de Mitre, así como en la Base de Datos Nacional de Vulnerabilidad de los Estados Unidos.

  • CVSS: el sistema común de puntuación de vulnerabilidades (CVSS) es un método utilizado para proporcionar una medida cualitativa de gravedad. Las métricas dan como resultado una puntuación numérica que oscila entre 0 y 10. CVSS es adecuado como un sistema de medición estándar para industrias, organizaciones y gobiernos que necesitan puntuaciones de gravedad de vulnerabilidad precisas y consistentes.
    Calificaciones cualitativas de gravedad en CVSS v4.0 nota las calificaciones de la siguiente manera:
    Severity Rango de puntuación
    Ninguna. 0
    Baja 0,1-3,9
    Media 4-6,9
    Superior 7-8,9
    Crítico 9-10
Terminología específica de la aplicación de parches
  • BYOL: con Traiga su propia licencia (BYOL), puede utilizar sus licencias de software de Oracle existentes de entornos locales para ejecutar aplicaciones en la nube de Oracle sin tener que adquirir nuevas licencias. Si tiene licencia para el paquete Enterprise Manager Database Lifecycle Management (DBLM), puede utilizar la opción BYOL para utilizar el servicio OCI Vulnerability Detection and Patching a un costo del 50 %.
  • Clasificación de parches: seguridad recomendada/parches alternativos. Las Actualizaciones de Parches Críticos (CPU) de Oracle se consideran parches de seguridad recomendados y se publican el tercer martes de enero, abril, julio y octubre.

    Oracle recomienda actualizaciones de parches críticos (CPU) para los productos soportados. El servicio de detección de vulnerabilidades y aplicación de parches recomienda aplicar parches de seguridad recomendados obligatorios, así como evaluar y aplicar también los parches alternativos recomendados.

  • Versión de base de datos: indica una versión principal, por ejemplo: 19c, 23ai.
  • Imagen dorada: representa una versión de base de datos, una imagen principal consta de versiones asignadas a la versión de base de datos. Cuando crea una imagen principal (a veces denominada imagen), la crea con una versión. Oracle recomienda crear solo una imagen principal para cada versión de base de datos. Las imágenes doradas no pueden estar vacías, deben contener una imagen.

    Cuando Oracle publica nuevas versiones de base de datos, agrega nuevas versiones a la imagen. Por ejemplo, en una versión 19c, cree la imagen principal 19c_Release y, a continuación, agregue nuevas versiones como 1910DBRU, 1915DBRU, 1922DBRU, etc. Oracle recomienda que las imágenes principales contengan hasta 3 versiones, lo que facilita el mantenimiento y la utilización del espacio.

  • Actualizar base de datos: es una operación de aplicación de parches, en la que la base de datos se actualiza de una versión superior en la misma versión. Por ejemplo, actualizando de Oracle 19.15c a 19.22c.
  • Conexión y credenciales de MOS: servicio que se conecta a MOS (My Oracle Support) para descargar parches, actualizaciones de versiones, parches de versiones mensuales, datos iniciales de ARU (productos, plataformas, versiones, componentes, detalles de certificación y recomendaciones de parches).
  • Tipo de recurso: la detección y la aplicación de parches de vulnerabilidades se pueden utilizar con las siguientes bases de datos externas: bases de datos de contenedor (CDB), de instancia única e de instancia RAC.
    Nota

    Actualmente, solo están soportadas las bases de datos externas que se ejecutan en el sistema operativo local u Oracle Cloud Infrastructure Virtual Machines on Linux.
  • Aplicación de parches externa: mecanismo en el que la imagen principal que contiene los parches necesarios se despliega en un nuevo directorio raíz. Una vez terminadas, migrará las instancias de base de datos para que se ejecuten desde el nuevo directorio raíz, lo que garantiza un tiempo de inactividad mínimo.
  • Modo de rotación: en este modo, se aplican parches a los nodos del cluster de forma individual, uno por uno.
  • Comprobar conflictos: evalúe los conflictos de parches por base de datos y, posteriormente, reduzca el número de parches fusionados.
  • Desplegar software: despliegue de software del directorio raíz de Oracle.
  • Operación de parche: puede ver todas las operaciones de gestión de parches por nombre de operación, número de bases de datos a las que se han aplicado parches, estado (correcto, completado con errores, fallo), hora de inicio, hora de finalización y tiempo transcurrido.
  • Cumplimiento de parches: muestra cuántos de los destinos suscritos están en la versión actual. La conformidad también indica que los destinos suscritos no están en la versión actual de la imagen y deben actualizarse.

Configurar vulnerabilidad y aplicación de parches

Para empezar a utilizar la detección de vulnerabilidades y la aplicación de parches, complete los requisitos, obtenga los permisos necesarios y active el servicio.