Documentación de Oracle Cloud Infrastructure

Introducción al servicio de detección de vulnerabilidades y gestión de parches

A continuación, se muestra información sobre cómo empezar a utilizar la detección de vulnerabilidades y la gestión de parches. Tenga en cuenta que al activar el servicio de detección y aplicación de parches de vulnerabilidades, ambos componentes se activarán y no se podrán activar ni desactivar individualmente.

Versiones soportadas

Tipos de despliegue soportados Versiones de base de datos compatibles con la detección de vulnerabilidades Versiones de Base de Datos Soportadas por la Gestión de Parches Plataformas soportadas
Bases de datos externas
  • Bases de datos que se ejecutan de forma local
  • Bases de datos basadas en VM de OCI registradas como externas en OCI Database Management
 12c y posteriores 19c y posteriores Linux

Terminología utilizada en la detección y aplicación de parches de vulnerabilidades

Terminología específica de la detección de vulnerabilidades:
  • Detección y solución de vulnerabilidades: es un proceso que identifica posibles debilidades de seguridad (vulnerabilidades) dentro de los sistemas de bases de datos y toma las medidas necesarias para corregir o mitigar dichas debilidades y eliminar eficazmente el riesgo de explotación por parte de los ciberataques. Implica buscar vulnerabilidades, priorizarlas en función de la gravedad, aplicar parches y actualizaciones para abordarlas.
  • CVE: el sistema de exposiciones y vulnerabilidades comunes (CVE) proporciona un método de referencia para las exposiciones y vulnerabilidades de seguridad de la información conocidas públicamente. La misión del Programa CVE es identificar, definir y catalogar vulnerabilidades de ciberseguridad divulgadas públicamente.

    La FFRDC Nacional de Ciberseguridad de los Estados Unidos, operada por MITRE Corporation, mantiene la base de datos. Los ID de CVE y CVE se enumeran en el sistema de Mitre, así como en la base de datos nacional de vulnerabilidades de EE. UU.

  • CVSS: el sistema común de puntuación de vulnerabilidades (CVSS) es un método utilizado para proporcionar una medida cualitativa de gravedad. Las métricas generan una puntuación numérica que oscila entre 0 y 10. CVSS es un sistema de medición estándar para industrias, organizaciones y gobiernos que necesitan puntuaciones de gravedad de vulnerabilidad precisas y consistentes.
    Las calificaciones de gravedad cualitativa en CVSS v4.0 no incluyen las calificaciones siguientes:
    Gravedad Rango de puntuación
    Ninguno 0
    Baja 0.1-3.9
    Media 4.0-6.9
    Alta 7.0-8.9
    Crítico 9.0-10.0
Terminología específica de la aplicación de parches
  • BYOL: con Traiga su propia licencia (BYOL), puede utilizar sus licencias de software de Oracle existentes de entornos locales para ejecutar aplicaciones en la nube de Oracle sin tener que adquirir nuevas licencias. Si tiene licencia para el paquete Enterprise Manager Database Lifecycle Management (DBLM), puede utilizar la opción BYOL para utilizar el servicio OCI Vulnerability Detection and Patching con un costo del 50 %.
  • Clasificación de parches: seguridad recomendada/parches alternativos. Las actualizaciones de parches críticos (CPU) de Oracle se consideran parches de seguridad recomendados y se publican el tercer martes de enero, abril, julio y octubre.

    Oracle recomienda actualizaciones de parches críticos (CPU) para los productos soportados. El servicio de detección y aplicación de parches de vulnerabilidades recomienda aplicar los parches de seguridad recomendados obligatorios, así como evaluar y aplicar los parches alternativos recomendados.

  • Versión de base de datos: indica una versión principal, por ejemplo: 19c, 23ai.
  • Imagen principal: representa una versión de base de datos, una imagen principal consta de versiones que se asignan a la versión de base de datos. Cuando se crea una imagen principal (a veces denominada imagen), se crea con una versión. Oracle recomienda crear solo una imagen principal para cada versión de base de datos. Las imágenes doradas no pueden estar vacías, deben contener una imagen.

    Cuando Oracle publica nuevas versiones de base de datos, se agregan nuevas versiones a la imagen. Por ejemplo, en una versión 19c, se crea la imagen principal 19c_Release y, a continuación, se agregan nuevas versiones como 1910DBRU, 1915DBRU, 1922DBRU, etc. Oracle recomienda que las imágenes Gold contengan hasta 3 versiones, lo que facilita el mantenimiento y la utilización del espacio.

  • Actualizar base de datos: es una operación de aplicación de parches, en la que la base de datos se actualiza de una versión superior en la misma versión. Por ejemplo, actualizar de Oracle 19.15c a 19.22c .
  • Conexión y credenciales de MOS: servicio que se conecta a MOS (My Oracle Support) para descargar parches, actualizaciones de versiones, parches de versiones mensuales, datos iniciales de ARU (productos, plataformas, versiones, componentes, detalles de certificación y recomendaciones de parches).
  • Tipo de recurso: la detección y la aplicación de parches de vulnerabilidades se pueden utilizar con las siguientes bases de datos externas: bases de datos de contenedor (CDB), de instancia única e de instancia RAC.
    Nota

    Actualmente solo están soportadas las bases de datos externas que se ejecutan en las máquinas virtuales locales o en las máquinas virtuales de Oracle Cloud Infrastructure del sistema operativo Linux.
  • Aplicación de parches externa: es un mecanismo en el que la imagen principal que contiene los parches necesarios se despliega en un nuevo directorio raíz. Una vez completadas, migre las instancias de base de datos para que se ejecuten desde el nuevo directorio raíz, lo que garantiza un tiempo de inactividad mínimo.
  • Modo de acumulación: en este modo, se aplican parches individuales a los nodos del cluster, uno por uno.
  • Comprobar conflictos: evalúe los conflictos de parches por base de datos y, posteriormente, reduzca el número de parches fusionados.
  • Desplegar software: despliegue de software del directorio raíz de Oracle.
  • Operación de parche: puede ver todas las operaciones de gestión de parches por nombre de operación, número de bases de datos a las que se han aplicado parches, estado (correcto, completado con errores, con fallos), hora de inicio, hora de finalización y tiempo transcurrido.
  • Conformidad de parches: muestra cuántos de los destinos suscritos están en la versión actual. La conformidad también indica que los destinos suscritos no están en la versión actual de la imagen y deben actualizarse.

Configurar vulnerabilidad y aplicación de parches

Para empezar a utilizar la detección y aplicación de parches de vulnerabilidades, complete los requisitos previos, obtenga los permisos necesarios y active el servicio.