Documentation sur Oracle Cloud Infrastructure

Démarrer avec le service de détection des vulnérabilités et de gestion des correctifs

Voici des informations sur la façon de démarrer avec Vulnerability Detection and Patch Management. Notez que lors de l'activation du service de détection des vulnérabilités et d'application de correctifs, les deux composants sont activés et ne peuvent pas être activés ou désactivés individuellement.

Versions prises en charge

Types de déploiement pris en charge Versions de base de données prises en charge pour la détection des vulnérabilités Versions de base de données prises en charge par la gestion des correctifs Plates-formes prises en charge
Bases de données externes
  • Bases de données exécutées sur place
  • Bases de données basées sur une machine virtuelle OCI enregistrées comme externes dans le service de gestion de bases de données OCI
 À partir de la version 12c À partir de la version 19c Linux

Terminologie utilisée dans la détection des vulnérabilités et l'application de correctifs

Terminologie propre à la détection des vulnérabilités :
  • Détection et correction de vulnérabilités : Il s'agit d'un processus qui identifie les faiblesses potentielles en matière de sécurité (vulnérabilités) au sein des systèmes de base de données et prend les mesures nécessaires pour corriger ou atténuer ces faiblesses et éliminer efficacement le risque d'exploitation par les cyberattaquants. Il s'agit de rechercher les vulnérabilités, de les hiérarchiser en fonction de leur gravité, d'appliquer des correctifs et des mises à jour pour y remédier.
  • CVE : Le système CVE (Common Vulnerabilities and Exposures) fournit une méthode de référence pour les vulnérabilités et les expositions connues du public liées à la sécurité des informations. La mission du programme CVE est d'identifier, de définir et de cataloguer les vulnérabilités de cybersécurité divulguées publiquement.

    Le National Cybersecurity FFRDC des États-Unis, exploité par The MITRE Corporation, tient à jour la base de données. Les ID CVE et CVE sont répertoriés dans le système de Mitre ainsi que dans la base de données nationale sur les vulnérabilités (National Vulnerability Database) des États-Unis.

  • CVSS : Le système CVSS (Common Vulnerability Scoring System) est une méthode utilisée pour fournir une mesure qualitative de la gravité. Les mesures donnent une note numérique allant de 0 à 10. CVSS est bien adapté en tant que système de mesure standard pour les industries, les organisations et les gouvernements qui ont besoin de scores de gravité de vulnérabilité précis et cohérents.
    Les notations de gravité qualitatives dans CVSS v4.0 notent les notations comme ci-dessous :
    Gravité Intervalle de notes
    Aucune 0
    Low 0.1-3.9
    Moyen 4-6.9
    High 7-8.9
    Critique 9-10
Terminologie propre à l'application de correctifs
  • BYOL : Avec l'option Utiliser sa propre licence (BYOL), vous pouvez utiliser vos licences logicielles Oracle existantes à partir d'environnements sur place pour exécuter des applications sur le nuage Oracle sans avoir à acheter de nouvelles licences. Si vous disposez d'une licence d'ensemble Enterprise Manager Database Lifecycle Management (DBLM), vous pouvez utiliser le service BYOL pour utiliser le service de détection des vulnérabilités et d'application de correctifs OCI à un coût de 50 %.
  • Classification des correctifs : Sécurité recommandée / Correctifs de remplacement. Les correctifs essentiels (CPU) d'Oracle sont considérés comme des correctifs de sécurité recommandés et sont publiés le troisième mardi de janvier, d'avril, de juillet et d'octobre.

    Oracle recommande les mises à jour de correctifs critiques pour les produits pris en charge. Le service de détection des vulnérabilités et d'application de correctifs vous recommande d'appliquer les correctifs de sécurité recommandés obligatoires, ainsi que d'évaluer et d'appliquer les autres correctifs recommandés.

  • Version de base de données : Désigne une version majeure, par exemple : 19c, 23ai.
  • Image d'or : Représente une version de base de données, une image d'or est constituée de versions mappées à la version de la base de données. Lorsque vous créez une image dorée (parfois appelée image), vous la créez avec une version. Oracle recommande de ne créer qu'une seule image Gold pour chaque version de base de données. Les images en or ne peuvent pas être vides, elles doivent contenir une image.

    Lorsque de nouvelles versions de base de données sont publiées par Oracle, vous ajoutez de nouvelles versions à votre image. Par exemple, dans une version de 19c, vous créez l'image de référence 19c_Release, puis vous ajoutez de nouvelles versions telles que 1910DBRU, 1915DBRU, 1922DBRU, etc. Oracle recommande que les images Gold contiennent jusqu'à 3 versions, ce qui facilite la maintenance et l'utilisation de l'espace.

  • Mettre à jour la base de données : Il s'agit d'une opération d'application de correctifs, où la base de données est mise à jour d'une version supérieure dans la même version. Par exemple, la mise à jour d'Oracle 19.15c vers 19.22c .
  • Connexion et données d'identification MOS : Service qui se connecte à MOS (My Oracle Support) pour télécharger des correctifs, des mises à jour de version, des correctifs de version mensuelle, des données de départ ARU (produits, plateformes, versions, composants, détails de certification et recommandations de correctifs).
  • Type de ressource : La détection des vulnérabilités et l'application de correctifs peuvent être utilisées avec les bases de données externes suivantes : base de données conteneur, instance unique et base de données d'instance RAC.
    Note

    Actuellement, seules les bases de données externes s'exécutant sur des machines virtuelles sur place ou Oracle Cloud Infrastructure sur un système d'exploitation Linux sont prises en charge.
  • Application de correctifs dans un emplacement différent : Mécanisme dans lequel l'image Gold contenant les correctifs requis est déployée dans un nouveau répertoire de base. Une fois l'opération terminée, vous migrez les instances de base de données pour les exécuter à partir du nouveau répertoire de base, ce qui garantit un temps d'arrêt minimal.
  • Mode continu : Dans ce mode, les noeuds de la grappe sont corrigés individuellement, un par un.
  • Vérifier les conflits : Évaluez les conflits de correctifs par base de données et réduisez ensuite le nombre de correctifs fusionnés.
  • Déployer un logiciel : Déploiement du logiciel du répertoire de base Oracle.
  • Opération d'application de correctifs : Vous pouvez voir toutes les opérations de gestion des correctifs par nom d'opération, nombre de bases de données corrigées, statut (réussite, terminée avec des erreurs, échec), heure de début, heure de fin et temps écoulé.
  • Conformité des correctifs : Affiche le nombre de cibles auxquelles vous êtes abonné dans la version courante. La conformité indique également que les cibles auxquelles vous êtes abonné ne figurent pas dans la version courante de l'image et doivent être mises à jour.

Configurer les vulnérabilités et l'application de correctifs

Pour commencer à utiliser la détection des vulnérabilités et l'application de correctifs, remplissez les conditions requises, obtenez les autorisations nécessaires et activez le service.