Documentation Oracle Cloud Infrastructure

Introduction au service de détection des vulnérabilités et de gestion des correctifs

Voici des informations sur la prise en main de Vulnerability Detection and Patch Management. Notez que lorsque vous activez le service Vulnerability Detection and Patching, les deux composants sont activés et ne peuvent pas être activés ou désactivés individuellement.

Versions prises en charge

Types de déploiement pris en charge Versions de base de données prises en charge par la détection des vulnérabilités Versions de base de données prises en charge par la gestion des patches Plates-formes prises en charge
Bases de données externes
  • Bases de données exécutées sur site
  • Bases de données basées sur une machine virtuelle OCI inscrites en tant qu'externes dans OCI Database Management
 12c et versions ultérieures 19c et versions ultérieures Linux
Bases de données Oracle Cloud 12c et versions ultérieures 19c et versions ultérieures Linux

Terminologie utilisée dans la détection des vulnérabilités et l'application de patches

Terminologie propre à la détection des vulnérabilités :
  • Détection et correction des vulnérabilités : il s'agit d'un processus qui identifie les failles de sécurité potentielles (vulnérabilités) dans les systèmes de base de données et prend les mesures nécessaires pour corriger ou atténuer ces faiblesses et éliminer efficacement le risque d'exploitation par les cyberattaquants. Il s'agit d'analyser les vulnérabilités, de les hiérarchiser en fonction de leur gravité, d'appliquer des correctifs et de les mettre à jour pour y remédier.
  • CVE : le système CVE (Common Vulnerabilities and Exposures) fournit une méthode de référence pour les vulnérabilités et expositions connues du public en matière de sécurité des informations. La mission du programme CVE est d'identifier, de définir et de cataloguer les vulnérabilités de cybersécurité divulguées publiquement.

    La FFRDC de cybersécurité nationale des États-Unis, exploitée par la MITRE Corporation, gère la base de données. Les ID CVE et CVE sont répertoriés dans le système de Mitre ainsi que dans la base de données de vulnérabilité nationale des États-Unis.

  • CVSS : le système CVSS (Common Vulnerability Scoring System) est une méthode utilisée pour fournir une mesure qualitative de la gravité. Les mesures donnent un score numérique compris entre 0 et 10. CVSS est bien adapté en tant que système de mesure standard pour les industries, les organisations et les gouvernements qui ont besoin de scores de gravité de vulnérabilité précis et cohérents.
    Les notations de gravité qualitatives dans CVSS v4.0 notent les notations comme suit :
    Gravité Plage de scores
    Aucune. 0
    Low 0,1-3,9
    Moyen 4-6,9
    High 7-8,9
    Critique 9-10
Terminologie propre à l'application de patches
  • BYOL : avec Bring Your Own License (BYOL), vous pouvez utiliser vos licences logicielles Oracle existantes à partir d'environnements sur site pour exécuter des applications sur le cloud Oracle sans avoir à acheter de nouvelles licences. Si vous disposez d'une licence pour le pack Enterprise Manager Database Lifecycle Management (DBLM), vous pouvez utiliser l'option BYOL pour utiliser le service OCI Vulnerability Detection and Patching à un coût de 50 %.
  • Classification de patch : sécurité recommandée/patches de remplacement. Les CPU (Critical Patch Updates) d'Oracle sont considérés comme des patches de sécurité recommandés et sont publiés le troisième mardi de janvier, avril, juillet et octobre.

    Oracle recommande des CPU pour les produits pris en charge. Le service Vulnerability Detection and Patching vous recommande d'appliquer les patches de sécurité obligatoires recommandés, ainsi que d'évaluer et d'appliquer les autres patches recommandés.

  • Version de base de données : indique une version majeure, par exemple : 19c, 23ai.
  • Image dorée : représente une version de base de données. Une image dorée se compose de versions mises en correspondance avec la version de base de données. Lorsque vous créez une image gold (parfois appelée image), vous la créez avec une version. Oracle recommande de créer une seule image gold pour chaque version de base de données. Les images gold ne peuvent pas être vides, elles doivent contenir une image.

    Lorsque de nouvelles versions de base de données sont publiées par Oracle, vous ajoutez de nouvelles versions à votre image. Par exemple, dans une version 19c, vous créez l'image gold 19c_Release, puis vous ajoutez de nouvelles versions telles que 1910DBRU, 1915DBRU, 1922DBRU, etc. Oracle recommande que les images gold contiennent jusqu'à 3 versions, ce qui facilite la maintenance et l'utilisation de l'espace.

  • Mettre à jour la base de données : opération d'application de patches, dans laquelle la base de données est mise à jour vers une version supérieure dans la même version. Par exemple, la mise à jour d'Oracle 19.15c vers 19.22c.
  • Connexion et informations d'identification MOS : service qui se connecte à MOS (My Oracle Support) pour télécharger des patches, des mises à jour de version, des patches de version mensuels, des données de départ ARU (produits, plates-formes, versions, composants, détails de certification et recommandations de patches).
  • Type de ressource : la détection des vulnérabilités et l'application de patches peuvent être utilisées avec les bases de données externes suivantes : bases de données Conteneur, à instance unique et à instance RAC.
    Remarque

    Actuellement, seules les bases de données externes exécutées sur un système d'exploitation Linux sur site ou sur des machines virtuelles Oracle Cloud Infrastructure sont prises en charge.
  • Application de patches sans réutilisation de la mémoire : mécanisme dans lequel l'image gold contenant les patches requis est déployée dans un nouveau répertoire de base. Lorsque vous avez terminé, vous migrez les instances de base de données pour les exécuter à partir du nouveau répertoire de base, ce qui garantit un temps d'inactivité minimal.
  • Mode glissant : dans ce mode, les noeuds du cluster sont corrigés individuellement, un par un.
  • Vérifier les conflits : évaluez les conflits de patches par base de données, puis réduisez le nombre de patches fusionnés.
  • Déployer le logiciel : déploiement du logiciel de répertoire de base Oracle.
  • Opération de patch : vous pouvez visualiser toutes les opérations de gestion des patches par nom d'opération, nombre de bases de données auxquelles des patches ont été appliqués, statut (succès, terminé avec des erreurs, échec), heure de début, heure de fin et temps écoulé.
  • Conformité des patches : affiche le nombre de cibles abonnées dans la version en cours. La conformité indique également que les cibles abonnées ne figurent pas sur la version actuelle de l'image et doivent être mises à jour.

Configurer la vulnérabilité et l'application de patches

Pour commencer à utiliser la détection des vulnérabilités et l'application de patches, respectez les prérequis, obtenez les droits d'accès nécessaires et activez le service.