Documentation Oracle Cloud Infrastructure

Introduction au service de détection des vulnérabilités et de gestion des correctifs

Voici des informations sur la prise en main de Vulnerability Detection and Patch Management. Notez que lorsque vous activez le service Vulnerability Detection and Patching, les deux composants sont activés et ne peuvent pas être activés ou désactivés individuellement.

Versions prises en charge

Types de déploiement pris en charge Versions de base de données prises en charge par la détection des vulnérabilités Versions de base de données prises en charge par la gestion des patches Plates-formes prises en charge
Bases de données externes
  • Bases de données exécutées sur site
  • Bases de données basées sur une machine virtuelle OCI inscrites en tant qu'externes dans OCI Database Management
 12c et versions ultérieures 19c et versions ultérieures Linux

Terminologie utilisée dans la détection des vulnérabilités et l'application de patches

Terminologie propre à la détection des vulnérabilités :
  • Détection et correction des vulnérabilités : processus qui identifie les faiblesses potentielles en matière de sécurité (vulnérabilités) dans les systèmes de base de données et qui prend les mesures nécessaires pour corriger ou atténuer lesdites faiblesses et éliminer efficacement le risque d'exploitation par les cyberattaques. Il s'agit de rechercher les vulnérabilités, de les hiérarchiser en fonction de leur gravité, d'appliquer des correctifs et des mises à jour pour y remédier.
  • CVE : le système CVE (Common Vulnerabilities and Exposures) fournit une méthode de référence pour les vulnérabilités et expositions de sécurité des informations connues publiquement. La mission du programme CVE est d'identifier, de définir et de cataloguer les vulnérabilités de cybersécurité divulguées publiquement.

    L'United States National Cybersecurity FFRDC, exploité par The MITRE Corporation, gère la base de données. Les ID CVE et CVE sont répertoriés sur le système de Mitre ainsi que dans la base de données nationale américaine sur les vulnérabilités.

  • CVSS : le système CVSS (Common Vulnerability Scoring System) est une méthode utilisée pour fournir une mesure qualitative de la gravité. Les mesures donnent un score numérique compris entre 0 et 10. CVSS est bien adapté comme système de mesure standard pour les industries, les organisations et les gouvernements qui ont besoin de scores de gravité de vulnérabilité précis et cohérents.
    Les notations de gravité qualitatives dans CVSS v4.0 notent les notations comme suit :
    Gravité Plage de scores
    Aucun 0
    Inférieur 0,1-3,9
    Moyen 4.0-6.9
    Haut 7.0-8.9
    Critique 9.0-10.0
Terminologie propre à l'application de patches
  • BYOL : avec Bring Your Own License (BYOL), vous pouvez utiliser vos licences logicielles Oracle existantes à partir d'environnements sur site pour exécuter des applications sur le cloud Oracle sans avoir à acheter de nouvelles licences. Si vous disposez d'une licence pour le pack Enterprise Manager Database Lifecycle Management (DBLM), vous pouvez utiliser l'option BYOL pour utiliser le service OCI Vulnerability Detection and Patching à un coût de 50 %.
  • Classification des patches : Sécurité recommandée / Patches de remplacement. Les mises à jour de patches critiques (CPU) Oracle sont considérées comme des patches de sécurité recommandés et sont publiées les troisième mardi de janvier, avril, juillet et octobre.

    Oracle recommande les CPU (Critical Patch Updates) pour les produits pris en charge. Le service Vulnerability Detection and Patching vous recommande d'appliquer les patches de sécurité recommandés obligatoires, ainsi que d'évaluer et d'appliquer les autres patches recommandés.

  • Version de base de données : indique une version majeure, par exemple : 19c, 23ai.
  • Image en or : représente une version de base de données, une image en or se compose de versions mises en correspondance avec la version de base de données. Lorsque vous créez une image gold (parfois appelée image), vous la créez avec une version. Oracle recommande de créer une seule image gold pour chaque version de base de données. Les images gold ne peuvent pas être vides, elles doivent contenir une image.

    Lorsque de nouvelles versions de base de données sont publiées par Oracle, vous ajoutez de nouvelles versions à votre image. Par exemple, dans une version 19c, vous créez l'image gold 19c_Release, puis vous ajoutez de nouvelles versions telles que 1910DBRU, 1915DBRU, 1922DBRU, etc. Oracle recommande que les images gold contiennent jusqu'à 3 versions, ce qui facilite la maintenance et l'utilisation de l'espace.

  • Mettre à jour la base de données : opération d'application de patches, dans laquelle la base de données est mise à jour d'une version supérieure dans la même version. Par exemple, mise à jour d'Oracle 19.15c vers 19.22c.
  • Connexion MOS et informations d'identification : service qui se connecte à MOS (My Oracle Support) pour télécharger les patches, les mises à jour de version, les patches de version mensuelle, les données de départ ARU (produits, plates-formes, versions, composants, détails de certification et recommandations de patches.
  • Type de ressource : la détection des vulnérabilités et l'application de patches peuvent être utilisées avec les bases de données externes suivantes : bases de données Conteneur, à instance unique et à instance RAC.
    Remarque

    Actuellement, seules les bases de données externes exécutées sur des machines virtuelles sur site ou sur le système d'exploitation Oracle Cloud Infrastructure sur Linux sont prises en charge.
  • Application de patches sans réutilisation de la mémoire : mécanisme dans lequel l'image gold contenant les patches requis est déployée dans un nouveau répertoire de base. Une fois l'opération terminée, vous migrez les instances de base de données pour qu'elles s'exécutent à partir du nouveau répertoire de base, ce qui garantit un temps d'inactivité minimal.
  • Mode non simultané : dans ce mode, les patches sont appliqués individuellement aux noeuds du cluster, un par un.
  • Vérifier les conflits : évaluez les conflits de patches par base de données, puis réduisez le nombre de patches fusionnés.
  • Déployer le logiciel : déploiement du logiciel de répertoire de base Oracle.
  • Opération de patch : vous pouvez visualiser toutes les opérations de gestion des patches par nom d'opération, nombre de bases de données auxquelles des patches ont été appliqués, statut (réussi, terminé avec des erreurs, échec), heure de début, heure de fin et temps écoulé.
  • Conformité de patch : affiche le nombre de cibles abonnées sur la version en cours. La conformité indique également que les cibles abonnées ne figurent pas sur la version actuelle de l'image et doivent être mises à jour.

Configurer la vulnérabilité et l'application de patches

Pour commencer à utiliser Vulnerability Detection and Patching, effectuez les prérequis, obtenez les droits d'accès nécessaires et activez le service.