Documentazione dell'infrastruttura Oracle Cloud

Introduzione al servizio di rilevamento delle vulnerabilità e gestione delle patch

Di seguito sono riportate informazioni su come iniziare a utilizzare Rilevamento delle vulnerabilità e Gestione delle patch. Tenere presente che quando si abilita il servizio Rilevamento delle vulnerabilità e Applicazione patch, entrambi i componenti verranno abilitati e non potranno essere abilitati o disabilitati singolarmente.

Versioni supportate

Tipi di distribuzione supportati Versioni del database supportate per il rilevamento delle vulnerabilità Versioni del database supportate per la gestione delle patch Piattaforme supportate
Database esterni
  • Database in esecuzione in locale
  • Database basati su VM OCI registrati come esterni in OCI Database Management
 12c e versioni successive 19c e versioni successive Linux

Terminologia utilizzata nel rilevamento delle vulnerabilità e nell'applicazione di patch

Terminologia specifica per il rilevamento delle vulnerabilità:
  • Rilevamento e correzione delle vulnerabilità: si tratta di un processo che identifica potenziali punti deboli (vulnerabilità) nella sicurezza dei sistemi di database e adotta le azioni necessarie per correggere o mitigare tali punti deboli ed eliminare efficacemente il rischio di sfruttamento da parte degli hacker. Comprende la scansione delle vulnerabilità, la definizione delle priorità in base alla gravità, l'applicazione di patch e gli aggiornamenti per risolverle.
  • CVE: il sistema CVE (Common Vulnerabilities and Exposures) fornisce un metodo di riferimento per le vulnerabilità e le esposizioni note a livello di sicurezza delle informazioni. La missione del programma CVE è identificare, definire e catalogare le vulnerabilità della sicurezza informatica divulgate pubblicamente.

    Il National Cybersecurity FFRDC degli Stati Uniti, gestito da The MITRE Corporation, gestisce il database. Gli ID CVE e CVE sono elencati nel sistema di Mitre e nel National Vulnerability Database degli Stati Uniti.

  • CVSS: il sistema CVSS (Common Vulnerability Scoring System) è un metodo utilizzato per fornire una misura qualitativa della gravità. Il risultato delle metriche è un punteggio numerico compreso tra 0 e 10. CVSS è adatto come sistema di misurazione standard per settori, organizzazioni e governi che necessitano di punteggi di gravità delle vulnerabilità accurati e coerenti.
    Le valutazioni qualitative della severità in CVSS v4.0 notano le valutazioni come di seguito:
    Severità Intervallo punteggi
    Nessuna. 0
    Valore minimo 0,1-3,9
    Media 4-6,9
    Valore massimo 7-8,9
    Critici 9-10
Terminologia specifica per l'applicazione di patch
  • Modello BYOL: con il modello BYOL (Bring Your Own License) è possibile utilizzare le licenze software Oracle esistenti da ambienti on-premise per eseguire applicazioni nel cloud Oracle senza dover acquistare nuove licenze. Se si dispone del pacchetto DBLM (Enterprise Manager Database Lifecycle Management) concesso in licenza, è possibile utilizzare l'opzione BYOL per utilizzare il servizio OCI Vulnerability Detection and Patching a un costo del 50%.
  • Classificazione patch : sicurezza consigliata/patch alternative. Gli aggiornamenti di patch critiche (CPU, Critical Patch Updates) Oracle sono considerati patch di sicurezza consigliate e vengono rilasciati il terzo martedì di gennaio, aprile, luglio e ottobre.

    Oracle consiglia gli aggiornamenti di patch critiche (CPU, Critical Patch Updates) per i prodotti supportati. Il servizio di rilevamento e applicazione di patch alle vulnerabilità consiglia di applicare le patch di sicurezza consigliate obbligatorie, nonché di valutare e applicare le patch alternative consigliate.

  • Database Release: indica una release principale, ad esempio 19c, 23ai.
  • Gold Image: rappresenta una release del database, un'immagine finale è costituita da versioni mappate alla versione del database. Quando si crea un'immagine finale (a volte definita immagine), è possibile crearla con una versione. Oracle consiglia di creare una sola immagine finale per ogni release del database. Le immagini d'oro non possono essere vuote, devono contenere un'immagine.

    Quando Oracle rilascia nuove versioni del database, si aggiungono nuove versioni a un'immagine. Ad esempio, in una release 19c è possibile creare l'immagine finale 19c_Release, quindi aggiungere nuove versioni, quali 1910DBRU, 1915DBRU, 1922DBRU e così via. Oracle consiglia che le immagini Gold contengano fino a 3 versioni, semplificando la manutenzione e l'utilizzo dello spazio.

  • Aggiorna database: è un'operazione di applicazione delle patch, in cui il database viene aggiornato da una release successiva all'interno della stessa release. Ad esempio, l'aggiornamento da Oracle 19.15c a 19.22c.
  • Connessione e credenziali MOS: servizio che si connette a MOS (My Oracle Support) per scaricare patch, aggiornamenti di release, patch con release mensile, seeddata ARU (prodotti, piattaforme, release, componenti, dettagli di certificazione e suggerimenti di patch.
  • Tipo di risorsa: il rilevamento e l'applicazione di patch delle vulnerabilità possono essere utilizzati con i database esterni seguenti: Container Database (CDB), a istanza singola e database a istanza RAC.
    Nota

    Al momento, sono supportati solo i database esterni in esecuzione su macchine virtuali on premise o Oracle Cloud Infrastructure sul sistema operativo Linux.
  • Applicazione di patch non in loco: è un meccanismo in cui l'immagine finale contenente le patch richieste viene distribuita in una nuova home. Una volta completata la migrazione, le istanze di database vengono eseguite dalla nuova home, garantendo tempi di inattività minimi.
  • Modalità di aggregazione: in questa modalità, ai nodi del cluster vengono applicate le patch singolarmente, una per una.
  • Verifica conflitti: valutare i conflitti di patch per database e, successivamente, ridurre il numero di patch unite.
  • Distribuisci software: distribuzione del software della Oracle home.
  • Operazione patch: è possibile visualizzare tutte le operazioni di gestione delle patch in base al nome dell'operazione, al numero di database a cui è stata applicata la patch, allo stato (riuscito, completato con errori, non riuscito), all'ora di inizio, all'ora di fine e all'ora trascorsa.
  • Conformità delle patch: mostra il numero di destinazioni sottoscritte nella versione corrente. La conformità indica inoltre che le destinazioni sottoscritte non si trovano nella versione corrente dell'immagine e devono essere aggiornate.

Imposta vulnerabilità e applicazione patch

Per iniziare a utilizzare il rilevamento e l'applicazione di patch alle vulnerabilità, completare i prerequisiti, ottenere le autorizzazioni necessarie e abilitare il servizio.