Documentazione dell'infrastruttura Oracle Cloud

Introduzione al servizio di rilevamento delle vulnerabilità e gestione delle patch

Di seguito sono riportate informazioni su come iniziare a utilizzare Rilevamento delle vulnerabilità e Gestione delle patch. Tenere presente che quando si abilita il servizio Rilevamento delle vulnerabilità e Applicazione patch, entrambi i componenti verranno abilitati e non potranno essere abilitati o disabilitati singolarmente.

Versioni supportate

Tipi di distribuzione supportati Versioni del database supportate per il rilevamento delle vulnerabilità Versioni del database supportate per la gestione delle patch Piattaforme supportate
Database esterni
  • Database in esecuzione in locale
  • Database basati su VM OCI registrati come esterni in OCI Database Management
 12c e versioni successive 19c e versioni successive Linux

Terminologia utilizzata nel rilevamento delle vulnerabilità e nell'applicazione di patch

Terminologia specifica per il rilevamento delle vulnerabilità:
  • Rilevamento e correzione delle vulnerabilità: si tratta di un processo che identifica potenziali punti deboli della sicurezza (vulnerabilità) all'interno dei sistemi di database e adotta le azioni necessarie per correggere o mitigare tali punti deboli ed eliminare efficacemente il rischio di sfruttamento da parte degli hacker informatici. Comprende la scansione delle vulnerabilità, la loro priorità in base alla gravità, l'applicazione di patch e gli aggiornamenti per risolverle.
  • CVE: il sistema Common Vulnerabilities and Exposures (CVE) fornisce un metodo di riferimento per le vulnerabilità e le esposizioni della sicurezza delle informazioni note al pubblico. La missione del programma CVE è identificare, definire e catalogare le vulnerabilità della sicurezza informatica divulgate pubblicamente.

    Il National Cybersecurity FFRDC degli Stati Uniti, gestito da The MITRE Corporation, mantiene il database. CVE e CVE ID sono elencati sul sistema Mitre e nel National Vulnerability Database degli Stati Uniti.

  • CVSS: il Common Vulnerability Scoring System (CVSS) è un metodo utilizzato per fornire una misura qualitativa della severità. Le metriche determinano un punteggio numerico compreso tra 0 e 10. CVSS è adatto come sistema di misurazione standard per settori, organizzazioni e governi che hanno bisogno di punteggi di gravità delle vulnerabilità accurati e coerenti.
    Il punteggio di severità qualitativa in CVSS v4.0 registra le seguenti valutazioni:
    Severità Intervallo punteggi
    Nessuno 0
    Basso 0,1-3,9
    Medio 4,0-6,9
    Alto 7,0-8,9
    Critico 9,0-10,0
Terminologia specifica per l'applicazione di patch
  • BYOL: Con il modello BYOL (Bring Your Own License) puoi utilizzare le tue licenze software Oracle esistenti da ambienti on-premise per eseguire applicazioni sul cloud Oracle senza dover acquistare nuove licenze. Se hai la licenza per il pacchetto di Enterprise Manager Database Lifecycle Management (DBLM), puoi usare l'opzione BYOL per utilizzare il servizio di rilevamento delle vulnerabilità e applicazione di patch OCI con un costo del 50%.
  • Classificazione patch : Sicurezza consigliata/Patch alternative. Gli Oracle Critical Patch Updates (CPU) sono considerati Patch di sicurezza consigliate e vengono rilasciati il terzo martedì di gennaio, aprile, luglio e ottobre.

    Oracle consiglia gli aggiornamenti di patch critiche (CPU, Critical Patch Updates) per i prodotti supportati. Il servizio di rilevamento delle vulnerabilità e applicazione delle patch consiglia di applicare le patch di sicurezza consigliate obbligatorie, nonché di valutare e applicare le patch alternative consigliate.

  • Database Release: indica una release importante, ad esempio: 19c, 23ai.
  • Gold Image: rappresenta una release del database, un'immagine finale è costituita da versioni mappate alla versione del database. Quando si crea un'immagine finale (a volte denominata immagine), è possibile crearla con una versione. Oracle consiglia di creare una sola immagine finale per ogni release del database. Le immagini Gold non possono essere vuote e devono contenere un'immagine.

    Quando Oracle rilascia nuove versioni del database, è possibile aggiungere nuove versioni a un'immagine. Ad esempio, in una release 19c è possibile creare l'immagine finale 19c_Release, quindi aggiungere nuove versioni come 1910DBRU, 1915DBRU, 1922DBRU e così via. Oracle consiglia che le immagini Gold contengano fino a 3 versioni, consentendo facilità di manutenzione e utilizzo dello spazio.

  • Aggiorna database: è un'operazione di applicazione delle patch, in cui il database viene aggiornato da un livello superiore all'interno della stessa release. Ad esempio, aggiornamento da Oracle 19.15c a 19.22c .
  • Connessione e credenziali MOS: un servizio che si connette a MOS (My Oracle Support) per scaricare patch, aggiornamenti delle release, patch per release mensili, seeddata ARU (prodotti, piattaforme, release, componenti, dettagli di certificazione e suggerimenti sulle patch.
  • Tipo di risorsa: il rilevamento e l'applicazione di patch delle vulnerabilità possono essere utilizzati con i database esterni seguenti: Container Database (CDB), a istanza singola e database a istanza RAC.
    Nota

    Attualmente sono supportati solo i database esterni in esecuzione on-premise o le virtual machine Oracle Cloud Infrastructure sul sistema operativo Linux.
  • Applicazione patch non in loco: è un meccanismo in cui l'immagine finale contenente le patch richieste viene distribuita in una nuova home. Una volta completata la migrazione, esegui le istanze di database dalla nuova home, garantendo tempi di inattività minimi.
  • Modalità di aggregazione: in questa modalità, ai nodi del cluster vengono applicate le patch singolarmente, una per una.
  • Controlla conflitti: valuta i conflitti di patch per database e successivamente riduci il numero di patch unite.
  • Distribuisci software: distribuzione del software della Oracle home.
  • Operazione patch: è possibile visualizzare tutte le operazioni di gestione delle patch per nome operazione, numero di database a cui è stata applicata la patch, stato (riuscito, completato con errori, non riuscito), ora di inizio, ora di fine e tempo trascorso.
  • Conformità delle patch: mostra il numero di destinazioni sottoscritte nella versione corrente. La conformità indica inoltre che le destinazioni sottoscritte non sono nella versione corrente dell'immagine e devono essere aggiornate.

Imposta vulnerabilità e applicazione patch

Per iniziare a utilizzare Rilevamento delle vulnerabilità e Applicazione di patch, completare i prerequisiti, ottenere le autorizzazioni necessarie e abilitare il servizio.