Conceitos Básicos do Vulnerability Detection and Patch Management Service
Aqui estão informações sobre como começar a usar a Detecção de Vulnerabilidade e o Gerenciamento de Patches. Observe que ao ativar o serviço Vulnerability Detection and Patching, ambos os componentes serão ativados e não poderão ser ativados ou desativados individualmente.
Versões Suportadas
| Tipos de Implantação com Suporte | Versões do Banco de Dados Suportadas pela Detecção de Vulnerabilidade | Versões do Banco de Dados Suportadas pelo Gerenciamento de Patches | Plataformas com Suporte |
|---|---|---|---|
Bancos de Dados Externos
|
12c e posteriores | 19c e posteriores | Linux |
Terminologia Usada na Detecção e Aplicação de Patches de Vulnerabilidade
- Detecção e Correção de Vulnerabilidade: É um processo que identifica possíveis pontos fracos de segurança (vulnerabilidades) nos sistemas de banco de dados e toma as ações necessárias para corrigir ou mitigar esses pontos fracos e eliminar efetivamente o risco de exploração por invasores cibernéticos. Envolve a verificação de vulnerabilidades, priorizando-as com base na severidade, aplicação de patches e atualizações para resolvê-las.
- CVE: O sistema Common Vulnerabilities and Exposures (CVE) fornece um método de referência para vulnerabilidades e exposições de segurança da informação conhecidas publicamente. A missão do Programa CVE é identificar, definir e catalogar vulnerabilidades de segurança cibernética divulgadas publicamente.
O National Cybersecurity FFRDC dos Estados Unidos, operado pela The MITRE Corporation, mantém o banco de dados. Os IDs de CVE e CVE estão listados no sistema da Mitre, bem como no Banco de Dados Nacional de Vulnerabilidade dos EUA.
- CVSS: O CVSS (Common Vulnerability Scoring System, Sistema de pontuação de vulnerabilidade comum) é um método usado para fornecer uma medida qualitativa de severidade. As métricas resultam em uma pontuação numérica que varia de 0 a 10. O CVSS é adequado como um sistema de medição padrão para indústrias, organizações e governos que precisam de pontuações de gravidade de vulnerabilidade precisas e consistentes.
Classificações de Severidade Qualitativa nas classificações de notas CVSS v4.0 conforme abaixo:
Gravidade Faixa de Pontuação Nenhuma 0 Baixa 0.1-3.9 Média 4-6.9 Alta 7-8.9 Crítico 9-10
- BYOL: Com o BYOL (Bring Your Own License), você pode utilizar suas licenças de software Oracle existentes de ambientes locais para executar aplicativos na nuvem da Oracle sem precisar comprar novas licenças. Se você tiver o pacote Enterprise Manager Database Lifecycle Management (DBLM) licenciado, poderá usar a opção BYOL para usar o serviço OCI Vulnerability Detection and Patching a um custo de 50%.
- Classificação de Patch : Segurança Recomendada/Patches Alternativos. As Atualizações Críticas de Patches (CPU) da Oracle são consideradas patches de Segurança Recomendados e são lançadas na terceira terça-feira de janeiro, abril, julho e outubro.
A Oracle recomenda Atualizações Críticas de Patches (CPUs) para produtos suportados. O serviço de Detecção e Aplicação de Patches de Vulnerabilidade recomenda que você aplique patches de segurança recomendados obrigatórios, bem como avalie e aplique patches alternativos recomendados.
- Versão do Banco de Dados: Denota uma versão principal, por exemplo: 19c, 23ai.
- Gold Image: Representa uma release do banco de dados; uma Gold Image consiste em versões mapeadas para a versão do Banco de Dados. Ao criar uma Gold Image (às vezes chamada de imagem), você a cria com uma versão. A Oracle recomenda que você crie apenas uma Gold Image para cada release do banco de dados. As Gold Images não podem ficar vazias; elas devem conter uma imagem.
Quando novas versões do banco de dados são liberadas pela Oracle, você adiciona novas versões a uma imagem. Por exemplo, em uma Versão 19c, você cria a gold image 19c_Release e adiciona novas versões, como 1910DBRU, 1915DBRU, 1922DBRU etc. A Oracle recomenda que as Gold Images contenham até 3 versões, permitindo facilidade de manutenção e utilização do espaço.
- Atualizar Banco de Dados: É uma operação de aplicação de patch, em que o banco de dados é atualizado de um nível superior na mesma Release. Por exemplo, atualizando do Oracle 19.15c para 19.22c .
- Conexão e Credenciais do MOS: Um serviço que se conecta ao MOS (My Oracle Support) para fazer download de patches, atualizações de versão, patches de versão mensal, dados pré-implantados do ARU (produtos, plataformas, versões, componentes, detalhes da certificação e recomendações de patches).
- Tipo de recurso: A detecção de vulnerabilidade e a aplicação de patches podem ser usadas com os seguintes bancos de dados externos: Banco de Dados Contêiner (CDB), Instância Única e Instância RAC.
Observação
No momento, só há suporte para Bancos de Dados Externos em execução no local ou em Máquinas Virtuais do Oracle Cloud Infrastructure no sistema operacional Linux. - Patches Fora do Local: É um mecanismo no qual a Gold Image que contém os patches necessários é implantada em um novo home. Uma vez concluídas, você migra as instâncias do banco de dados para execução no novo home, garantindo tempo de inatividade mínimo.
- Modo de Rolagem: Neste modo, os nós do cluster são corrigidos individualmente, um por um.
- Verificar Conflitos: Avalie conflitos de patch por banco de dados e reduza subsequentemente o número de patches mesclados.
- Implantar software: Implantação do software Oracle home.
- Operação de Patch: Você pode exibir todas as operações de Gerenciamento de Patch por Nome da Operação, número de Bancos de Dados com patch, Status (bem-sucedido, concluído com erros, com falha), Horário Inicial, Horário Final e Tempo Decorrido.
- Conformidade de patch: Mostra quantos dos destinos inscritos estão na versão atual. A conformidade também indica que os destinos inscritos não estão na versão atual da imagem e precisam ser atualizados.
Configurar Vulnerabilidade e Aplicação de Patches
Para começar a usar a Detecção e Aplicação de Patches de Vulnerabilidade, conclua os pré-requisitos, obtenha as permissões necessárias e ative o serviço.