Conceitos Básicos do Vulnerability Detection and Patch Management Service
Aqui estão informações sobre como começar a usar a Detecção de Vulnerabilidade e o Gerenciamento de Patches. Observe que ao ativar o serviço Vulnerability Detection and Patching, ambos os componentes serão ativados e não poderão ser ativados ou desativados individualmente.
Versões Suportadas
| Tipos de Implantação com Suporte | Versões do Banco de Dados Suportadas pela Detecção de Vulnerabilidade | Versões do Banco de Dados Suportadas pelo Gerenciamento de Patches | Plataformas com Suporte |
|---|---|---|---|
Bancos de Dados Externos
|
12c e posteriores | 19c e posteriores | Linux |
Terminologia Usada na Detecção e Aplicação de Patches de Vulnerabilidade
- Detecção e Remediação de Vulnerabilidade: É um processo que identifica possíveis fraquezas de segurança (vulnerabilidades) nos sistemas de banco de dados e toma as ações necessárias para corrigir ou mitigar essas fraquezas e eliminar efetivamente o risco de exploração por cibercriminosos. Envolve a verificação de vulnerabilidades, priorizando-as com base na severidade, aplicando patches e atualizações para resolvê-las.
- CVE: O sistema CVE (Common Vulnerabilities and Exposures) fornece um método de referência para exposições e vulnerabilidades de segurança da informação conhecidas publicamente. A missão do Programa CVE é identificar, definir e catalogar vulnerabilidades de segurança cibernética divulgadas publicamente.
O National Cybersecurity FFRDC dos Estados Unidos, operado pela MITRE Corporation, mantém o banco de dados. Os IDs de CVE e CVE estão listados no sistema da Mitre, bem como no Banco de Dados Nacional de Vulnerabilidade dos EUA.
- CVSS: O CVSS (Common Vulnerability Scoring System, Sistema de pontuação de vulnerabilidade comum) é um método usado para fornecer uma medida qualitativa de severidade. As métricas resultam em uma pontuação numérica que varia de 0 a 10. O CVSS é adequado como um sistema de medição padrão para setores, organizações e governos que precisam de pontuações de gravidade de vulnerabilidade precisas e consistentes.
Classificações de Severidade Qualitativa no CVSS v4.0 notifica as classificações como abaixo:
Gravidade Faixa de Pontuação Nenhum 0 Baixo 0,1-3,9 Médio 4.0-6.9 Alto 7.0-8.9 Crítico 9,0-10,0
- BYOL: Com o BYOL (Bring Your Own License), você pode utilizar suas licenças de software Oracle existentes em ambientes on-premises para executar aplicativos na nuvem da Oracle sem precisar comprar novas licenças. Se você tiver o pacote do Enterprise Manager Database Lifecycle Management (DBLM) licenciado, poderá usar a opção BYOL para usar o serviço OCI Vulnerability Detection and Patching a um custo de 50%.
- Classificação de Patch : Segurança Recomendada / Patches Alternativos. As CPU (Atualizações Críticas de Patches) da Oracle são consideradas patches de Segurança Recomendados e lançadas na terceira terça-feira de janeiro, abril, julho e outubro.
A Oracle recomenda CPUs (Critical Patch Updates) para os produtos suportados. O serviço de Detecção e Aplicação de Patches de Vulnerabilidade recomenda que você aplique patches de segurança recomendados obrigatórios, bem como avalie e aplique patches alternativos recomendados.
- Release do Banco de Dados: Denota uma release principal, por exemplo: 19c, 23ai.
- Gold Image: Representa uma release do banco de dados. Uma Gold Image consiste em versões que são mapeadas para a versão do Banco de Dados. Ao criar uma Gold Image (às vezes chamada de imagem), você a cria com uma versão. A Oracle recomenda que você crie somente uma Gold Image para cada release do banco de dados. As Gold Images não podem estar vazias, devem conter uma imagem.
Quando as novas versões do banco de dados são liberadas pela Oracle, você adiciona novas versões a uma imagem. Por exemplo, em uma Versão 19c, você cria a gold image 19c_Release e, em seguida, adiciona novas versões como 1910DBRU, 1915DBRU, 1922DBRU etc. A Oracle recomenda que as Gold Images contenham até 3 versões, permitindo facilidade de manutenção e utilização de espaço.
- Atualizar Banco de Dados: É uma operação de aplicação de patch, na qual o banco de dados é atualizado de uma versão superior dentro da mesma Release. Por exemplo, atualizando do Oracle 19.15c para o 19.22c .
- Conexão e Credenciais do MOS: Um serviço que se conecta ao MOS (My Oracle Support) para fazer download de patches, atualizações de versões, patches de versões mensais, dados pré-implantados do ARU (produtos, plataformas, versões, componentes, detalhes de certificação e recomendações de patches).
- Tipo de recurso: A detecção de vulnerabilidade e a aplicação de patches podem ser usadas com os seguintes bancos de dados externos: Banco de Dados Contêiner (CDB), Instância Única e Instância RAC.
Observação
No momento, só há suporte para Bancos de Dados Externos em execução em Máquinas Virtuais locais ou no sistema operacional Oracle Cloud Infrastructure no Linux. - Aplicação de Patches Fora do Local: É um mecanismo em que a Gold Image que contém os patches necessários é implantada em um novo home. Após a conclusão, você migra as instâncias do banco de dados para serem executadas no novo home, garantindo o mínimo de tempo de inatividade.
- Modo de Rolagem: Neste modo, os nós do cluster são submetidos a patch individualmente, um a um.
- Verificar Conflitos: Avalie conflitos de patch por banco de dados e reduza subsequentemente o número de patches mesclados.
- Implantar software: Implantação de software do Oracle home.
- Operação de Patch: Você pode exibir todas as operações de Gerenciamento de Patch por Nome da Operação, número de Bancos de Dados com patch, Status (bem-sucedido, concluído com erros, com falha), Horário Inicial, Horário Final e Tempo Decorrido.
- Conformidade de patch: Mostra quantos dos destinos inscritos estão na versão atual. A conformidade também indica que os alvos inscritos não estão na versão atual da imagem e precisam ser atualizados.
Configurar Vulnerabilidade e Aplicação de Patches
Para começar a usar Detecção de Vulnerabilidade e Aplicação de Patches, conclua os pré-requisitos, obtenha as permissões necessárias e ative o serviço.