Oracle Secure Patching Concept

696 views

Published on

Introduction into the importance of critical patch updates.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
696
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
9
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Oracle Secure Patching Concept

  1. 1. Oracle Security Patching KonzeptCritical Patch UpdatesCarsten MützlitzOracle Sales Consulting
  2. 2. The following is intended to outline our generalproposal for DB security patching concept. It isintended for information purposes only, and may notbe incorporated into any contract. It is not acommitment to deliver any material, code, orfunctionality, and should not be relied upon inmaking purchasing decisions.The development, release, and timing of anyfeatures or functionality described for Oracle’sproducts remains at the sole discretion of Oracle.
  3. 3. Agenda• Herausforderung Security Patching (CPU)• Einführung in das Oracle Security Patching• Planung der Patchdurchführung• Patchdurchführung• Nächste Schritte
  4. 4. Software unterliegt einer stetigen Änderungen – PATCH, Fix, Packs,... Patches sind i.d.R. Korrekturauslieferungen um Fehler zu beseitigen FOKUS DATENBANKHerausforderungen • Installation aktuelle DB- Version NO Security Patching! • Keine Nachrüstung von Security Patches (CPU) • I.d.R. Quarteilsweise siehe Patching gehört Support Doc. ID 742060.1 in jede IT Oracle Patch Auslieferung Strategie von • Aber auch ad-hoc Patches unternehmens- • Critical Patch Updates kritischen (CPU), Ad-Hoc Fixes Anwendungen • Forderung nach aktuellen Regularien Versionen • Minimierung Risiko
  5. 5. Agenda• Herausforderung Security Patching (CPU)• Einführung in das Oracle Security Patching• Planung der Patchdurchführung• Patchdurchführung• Nächste Schritte
  6. 6. Einführung in das Security Patching von Oracle Critical Patch Updates und Security Alerts von Oracle FOKUS DATENBANKSoftware Schwachstellen• Fehler in Software können dazu missbracht werden, das Sicherkontrollsystem zu Sicherheitspatches sind: umgehen. • Critical Patch Updates – Quartalsweise• Daher ist es wichtig, das Unternehmen • Security Alerts entsprechende Policies und Vorgehen - Ah-hoc Fixes adaptieren, um Schwachstellen zeitnah zu sanieren. Hierzu muss man folgendes wissen: 1. Oracle formale Patching Prozesse verstehen: CPU und Security Alerts 2. Zeitplanung: Quartalsweise, Termine What sind ein Jahr im Voraus definiert, Pre- to do? Release Advisory ca. 1 Woche vor Auslieferung Prod.-DB 3. CPU Patches unterliegen 15 Wochen- How to fix? Testphase (Oracle intern) 4. Auslieferung: Auch Hacker nutzen die veröffentlichen Security Alert InfosPatch Management ist nicht mehr OPTIONAL! Das Fehlen von Industrie Best Practices führt zu unterschiedlichen Ausführungen (How much to do and how to do it well?). ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 7
  7. 7. Typische Faktoren, die ein Unternehmen im Patching beeinflussen Warum tun sich Unternehmen schwer Sicherheitspatches zeitnah nachzuziehen? FOKUS DATENBANK Typische Faktoren Auswirkungen des Nichts-tun• Größe und Komplexität der • Verlust einer compliant oder Systemumgebung: gehärteten Systemumgebung Je heterogener die Umgebung • Risikoerhöhung für die Umgehung desto mehr Patching-Aufwand von aktiven Sicherheitskontrollen (Kosten/Resourcen) • Kontrollverlust• Fehlendes Buy-in: Schwierig eine mögliche Downtime - Imageverlust zu begründen - Verlust kritischer Unternehmensinformationen• Gutes Sicherheitsverständis: - Etc. Tools kennen das Risiko, können Risiko ohne Sanierung einschätzen(?) und verzögern• Anwendungs-Abhängigkeiten Nichts tun ist keine Antwort und hat zu hohe Auswirkungen auf den Kontrollverlust. ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 8
  8. 8. Sehr wichtig zu wissen: Welche Patches liefert Oracle? Verschiedene Patches, Patch Releases FOKUS DATENBANKArten von Patches• Bundle Patch: Sammlung von Patches, vor Patch Set Release• Conflicting Patch: zwei oder mehr Patches, die gleiche Files haben, aber unterschiedliche Dinge fixen• Critical Patch Update: Sammlung von wichtigen Sicherheits Fixes• Cumulative Patch: Ein Patch mit allen Fixes zu einem Modul• Diagnostic Patch: Für Diagnose Zwecke• Grace Period: Siehe Grafik (next Slide)• Interims Patch: Ein Patch für ein Problem• One-off Patch: siehe Interims Patch• Patch Set: ein integriertes Set von Fixes, getested, ausgeliefert zwischen Releases (1- 2 pro Jahr) zu einem Produkt Modul• Patch Set Update: Quartalweises Update mit kritischen Fixes CPUs beinhalten sehr selten funktionale Erweiterungen, d.h. CPUs sind in der Regel für Anwendungen transparent. ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 9
  9. 9. Sehr wichtig zu wissen: Grace Period für Patch Sets Grace Periode bis ein Jahr, minimum 3 Monate bei Datenbanken FOKUS DATENBANK• 10.2.0.4 wurde am 22.2.2008 released• Bis 22.2.2009 werden Fixes für 10.2.0.4 Bessere Planung für Kunden in einem und 10.2.0.3 erstellt. erweiterten Zeitfenster zu agieren• Nach dem 22.2.2009 wird die Erstellung von Fixes für 10.2.0.3 eingestellt Siehe Support Doc ID: 742060.1• Dann nur noch für 10.2.0.4 Zeit-Periode eines folgenden Patch Sets, in der neue Fixes für beide Sets (neu und alt) kreiert werden. Bessere Planung für unsere Kunden. Bitte beachten! ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 10
  10. 10. Agenda• Herausforderung Security Patching (CPU)• Einführung in das Oracle Security Patching• Planung der Patchdurchführung• Patchdurchführung• Nächste Schritte
  11. 11. Vorgehen: Empfohlendes Security Patch Management Security Patch Management Aufbau Prozess Der Weg zu einem verantwortungsvollen Security Patch-ManagementWissen über Patch Deployment Patch Planung undSysteme und Unternehmens- Decision DeploymentKonfigurationen toleranz für • Check Pre-Release • Existierender Schutz Initiiere P.-Vorgehen• Mapping Risiko verstehen vs. Notwendigkeit • Genehmigung einholen Prozesse und • Prod. Req. vs. Systeme • Stakeholder • Planung Aktivitäten Patch Decision• Konfiguration einbinden • CPU vs. Patchset Baselines • Systeme Identifizieren • Security Patching• Soviel Infos • Backup Systems Polices wie möglich • Patching Policy • Deploy on Test-Umg.• Welche • Patching Kosten definieren Patches sind • Auswirkungen • Testen Performance verfügbar und verstehen und System-Breaks müssten • Klare Verant- • Deploy Patch deployed wortlichkeiten werden Security Patch Management bedeutet ein dokumentiertes Vorgehen, in dem die Notwendigkeit eines Patch-Deployment abgeleitet werden kann.
  12. 12. Wichtig für das Patching: Wissen über Systeme und KonfigurationenPositive Beeinflußlung des Security Patchings durch Wissen FOKUS DATENBANK Aufbau eines System-Inventory inkl. Infos über Konfigurationen in den Umgebungen. ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 13
  13. 13. Wichtig für das Patching: Unternehmenstoleranz für das Risiko kennenZusammenarbeit von technischen Experten und Fachabteilungen FOKUS DATENBANK Abwägung von technischen notwendigen Patches und Auswirkungen auf die Systeme. ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 14
  14. 14. Wichtig für das Patching: Automatisiertes Alerting von CPUsWelche CPUs und Security Alerts betreffen meine Systemumgebung FOKUS DATENBANK Auch Support-Portal via Configuration Manager Collector oder Email Notification via http://www.oracle.com/technetwork/topics/security/securityemail-090378.html ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 15
  15. 15. Enterprise Manager: Patch Deployment - Patch AdvisorsPatching-Prozess FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 16
  16. 16. Enterprise Manager: Patch-Deployment - Datenbank Patch ProzedurPatching-Prozess FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 17
  17. 17. Enterprise Manager: Patch Deployment planenPatching-Prozess, Planung mit Patchauswahl (CPU 2009) FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 18
  18. 18. Enterprise Manager: Patch Deployment AnalysePatching-Prozess, Planung mit Patchauswahl (CPU 2009) FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 19
  19. 19. Enterprise Manager: Patch Dry-Run, Analyse-ErgebnisPatching-Prozess, Patch-Probleme im Vorfeld kennen FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 20
  20. 20. Enterprise Manager: Compliant DB ReferenzenDB Referenzen FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 21
  21. 21. Enterprise Manager: Compliant DB Referenzen - DB ProvisioningDB Referenzen FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 22
  22. 22. Enterprise Manager: Compliant DB Referenzen – Start JobDB Referenzen FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 23
  23. 23. Enterprise Manager: Compliant DB Referenzen - JobDB Referenzen FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 24
  24. 24. Enterprise Manager: Gold Image ErstellungDB Gold Image von Referenz-System FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 25
  25. 25. Enterprise Manager: Gold Image ErstellungDB Gold Image von Referenz-System FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 26
  26. 26. Enterprise Manager: Testing – Datenbankwiedergabe (Replays)Automatisiertes Testing nach Patch Deployment FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 27
  27. 27. Wichtig für das Patching: Patching Entscheidungsbaum Zusammenspiel eingesetzter Security-Maßnahmen vs.notwendiger Patches FOKUS DATENBANKSecurity Komponenten minimieren Risiken. Die Notwendigkeit von Patches kann anhand vondefinierten Security Patching Policies und Kosten abgewogen werden (z.B. Score / Network) ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 28
  28. 28. Agenda• Herausforderung Security Patching (CPU)• Einführung in das Oracle Security Patching• Planung der Patchdurchführung• Patchdurchführung• Nächste Schritte
  29. 29. Wichtig für das Patching: Patching Deployment Grober Prozess eines Patch-Deployments FOKUS DATENBANKWelche Systeme Patch Test-Umgebung Deploy Patch Was hat der Testen Deploy in die Produktion Ergebnisse dokumentierensind betroffen? Entscheidung Clone from Prod. on Test-Umgeb. Patch verändert? New Baseline Restore BACKUP BACKUP Enterprise Risk Enterprise Enterprise Enterprise Enterprise Enterprise Enterprise Manager Matrix Manager Manager Manager Manager Manager Manager Data RAT Masking Oracle Patch Management Best Practice http://www.oracle.com/us/support/assurance/leveraging-cpu-wp-164638.pdf ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 30
  30. 30. Agenda• Herausforderung Security Patching (CPU)• Einführung in das Oracle Security Patching• Planung der Patchdurchführung• Patchdurchführung• Nächste Schritte

×