oracle secure patching concept
DESCRIPTION
Introduction into the importance of critical patch updates.TRANSCRIPT
Oracle Security Patching KonzeptCritical Patch UpdatesCarsten MützlitzOracle Sales Consulting
The following is intended to outline our generalproposal for DB security patching concept. It isintended for information purposes only, and may notbe incorporated into any contract. It is not acommitment to deliver any material, code, orfunctionality, and should not be relied upon inmaking purchasing decisions.The development, release, and timing of anyfeatures or functionality described for Oracle’sproducts remains at the sole discretion of Oracle.
• Herausforderung Security Patching (CPU)• Einführung in das Oracle Security Patching• Planung der Patchdurchführung• Patchdurchführung• Nächste Schritte
Agenda
Software unterliegt einer stetigen Änderungen – PATCH, Fix, Packs,...Patches sind i.d.R. Korrekturauslieferungen um Fehler zu beseitigen
Patching gehörtin jede IT
Strategie vonunternehmens-
kritischenAnwendungen
Herausforderungen
NO Security Patching!
Oracle Patch Auslieferung
Regularien
• Installation aktuelle DB-Version
• Keine Nachrüstung vonSecurity Patches (CPU)
• I.d.R. Quarteilsweise sieheSupport Doc. ID 742060.1
• Aber auch ad-hoc Patches• Critical Patch Updates
(CPU), Ad-Hoc Fixes
• Forderung nach aktuellenVersionen
• Minimierung Risiko
FOKUS DATENBANK
• Herausforderung Security Patching (CPU)• Einführung in das Oracle Security Patching• Planung der Patchdurchführung• Patchdurchführung• Nächste Schritte
Agenda
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 7
• Fehler in Software können dazu missbrachtwerden, das Sicherkontrollsystem zuumgehen.
• Daher ist es wichtig, das Unternehmenentsprechende Policies und Vorgehenadaptieren, um Schwachstellen zeitnah zusanieren. Hierzu muss man folgendeswissen:
1. Oracle formale Patching Prozesseverstehen: CPU und Security Alerts
2. Zeitplanung: Quartalsweise, Terminesind ein Jahr im Voraus definiert, Pre-Release Advisory ca. 1 Woche vorAuslieferung
3. CPU Patches unterliegen 15 Wochen-Testphase (Oracle intern)
4. Auslieferung: Auch Hacker nutzen dieveröffentlichen Security Alert Infos
Software Schwachstellen
Einführung in das Security Patching von OracleCritical Patch Updates und Security Alerts von Oracle
Patch Management ist nicht mehr OPTIONAL! Das Fehlen von Industrie Best Practices führt zuunterschiedlichen Ausführungen (How much to do and how to do it well?).
Prod.-DBHow to
fix?
Sicherheitspatches sind:• Critical Patch Updates
– Quartalsweise• Security Alerts
- Ah-hoc Fixes
Whatto do?
FOKUS DATENBANK
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 8
Typische Faktoren, die ein Unternehmen im Patching beeinflussenWarum tun sich Unternehmen schwer Sicherheitspatches zeitnah nachzuziehen?
FOKUS DATENBANK
Nichts tun ist keine Antwort und hat zu hohe Auswirkungen auf den Kontrollverlust.
Typische Faktoren Auswirkungen des Nichts-tun• Größe und Komplexität der
Systemumgebung:Je heterogener die Umgebungdesto mehr Patching-Aufwand(Kosten/Resourcen)
• Fehlendes Buy-in:Schwierig eine mögliche Downtimezu begründen
• Gutes Sicherheitsverständis:Tools kennen das Risiko, könnenRisiko ohne Sanierungeinschätzen(?) und verzögern
• Anwendungs-Abhängigkeiten
• Verlust einer compliant odergehärteten Systemumgebung
• Risikoerhöhung für die Umgehungvon aktiven Sicherheitskontrollen
• Kontrollverlust- Imageverlust
- Verlust kritischerUnternehmensinformationen
- Etc.
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 9
• Bundle Patch: Sammlung von Patches, vorPatch Set Release
• Conflicting Patch: zwei oder mehr Patches,die gleiche Files haben, aber unterschiedlicheDinge fixen
• Critical Patch Update: Sammlung vonwichtigen Sicherheits Fixes
• Cumulative Patch: Ein Patch mit allen Fixeszu einem Modul
• Diagnostic Patch: Für Diagnose Zwecke• Grace Period: Siehe Grafik (next Slide)• Interims Patch: Ein Patch für ein Problem• One-off Patch: siehe Interims Patch• Patch Set: ein integriertes Set von Fixes,
getested, ausgeliefert zwischen Releases (1-2 pro Jahr) zu einem Produkt Modul
• Patch Set Update: Quartalweises Update mitkritischen Fixes
Arten von Patches
Sehr wichtig zu wissen: Welche Patches liefert Oracle?Verschiedene Patches, Patch Releases
FOKUS DATENBANK
CPUs beinhalten sehr selten funktionale Erweiterungen, d.h. CPUs sind in der Regel fürAnwendungen transparent.
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 10
Sehr wichtig zu wissen: Grace Period für Patch SetsGrace Periode bis ein Jahr, minimum 3 Monate bei Datenbanken
Zeit-Periode eines folgenden Patch Sets, in der neue Fixes für beide Sets (neu und alt) kreiertwerden. Bessere Planung für unsere Kunden. Bitte beachten!
FOKUS DATENBANK
• 10.2.0.4 wurde am 22.2.2008 released• Bis 22.2.2009 werden Fixes für 10.2.0.4
und 10.2.0.3 erstellt.• Nach dem 22.2.2009 wird die Erstellung
von Fixes für 10.2.0.3 eingestellt• Dann nur noch für 10.2.0.4
Bessere Planung für Kunden in einemerweiterten Zeitfenster zu agieren
Siehe Support Doc ID: 742060.1
• Herausforderung Security Patching (CPU)• Einführung in das Oracle Security Patching• Planung der Patchdurchführung• Patchdurchführung• Nächste Schritte
Agenda
Vorgehen: Empfohlendes Security Patch ManagementSecurity Patch Management Aufbau Prozess
Wissen überSysteme undKonfigurationen• Mapping
Prozesse undSysteme
• KonfigurationBaselines
• Soviel Infoswie möglich
• WelchePatches sindverfügbar undmüsstendeployedwerden
Unternehmens-toleranz fürRisiko verstehen
• Prod. Req. vs.Patch Decision
• Patching Policydefinieren
• Auswirkungenverstehen
• Klare Verant-wortlichkeiten
Der Weg zu einem verantwortungsvollen Security Patch-Management
Security Patch Management bedeutet ein dokumentiertes Vorgehen, in dem die Notwendigkeit einesPatch-Deployment abgeleitet werden kann.
Patch DeploymentDecision
• Existierender Schutzvs. Notwendigkeit
• Stakeholdereinbinden
• Security PatchingPolices
• Patching Kosten
Patch Planung undDeployment• Check Pre-Release
Initiiere P.-Vorgehen• Genehmigung einholen• Planung Aktivitäten• CPU vs. Patchset• Systeme Identifizieren• Backup Systems• Deploy on Test-Umg.
• Testen Performanceund System-Breaks
• Deploy Patch
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 13
Wichtig für das Patching: Wissen über Systeme und KonfigurationenPositive Beeinflußlung des Security Patchings durch Wissen
Aufbau eines System-Inventory inkl. Infos über Konfigurationen in den Umgebungen.
FOKUS DATENBANK
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 14
Wichtig für das Patching: Unternehmenstoleranz für das Risiko kennenZusammenarbeit von technischen Experten und Fachabteilungen
Abwägung von technischen notwendigen Patches und Auswirkungen auf die Systeme.
FOKUS DATENBANK
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 15
Wichtig für das Patching: Automatisiertes Alerting von CPUsWelche CPUs und Security Alerts betreffen meine Systemumgebung
Auch Support-Portal via Configuration Manager Collector oder Email Notification viahttp://www.oracle.com/technetwork/topics/security/securityemail-090378.html
FOKUS DATENBANK
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 16
Enterprise Manager: Patch Deployment - Patch AdvisorsPatching-Prozess
FOKUS DATENBANK
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 17
Enterprise Manager: Patch-Deployment - Datenbank Patch ProzedurPatching-Prozess
FOKUS DATENBANK
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 18
Enterprise Manager: Patch Deployment planenPatching-Prozess, Planung mit Patchauswahl (CPU 2009)
FOKUS DATENBANK
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 19
Enterprise Manager: Patch Deployment AnalysePatching-Prozess, Planung mit Patchauswahl (CPU 2009)
FOKUS DATENBANK
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 20
Enterprise Manager: Patch Dry-Run, Analyse-ErgebnisPatching-Prozess, Patch-Probleme im Vorfeld kennen
FOKUS DATENBANK
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 21
Enterprise Manager: Compliant DB ReferenzenDB Referenzen
FOKUS DATENBANK
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 22
Enterprise Manager: Compliant DB Referenzen - DB ProvisioningDB Referenzen
FOKUS DATENBANK
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 23
Enterprise Manager: Compliant DB Referenzen – Start JobDB Referenzen
FOKUS DATENBANK
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 24
Enterprise Manager: Compliant DB Referenzen - JobDB Referenzen
FOKUS DATENBANK
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 25
Enterprise Manager: Gold Image ErstellungDB Gold Image von Referenz-System
FOKUS DATENBANK
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 26
Enterprise Manager: Gold Image ErstellungDB Gold Image von Referenz-System
FOKUS DATENBANK
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 27
Enterprise Manager: Testing – Datenbankwiedergabe (Replays)Automatisiertes Testing nach Patch Deployment
FOKUS DATENBANK
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 28
Wichtig für das Patching: Patching EntscheidungsbaumZusammenspiel eingesetzter Security-Maßnahmen vs.notwendiger Patches
Security Komponenten minimieren Risiken. Die Notwendigkeit von Patches kann anhand vondefinierten Security Patching Policies und Kosten abgewogen werden (z.B. Score / Network)
FOKUS DATENBANK
• Herausforderung Security Patching (CPU)• Einführung in das Oracle Security Patching• Planung der Patchdurchführung• Patchdurchführung• Nächste Schritte
Agenda
ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 30
Wichtig für das Patching: Patching DeploymentGrober Prozess eines Patch-Deployments
Oracle Patch Management Best Practicehttp://www.oracle.com/us/support/assurance/leveraging-cpu-wp-164638.pdf
FOKUS DATENBANK
EnterpriseManager
RiskMatrix
Welche Systemesind betroffen?
PatchEntscheidung
Test-UmgebungClone from Prod.
EnterpriseManager
DataMasking
Deploy Patchon Test-Umgeb.
EnterpriseManager
Was hat derPatch verändert?
EnterpriseManager
Testen
EnterpriseManager
RAT
BACKUPRestore
BACKUP
New Baseline
Deploy in die Produktion
EnterpriseManager
Ergebnisse dokumentieren
EnterpriseManager
• Herausforderung Security Patching (CPU)• Einführung in das Oracle Security Patching• Planung der Patchdurchführung• Patchdurchführung• Nächste Schritte
Agenda