SlideShare ist ein Scribd-Unternehmen logo

Oracle Secure Patching Concept

Carsten Muetzlitz
Carsten Muetzlitz

Introduction into the importance of critical patch updates.

Technologie
1 von 31
Downloaden Sie, um offline zu lesen
Oracle Security Patching Konzept Critical Patch Updates Carsten Mützlitz Oracle Sales Consulting
The following is intended to outline our general proposal for DB security patching concept. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.
Agenda • Herausforderung Security Patching (CPU) • Einführung in das Oracle Security Patching • Planung der Patchdurchführung • Patchdurchführung • Nächste Schritte
Software unterliegt einer stetigen Änderungen – PATCH, Fix, Packs,... Patches sind i.d.R. Korrekturauslieferungen um Fehler zu beseitigen FOKUS DATENBANK Herausforderungen • Installation aktuelle DB- Version NO Security Patching! • Keine Nachrüstung von Security Patches (CPU) • I.d.R. Quarteilsweise siehe Patching gehört Support Doc. ID 742060.1 in jede IT Oracle Patch Auslieferung Strategie von • Aber auch ad-hoc Patches unternehmens- • Critical Patch Updates kritischen (CPU), Ad-Hoc Fixes Anwendungen • Forderung nach aktuellen Regularien Versionen • Minimierung Risiko
Agenda • Herausforderung Security Patching (CPU) • Einführung in das Oracle Security Patching • Planung der Patchdurchführung • Patchdurchführung • Nächste Schritte
Einführung in das Security Patching von Oracle Critical Patch Updates und Security Alerts von Oracle FOKUS DATENBANK Software Schwachstellen • Fehler in Software können dazu missbracht werden, das Sicherkontrollsystem zu Sicherheitspatches sind: umgehen. • Critical Patch Updates – Quartalsweise • Daher ist es wichtig, das Unternehmen • Security Alerts entsprechende Policies und Vorgehen - Ah-hoc Fixes adaptieren, um Schwachstellen zeitnah zu sanieren. Hierzu muss man folgendes wissen: 1. Oracle formale Patching Prozesse verstehen: CPU und Security Alerts 2. Zeitplanung: Quartalsweise, Termine What sind ein Jahr im Voraus definiert, Pre- to do? Release Advisory ca. 1 Woche vor Auslieferung Prod.-DB 3. CPU Patches unterliegen 15 Wochen- How to fix? Testphase (Oracle intern) 4. Auslieferung: Auch Hacker nutzen die veröffentlichen Security Alert Infos Patch Management ist nicht mehr OPTIONAL! Das Fehlen von Industrie Best Practices führt zu unterschiedlichen Ausführungen (How much to do and how to do it well?). ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 7
Typische Faktoren, die ein Unternehmen im Patching beeinflussen Warum tun sich Unternehmen schwer Sicherheitspatches zeitnah nachzuziehen? FOKUS DATENBANK Typische Faktoren Auswirkungen des Nichts-tun • Größe und Komplexität der • Verlust einer compliant oder Systemumgebung: gehärteten Systemumgebung Je heterogener die Umgebung • Risikoerhöhung für die Umgehung desto mehr Patching-Aufwand von aktiven Sicherheitskontrollen (Kosten/Resourcen) • Kontrollverlust • Fehlendes Buy-in: Schwierig eine mögliche Downtime - Imageverlust zu begründen - Verlust kritischer Unternehmensinformationen • Gutes Sicherheitsverständis: - Etc. Tools kennen das Risiko, können Risiko ohne Sanierung einschätzen(?) und verzögern • Anwendungs-Abhängigkeiten Nichts tun ist keine Antwort und hat zu hohe Auswirkungen auf den Kontrollverlust. ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 8
Sehr wichtig zu wissen: Welche Patches liefert Oracle? Verschiedene Patches, Patch Releases FOKUS DATENBANK Arten von Patches • Bundle Patch: Sammlung von Patches, vor Patch Set Release • Conflicting Patch: zwei oder mehr Patches, die gleiche Files haben, aber unterschiedliche Dinge fixen • Critical Patch Update: Sammlung von wichtigen Sicherheits Fixes • Cumulative Patch: Ein Patch mit allen Fixes zu einem Modul • Diagnostic Patch: Für Diagnose Zwecke • Grace Period: Siehe Grafik (next Slide) • Interims Patch: Ein Patch für ein Problem • One-off Patch: siehe Interims Patch • Patch Set: ein integriertes Set von Fixes, getested, ausgeliefert zwischen Releases (1- 2 pro Jahr) zu einem Produkt Modul • Patch Set Update: Quartalweises Update mit kritischen Fixes CPUs beinhalten sehr selten funktionale Erweiterungen, d.h. CPUs sind in der Regel für Anwendungen transparent. ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 9
Sehr wichtig zu wissen: Grace Period für Patch Sets Grace Periode bis ein Jahr, minimum 3 Monate bei Datenbanken FOKUS DATENBANK • 10.2.0.4 wurde am 22.2.2008 released • Bis 22.2.2009 werden Fixes für 10.2.0.4 Bessere Planung für Kunden in einem und 10.2.0.3 erstellt. erweiterten Zeitfenster zu agieren • Nach dem 22.2.2009 wird die Erstellung von Fixes für 10.2.0.3 eingestellt Siehe Support Doc ID: 742060.1 • Dann nur noch für 10.2.0.4 Zeit-Periode eines folgenden Patch Sets, in der neue Fixes für beide Sets (neu und alt) kreiert werden. Bessere Planung für unsere Kunden. Bitte beachten! ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 10
Agenda • Herausforderung Security Patching (CPU) • Einführung in das Oracle Security Patching • Planung der Patchdurchführung • Patchdurchführung • Nächste Schritte
Vorgehen: Empfohlendes Security Patch Management Security Patch Management Aufbau Prozess Der Weg zu einem verantwortungsvollen Security Patch-Management Wissen über Patch Deployment Patch Planung und Systeme und Unternehmens- Decision Deployment Konfigurationen toleranz für • Check Pre-Release • Existierender Schutz Initiiere P.-Vorgehen • Mapping Risiko verstehen vs. Notwendigkeit • Genehmigung einholen Prozesse und • Prod. Req. vs. Systeme • Stakeholder • Planung Aktivitäten Patch Decision • Konfiguration einbinden • CPU vs. Patchset Baselines • Systeme Identifizieren • Security Patching • Soviel Infos • Backup Systems Polices wie möglich • Patching Policy • Deploy on Test-Umg. • Welche • Patching Kosten definieren Patches sind • Auswirkungen • Testen Performance verfügbar und verstehen und System-Breaks müssten • Klare Verant- • Deploy Patch deployed wortlichkeiten werden Security Patch Management bedeutet ein dokumentiertes Vorgehen, in dem die Notwendigkeit eines Patch-Deployment abgeleitet werden kann.
Wichtig für das Patching: Wissen über Systeme und Konfigurationen Positive Beeinflußlung des Security Patchings durch Wissen FOKUS DATENBANK Aufbau eines System-Inventory inkl. Infos über Konfigurationen in den Umgebungen. ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 13
Wichtig für das Patching: Unternehmenstoleranz für das Risiko kennen Zusammenarbeit von technischen Experten und Fachabteilungen FOKUS DATENBANK Abwägung von technischen notwendigen Patches und Auswirkungen auf die Systeme. ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 14
Wichtig für das Patching: Automatisiertes Alerting von CPUs Welche CPUs und Security Alerts betreffen meine Systemumgebung FOKUS DATENBANK Auch Support-Portal via Configuration Manager Collector oder Email Notification via http://www.oracle.com/technetwork/topics/security/securityemail-090378.html ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 15
Enterprise Manager: Patch Deployment - Patch Advisors Patching-Prozess FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 16
Enterprise Manager: Patch-Deployment - Datenbank Patch Prozedur Patching-Prozess FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 17
Enterprise Manager: Patch Deployment planen Patching-Prozess, Planung mit Patchauswahl (CPU 2009) FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 18
Enterprise Manager: Patch Deployment Analyse Patching-Prozess, Planung mit Patchauswahl (CPU 2009) FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 19
Enterprise Manager: Patch Dry-Run, Analyse-Ergebnis Patching-Prozess, Patch-Probleme im Vorfeld kennen FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 20
Enterprise Manager: Compliant DB Referenzen DB Referenzen FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 21
Enterprise Manager: Compliant DB Referenzen - DB Provisioning DB Referenzen FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 22
Enterprise Manager: Compliant DB Referenzen – Start Job DB Referenzen FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 23
Enterprise Manager: Compliant DB Referenzen - Job DB Referenzen FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 24
Enterprise Manager: Gold Image Erstellung DB Gold Image von Referenz-System FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 25
Enterprise Manager: Gold Image Erstellung DB Gold Image von Referenz-System FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 26
Enterprise Manager: Testing – Datenbankwiedergabe (Replays) Automatisiertes Testing nach Patch Deployment FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 27
Wichtig für das Patching: Patching Entscheidungsbaum Zusammenspiel eingesetzter Security-Maßnahmen vs.notwendiger Patches FOKUS DATENBANK Security Komponenten minimieren Risiken. Die Notwendigkeit von Patches kann anhand von definierten Security Patching Policies und Kosten abgewogen werden (z.B. Score / Network) ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 28
Agenda • Herausforderung Security Patching (CPU) • Einführung in das Oracle Security Patching • Planung der Patchdurchführung • Patchdurchführung • Nächste Schritte
Wichtig für das Patching: Patching Deployment Grober Prozess eines Patch-Deployments FOKUS DATENBANK Welche Systeme Patch Test-Umgebung Deploy Patch Was hat der Testen Deploy in die Produktion Ergebnisse dokumentieren sind betroffen? Entscheidung Clone from Prod. on Test-Umgeb. Patch verändert? New Baseline Restore BACKUP BACKUP Enterprise Risk Enterprise Enterprise Enterprise Enterprise Enterprise Enterprise Manager Matrix Manager Manager Manager Manager Manager Manager Data RAT Masking Oracle Patch Management Best Practice http://www.oracle.com/us/support/assurance/leveraging-cpu-wp-164638.pdf ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 30
Agenda • Herausforderung Security Patching (CPU) • Einführung in das Oracle Security Patching • Planung der Patchdurchführung • Patchdurchführung • Nächste Schritte
Oracle Secure Patching Concept

Empfohlen

OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...NETWAYS
 
Windows as a Service - Herausforderungen ohne Windows Desktop Analytics
Windows as a Service - Herausforderungen ohne Windows Desktop AnalyticsWindows as a Service - Herausforderungen ohne Windows Desktop Analytics
Windows as a Service - Herausforderungen ohne Windows Desktop AnalyticsFabian Niesen
 
OSMC 2010 | Java Monitoring und Troubleshooting by Rainer Jung
OSMC 2010 | Java Monitoring und Troubleshooting by Rainer JungOSMC 2010 | Java Monitoring und Troubleshooting by Rainer Jung
OSMC 2010 | Java Monitoring und Troubleshooting by Rainer JungNETWAYS
 
Secure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstSecure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstCarsten Muetzlitz
 
ApplicationPro Flyer deutsch
ApplicationPro Flyer deutschApplicationPro Flyer deutsch
ApplicationPro Flyer deutschcynapspro GmbH
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitCarsten Muetzlitz
 
Infrastructure Solution Day | Private
Infrastructure Solution Day | PrivateInfrastructure Solution Day | Private
Infrastructure Solution Day | PrivateMicrosoft Österreich
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicCarsten Muetzlitz
 

Empfohlen

OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...NETWAYS
 
Windows as a Service - Herausforderungen ohne Windows Desktop Analytics
Windows as a Service - Herausforderungen ohne Windows Desktop AnalyticsWindows as a Service - Herausforderungen ohne Windows Desktop Analytics
Windows as a Service - Herausforderungen ohne Windows Desktop AnalyticsFabian Niesen
 
OSMC 2010 | Java Monitoring und Troubleshooting by Rainer Jung
OSMC 2010 | Java Monitoring und Troubleshooting by Rainer JungOSMC 2010 | Java Monitoring und Troubleshooting by Rainer Jung
OSMC 2010 | Java Monitoring und Troubleshooting by Rainer JungNETWAYS
 
Secure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstSecure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstCarsten Muetzlitz
 
ApplicationPro Flyer deutsch
ApplicationPro Flyer deutschApplicationPro Flyer deutsch
ApplicationPro Flyer deutschcynapspro GmbH
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitCarsten Muetzlitz
 
Infrastructure Solution Day | Private
Infrastructure Solution Day | PrivateInfrastructure Solution Day | Private
Infrastructure Solution Day | PrivateMicrosoft Österreich
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicCarsten Muetzlitz
 
Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...
Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...
Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...Marcus Dapp
 
Anexo 5 avales completo v2011.1
Anexo 5 avales completo v2011.1Anexo 5 avales completo v2011.1
Anexo 5 avales completo v2011.1Liron Antirronquidos
 
Groups 2010.08: facebook Alternativen (Digital Sustainability)
Groups 2010.08: facebook Alternativen (Digital Sustainability)Groups 2010.08: facebook Alternativen (Digital Sustainability)
Groups 2010.08: facebook Alternativen (Digital Sustainability)Marcus Dapp
 
Apps und iPad
Apps und iPadApps und iPad
Apps und iPadidealogues
 
Eco call slideshare-präsentation.endfassung
Eco call slideshare-präsentation.endfassungEco call slideshare-präsentation.endfassung
Eco call slideshare-präsentation.endfassungBenjamin Segref
 
Gefahren von Social Media
Gefahren von Social MediaGefahren von Social Media
Gefahren von Social MediaMalte Landwehr
 
Lanz2
Lanz2Lanz2
Lanz2txankleto
 
Technologieraum übergreifende Programmierung
Technologieraum übergreifende ProgrammierungTechnologieraum übergreifende Programmierung
Technologieraum übergreifende ProgrammierungFalk Hartmann
 
40 Thesen Unternehmenskommunikation, 2005
40 Thesen Unternehmenskommunikation, 200540 Thesen Unternehmenskommunikation, 2005
40 Thesen Unternehmenskommunikation, 2005Dr. Volker Klenk
 
Groups 2010.14: FOSS-Strategien - Red Hat vs. Oracle vs. SAP (Digital Sustain...
Groups 2010.14: FOSS-Strategien - Red Hat vs. Oracle vs. SAP (Digital Sustain...Groups 2010.14: FOSS-Strategien - Red Hat vs. Oracle vs. SAP (Digital Sustain...
Groups 2010.14: FOSS-Strategien - Red Hat vs. Oracle vs. SAP (Digital Sustain...Marcus Dapp
 
SIMPLE MACHINES
SIMPLE MACHINESSIMPLE MACHINES
SIMPLE MACHINESSasi Palakkad
 
Drahtwanderung: Wir machen den NeXTen Schritt
Drahtwanderung: Wir machen den NeXTen SchrittDrahtwanderung: Wir machen den NeXTen Schritt
Drahtwanderung: Wir machen den NeXTen SchrittFalk Hartmann
 
Nistagmus
NistagmusNistagmus
Nistagmuskebaplik
 
Drogerien im Social Web - Hagen Sexauer
Drogerien im Social Web - Hagen SexauerDrogerien im Social Web - Hagen Sexauer
Drogerien im Social Web - Hagen SexauerHagen Sexauer
 
Effektiv erfolgreich durch Social Media
Effektiv erfolgreich durch Social MediaEffektiv erfolgreich durch Social Media
Effektiv erfolgreich durch Social MediaVCAT Consulting GmbH
 
Projektidee "Lehrern lehren helfen!"
Projektidee "Lehrern lehren helfen!"Projektidee "Lehrern lehren helfen!"
Projektidee "Lehrern lehren helfen!"VCAT Consulting GmbH
 
VCAT EDULABS @ WP Camp 2013: Plugin-Entwicklung mit eigenen Tabellen, Backend...
VCAT EDULABS @ WP Camp 2013: Plugin-Entwicklung mit eigenen Tabellen, Backend...VCAT EDULABS @ WP Camp 2013: Plugin-Entwicklung mit eigenen Tabellen, Backend...
VCAT EDULABS @ WP Camp 2013: Plugin-Entwicklung mit eigenen Tabellen, Backend...VCAT Consulting GmbH
 
Slideshare
SlideshareSlideshare
Slidesharenathaliebb
 
„Das Internet der Dinge & Mobiles Internet" - Hagen Sexauer
„Das Internet der Dinge & Mobiles Internet" - Hagen Sexauer„Das Internet der Dinge & Mobiles Internet" - Hagen Sexauer
„Das Internet der Dinge & Mobiles Internet" - Hagen SexauerHagen Sexauer
 
Margelhs1
Margelhs1Margelhs1
Margelhs1kabbada
 
Implementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerImplementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerMartin Obst
 
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Virtual Forge
 

Weitere ähnliche Inhalte

Andere mochten auch

Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...
Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...
Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...Marcus Dapp
 
Groups 2010.08: facebook Alternativen (Digital Sustainability)
Groups 2010.08: facebook Alternativen (Digital Sustainability)Groups 2010.08: facebook Alternativen (Digital Sustainability)
Groups 2010.08: facebook Alternativen (Digital Sustainability)Marcus Dapp
 
Eco call slideshare-präsentation.endfassung
Eco call slideshare-präsentation.endfassungEco call slideshare-präsentation.endfassung
Eco call slideshare-präsentation.endfassungBenjamin Segref
 
Gefahren von Social Media
Gefahren von Social MediaGefahren von Social Media
Gefahren von Social MediaMalte Landwehr
 
Technologieraum übergreifende Programmierung
Technologieraum übergreifende ProgrammierungTechnologieraum übergreifende Programmierung
Technologieraum übergreifende ProgrammierungFalk Hartmann
 
40 Thesen Unternehmenskommunikation, 2005
40 Thesen Unternehmenskommunikation, 200540 Thesen Unternehmenskommunikation, 2005
40 Thesen Unternehmenskommunikation, 2005Dr. Volker Klenk
 
Groups 2010.14: FOSS-Strategien - Red Hat vs. Oracle vs. SAP (Digital Sustain...
Groups 2010.14: FOSS-Strategien - Red Hat vs. Oracle vs. SAP (Digital Sustain...Groups 2010.14: FOSS-Strategien - Red Hat vs. Oracle vs. SAP (Digital Sustain...
Groups 2010.14: FOSS-Strategien - Red Hat vs. Oracle vs. SAP (Digital Sustain...Marcus Dapp
 
Drahtwanderung: Wir machen den NeXTen Schritt
Drahtwanderung: Wir machen den NeXTen SchrittDrahtwanderung: Wir machen den NeXTen Schritt
Drahtwanderung: Wir machen den NeXTen SchrittFalk Hartmann
 
Drogerien im Social Web - Hagen Sexauer
Drogerien im Social Web - Hagen SexauerDrogerien im Social Web - Hagen Sexauer
Drogerien im Social Web - Hagen SexauerHagen Sexauer
 
Effektiv erfolgreich durch Social Media
Effektiv erfolgreich durch Social MediaEffektiv erfolgreich durch Social Media
Effektiv erfolgreich durch Social MediaVCAT Consulting GmbH
 
Projektidee "Lehrern lehren helfen!"
Projektidee "Lehrern lehren helfen!"Projektidee "Lehrern lehren helfen!"
Projektidee "Lehrern lehren helfen!"VCAT Consulting GmbH
 
VCAT EDULABS @ WP Camp 2013: Plugin-Entwicklung mit eigenen Tabellen, Backend...
VCAT EDULABS @ WP Camp 2013: Plugin-Entwicklung mit eigenen Tabellen, Backend...VCAT EDULABS @ WP Camp 2013: Plugin-Entwicklung mit eigenen Tabellen, Backend...
VCAT EDULABS @ WP Camp 2013: Plugin-Entwicklung mit eigenen Tabellen, Backend...VCAT Consulting GmbH
 
„Das Internet der Dinge & Mobiles Internet" - Hagen Sexauer
„Das Internet der Dinge & Mobiles Internet" - Hagen Sexauer„Das Internet der Dinge & Mobiles Internet" - Hagen Sexauer
„Das Internet der Dinge & Mobiles Internet" - Hagen SexauerHagen Sexauer
 
Margelhs1
Margelhs1Margelhs1
Margelhs1kabbada
 

Andere mochten auch (20)

Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...
Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...
Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...
 
Anexo 5 avales completo v2011.1
Anexo 5 avales completo v2011.1Anexo 5 avales completo v2011.1
Anexo 5 avales completo v2011.1
 
Groups 2010.08: facebook Alternativen (Digital Sustainability)
Groups 2010.08: facebook Alternativen (Digital Sustainability)Groups 2010.08: facebook Alternativen (Digital Sustainability)
Groups 2010.08: facebook Alternativen (Digital Sustainability)
 
Apps und iPad
Apps und iPadApps und iPad
Apps und iPad
 
Eco call slideshare-präsentation.endfassung
Eco call slideshare-präsentation.endfassungEco call slideshare-präsentation.endfassung
Eco call slideshare-präsentation.endfassung
 
Gefahren von Social Media
Gefahren von Social MediaGefahren von Social Media
Gefahren von Social Media
 
Lanz2
Lanz2Lanz2
Lanz2
 
Technologieraum übergreifende Programmierung
Technologieraum übergreifende ProgrammierungTechnologieraum übergreifende Programmierung
Technologieraum übergreifende Programmierung
 
40 Thesen Unternehmenskommunikation, 2005
40 Thesen Unternehmenskommunikation, 200540 Thesen Unternehmenskommunikation, 2005
40 Thesen Unternehmenskommunikation, 2005
 
Groups 2010.14: FOSS-Strategien - Red Hat vs. Oracle vs. SAP (Digital Sustain...
Groups 2010.14: FOSS-Strategien - Red Hat vs. Oracle vs. SAP (Digital Sustain...Groups 2010.14: FOSS-Strategien - Red Hat vs. Oracle vs. SAP (Digital Sustain...
Groups 2010.14: FOSS-Strategien - Red Hat vs. Oracle vs. SAP (Digital Sustain...
 
SIMPLE MACHINES
SIMPLE MACHINESSIMPLE MACHINES
SIMPLE MACHINES
 
Drahtwanderung: Wir machen den NeXTen Schritt
Drahtwanderung: Wir machen den NeXTen SchrittDrahtwanderung: Wir machen den NeXTen Schritt
Drahtwanderung: Wir machen den NeXTen Schritt
 
Nistagmus
NistagmusNistagmus
Nistagmus
 
Drogerien im Social Web - Hagen Sexauer
Drogerien im Social Web - Hagen SexauerDrogerien im Social Web - Hagen Sexauer
Drogerien im Social Web - Hagen Sexauer
 
Effektiv erfolgreich durch Social Media
Effektiv erfolgreich durch Social MediaEffektiv erfolgreich durch Social Media
Effektiv erfolgreich durch Social Media
 
Projektidee "Lehrern lehren helfen!"
Projektidee "Lehrern lehren helfen!"Projektidee "Lehrern lehren helfen!"
Projektidee "Lehrern lehren helfen!"
 
VCAT EDULABS @ WP Camp 2013: Plugin-Entwicklung mit eigenen Tabellen, Backend...
VCAT EDULABS @ WP Camp 2013: Plugin-Entwicklung mit eigenen Tabellen, Backend...VCAT EDULABS @ WP Camp 2013: Plugin-Entwicklung mit eigenen Tabellen, Backend...
VCAT EDULABS @ WP Camp 2013: Plugin-Entwicklung mit eigenen Tabellen, Backend...
 
Slideshare
SlideshareSlideshare
Slideshare
 
„Das Internet der Dinge & Mobiles Internet" - Hagen Sexauer
„Das Internet der Dinge & Mobiles Internet" - Hagen Sexauer„Das Internet der Dinge & Mobiles Internet" - Hagen Sexauer
„Das Internet der Dinge & Mobiles Internet" - Hagen Sexauer
 
Margelhs1
Margelhs1Margelhs1
Margelhs1
 

Ähnlich wie Oracle Secure Patching Concept

Implementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerImplementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerMartin Obst
 
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Virtual Forge
 
Applikationsmodernisierung: Der Weg von Legacy in die Cloud
Applikationsmodernisierung: Der Weg von Legacy in die CloudApplikationsmodernisierung: Der Weg von Legacy in die Cloud
Applikationsmodernisierung: Der Weg von Legacy in die CloudAarno Aukia
 
Open Source Governance - Erfahrungen
Open Source Governance - ErfahrungenOpen Source Governance - Erfahrungen
Open Source Governance - ErfahrungenJan Thielscher
 
Sichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMSichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMOPTIMAbit GmbH
 
Oracle Critical Patch Update und Patch Set Update - DOAG SIG Security 2011 - ...
Oracle Critical Patch Update und Patch Set Update - DOAG SIG Security 2011 - ...Oracle Critical Patch Update und Patch Set Update - DOAG SIG Security 2011 - ...
Oracle Critical Patch Update und Patch Set Update - DOAG SIG Security 2011 - ...OPITZ CONSULTING Deutschland
 
Ringvorlesung ITmitte.de : Vortrag der FIO SYSTEMS AG über Unit Tests und TDD
Ringvorlesung ITmitte.de : Vortrag der FIO SYSTEMS AG über Unit Tests und TDDRingvorlesung ITmitte.de : Vortrag der FIO SYSTEMS AG über Unit Tests und TDD
Ringvorlesung ITmitte.de : Vortrag der FIO SYSTEMS AG über Unit Tests und TDDCommunity ITmitte.de
 
Oracle Database 12c Release 2
Oracle Database 12c Release 2 Oracle Database 12c Release 2
Oracle Database 12c Release 2 oraclebudb
 
Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2Ulrike Schwinn
 
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen....NET User Group Rhein-Neckar
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Carsten Muetzlitz
 
Industrie 4.0 Checkliste
Industrie 4.0 ChecklisteIndustrie 4.0 Checkliste
Industrie 4.0 ChecklisteSrenRose1
 
Continous Deployment - Schneller entwickeln
Continous Deployment - Schneller entwickelnContinous Deployment - Schneller entwickeln
Continous Deployment - Schneller entwickelnMartin Seibert
 
BrightTag DAALA Berlin
BrightTag DAALA BerlinBrightTag DAALA Berlin
BrightTag DAALA Berlinluna-park GmbH
 
Legacy-Software-Refactoring - Zielsetzungen für ein erfolgreiches Refactoring...
Legacy-Software-Refactoring - Zielsetzungen für ein erfolgreiches Refactoring...Legacy-Software-Refactoring - Zielsetzungen für ein erfolgreiches Refactoring...
Legacy-Software-Refactoring - Zielsetzungen für ein erfolgreiches Refactoring...Alex Sili
 
Mehr Sicherheit durch Automatisierung
Mehr Sicherheit durch AutomatisierungMehr Sicherheit durch Automatisierung
Mehr Sicherheit durch AutomatisierungOPEN KNOWLEDGE GmbH
 
Real Application Testing - DOAG SIG Database 2010 - Simon Dickmeiß
Real Application Testing - DOAG SIG Database 2010 - Simon DickmeißReal Application Testing - DOAG SIG Database 2010 - Simon Dickmeiß
Real Application Testing - DOAG SIG Database 2010 - Simon DickmeißOPITZ CONSULTING Deutschland
 
Überblick Common Criteria
Überblick Common CriteriaÜberblick Common Criteria
Überblick Common CriteriaJens Oberender
 

Ähnlich wie Oracle Secure Patching Concept (20)

Implementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerImplementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise Manager
 
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
 
Applikationsmodernisierung: Der Weg von Legacy in die Cloud
Applikationsmodernisierung: Der Weg von Legacy in die CloudApplikationsmodernisierung: Der Weg von Legacy in die Cloud
Applikationsmodernisierung: Der Weg von Legacy in die Cloud
 
Open Source Governance - Erfahrungen
Open Source Governance - ErfahrungenOpen Source Governance - Erfahrungen
Open Source Governance - Erfahrungen
 
Xidra 2016 DevOps
Xidra 2016 DevOpsXidra 2016 DevOps
Xidra 2016 DevOps
 
Sichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMSichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMM
 
Oracle Critical Patch Update und Patch Set Update - DOAG SIG Security 2011 - ...
Oracle Critical Patch Update und Patch Set Update - DOAG SIG Security 2011 - ...Oracle Critical Patch Update und Patch Set Update - DOAG SIG Security 2011 - ...
Oracle Critical Patch Update und Patch Set Update - DOAG SIG Security 2011 - ...
 
Ringvorlesung ITmitte.de : Vortrag der FIO SYSTEMS AG über Unit Tests und TDD
Ringvorlesung ITmitte.de : Vortrag der FIO SYSTEMS AG über Unit Tests und TDDRingvorlesung ITmitte.de : Vortrag der FIO SYSTEMS AG über Unit Tests und TDD
Ringvorlesung ITmitte.de : Vortrag der FIO SYSTEMS AG über Unit Tests und TDD
 
Oracle Database 12c Release 2
Oracle Database 12c Release 2 Oracle Database 12c Release 2
Oracle Database 12c Release 2
 
Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2
 
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
 
Industrie 4.0 Checkliste
Industrie 4.0 ChecklisteIndustrie 4.0 Checkliste
Industrie 4.0 Checkliste
 
2011 05 11 11-45 top_sopft-startfolien-xx-01
2011 05 11 11-45 top_sopft-startfolien-xx-012011 05 11 11-45 top_sopft-startfolien-xx-01
2011 05 11 11-45 top_sopft-startfolien-xx-01
 
Continous Deployment - Schneller entwickeln
Continous Deployment - Schneller entwickelnContinous Deployment - Schneller entwickeln
Continous Deployment - Schneller entwickeln
 
BrightTag DAALA Berlin
BrightTag DAALA BerlinBrightTag DAALA Berlin
BrightTag DAALA Berlin
 
Legacy-Software-Refactoring - Zielsetzungen für ein erfolgreiches Refactoring...
Legacy-Software-Refactoring - Zielsetzungen für ein erfolgreiches Refactoring...Legacy-Software-Refactoring - Zielsetzungen für ein erfolgreiches Refactoring...
Legacy-Software-Refactoring - Zielsetzungen für ein erfolgreiches Refactoring...
 
Mehr Sicherheit durch Automatisierung
Mehr Sicherheit durch AutomatisierungMehr Sicherheit durch Automatisierung
Mehr Sicherheit durch Automatisierung
 
Real Application Testing - DOAG SIG Database 2010 - Simon Dickmeiß
Real Application Testing - DOAG SIG Database 2010 - Simon DickmeißReal Application Testing - DOAG SIG Database 2010 - Simon Dickmeiß
Real Application Testing - DOAG SIG Database 2010 - Simon Dickmeiß
 
Überblick Common Criteria
Überblick Common CriteriaÜberblick Common Criteria
Überblick Common Criteria
 

Mehr von Carsten Muetzlitz

Einführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle DeutschlandEinführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle DeutschlandCarsten Muetzlitz
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiCarsten Muetzlitz
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasCarsten Muetzlitz
 
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...Carsten Muetzlitz
 
Oracle Application Express enabled to use central User Management (LDAP) (in ...
Oracle Application Express enabled to use central User Management (LDAP) (in ...Oracle Application Express enabled to use central User Management (LDAP) (in ...
Oracle Application Express enabled to use central User Management (LDAP) (in ...Carsten Muetzlitz
 
Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)Carsten Muetzlitz
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Carsten Muetzlitz
 

Mehr von Carsten Muetzlitz (7)

Einführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle DeutschlandEinführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle Deutschland
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal Soszynski
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
 
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
 
Oracle Application Express enabled to use central User Management (LDAP) (in ...
Oracle Application Express enabled to use central User Management (LDAP) (in ...Oracle Application Express enabled to use central User Management (LDAP) (in ...
Oracle Application Express enabled to use central User Management (LDAP) (in ...
 
Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)
 

Oracle Secure Patching Concept

  • 1. Oracle Security Patching Konzept Critical Patch Updates Carsten Mützlitz Oracle Sales Consulting
  • 2. The following is intended to outline our general proposal for DB security patching concept. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.
  • 3. Agenda • Herausforderung Security Patching (CPU) • Einführung in das Oracle Security Patching • Planung der Patchdurchführung • Patchdurchführung • Nächste Schritte
  • 4. Software unterliegt einer stetigen Änderungen – PATCH, Fix, Packs,... Patches sind i.d.R. Korrekturauslieferungen um Fehler zu beseitigen FOKUS DATENBANK Herausforderungen • Installation aktuelle DB- Version NO Security Patching! • Keine Nachrüstung von Security Patches (CPU) • I.d.R. Quarteilsweise siehe Patching gehört Support Doc. ID 742060.1 in jede IT Oracle Patch Auslieferung Strategie von • Aber auch ad-hoc Patches unternehmens- • Critical Patch Updates kritischen (CPU), Ad-Hoc Fixes Anwendungen • Forderung nach aktuellen Regularien Versionen • Minimierung Risiko
  • 5. Agenda • Herausforderung Security Patching (CPU) • Einführung in das Oracle Security Patching • Planung der Patchdurchführung • Patchdurchführung • Nächste Schritte
  • 6. Einführung in das Security Patching von Oracle Critical Patch Updates und Security Alerts von Oracle FOKUS DATENBANK Software Schwachstellen • Fehler in Software können dazu missbracht werden, das Sicherkontrollsystem zu Sicherheitspatches sind: umgehen. • Critical Patch Updates – Quartalsweise • Daher ist es wichtig, das Unternehmen • Security Alerts entsprechende Policies und Vorgehen - Ah-hoc Fixes adaptieren, um Schwachstellen zeitnah zu sanieren. Hierzu muss man folgendes wissen: 1. Oracle formale Patching Prozesse verstehen: CPU und Security Alerts 2. Zeitplanung: Quartalsweise, Termine What sind ein Jahr im Voraus definiert, Pre- to do? Release Advisory ca. 1 Woche vor Auslieferung Prod.-DB 3. CPU Patches unterliegen 15 Wochen- How to fix? Testphase (Oracle intern) 4. Auslieferung: Auch Hacker nutzen die veröffentlichen Security Alert Infos Patch Management ist nicht mehr OPTIONAL! Das Fehlen von Industrie Best Practices führt zu unterschiedlichen Ausführungen (How much to do and how to do it well?). ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 7
  • 7. Typische Faktoren, die ein Unternehmen im Patching beeinflussen Warum tun sich Unternehmen schwer Sicherheitspatches zeitnah nachzuziehen? FOKUS DATENBANK Typische Faktoren Auswirkungen des Nichts-tun • Größe und Komplexität der • Verlust einer compliant oder Systemumgebung: gehärteten Systemumgebung Je heterogener die Umgebung • Risikoerhöhung für die Umgehung desto mehr Patching-Aufwand von aktiven Sicherheitskontrollen (Kosten/Resourcen) • Kontrollverlust • Fehlendes Buy-in: Schwierig eine mögliche Downtime - Imageverlust zu begründen - Verlust kritischer Unternehmensinformationen • Gutes Sicherheitsverständis: - Etc. Tools kennen das Risiko, können Risiko ohne Sanierung einschätzen(?) und verzögern • Anwendungs-Abhängigkeiten Nichts tun ist keine Antwort und hat zu hohe Auswirkungen auf den Kontrollverlust. ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 8
  • 8. Sehr wichtig zu wissen: Welche Patches liefert Oracle? Verschiedene Patches, Patch Releases FOKUS DATENBANK Arten von Patches • Bundle Patch: Sammlung von Patches, vor Patch Set Release • Conflicting Patch: zwei oder mehr Patches, die gleiche Files haben, aber unterschiedliche Dinge fixen • Critical Patch Update: Sammlung von wichtigen Sicherheits Fixes • Cumulative Patch: Ein Patch mit allen Fixes zu einem Modul • Diagnostic Patch: Für Diagnose Zwecke • Grace Period: Siehe Grafik (next Slide) • Interims Patch: Ein Patch für ein Problem • One-off Patch: siehe Interims Patch • Patch Set: ein integriertes Set von Fixes, getested, ausgeliefert zwischen Releases (1- 2 pro Jahr) zu einem Produkt Modul • Patch Set Update: Quartalweises Update mit kritischen Fixes CPUs beinhalten sehr selten funktionale Erweiterungen, d.h. CPUs sind in der Regel für Anwendungen transparent. ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 9
  • 9. Sehr wichtig zu wissen: Grace Period für Patch Sets Grace Periode bis ein Jahr, minimum 3 Monate bei Datenbanken FOKUS DATENBANK • 10.2.0.4 wurde am 22.2.2008 released • Bis 22.2.2009 werden Fixes für 10.2.0.4 Bessere Planung für Kunden in einem und 10.2.0.3 erstellt. erweiterten Zeitfenster zu agieren • Nach dem 22.2.2009 wird die Erstellung von Fixes für 10.2.0.3 eingestellt Siehe Support Doc ID: 742060.1 • Dann nur noch für 10.2.0.4 Zeit-Periode eines folgenden Patch Sets, in der neue Fixes für beide Sets (neu und alt) kreiert werden. Bessere Planung für unsere Kunden. Bitte beachten! ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 10
  • 10. Agenda • Herausforderung Security Patching (CPU) • Einführung in das Oracle Security Patching • Planung der Patchdurchführung • Patchdurchführung • Nächste Schritte
  • 11. Vorgehen: Empfohlendes Security Patch Management Security Patch Management Aufbau Prozess Der Weg zu einem verantwortungsvollen Security Patch-Management Wissen über Patch Deployment Patch Planung und Systeme und Unternehmens- Decision Deployment Konfigurationen toleranz für • Check Pre-Release • Existierender Schutz Initiiere P.-Vorgehen • Mapping Risiko verstehen vs. Notwendigkeit • Genehmigung einholen Prozesse und • Prod. Req. vs. Systeme • Stakeholder • Planung Aktivitäten Patch Decision • Konfiguration einbinden • CPU vs. Patchset Baselines • Systeme Identifizieren • Security Patching • Soviel Infos • Backup Systems Polices wie möglich • Patching Policy • Deploy on Test-Umg. • Welche • Patching Kosten definieren Patches sind • Auswirkungen • Testen Performance verfügbar und verstehen und System-Breaks müssten • Klare Verant- • Deploy Patch deployed wortlichkeiten werden Security Patch Management bedeutet ein dokumentiertes Vorgehen, in dem die Notwendigkeit eines Patch-Deployment abgeleitet werden kann.
  • 12. Wichtig für das Patching: Wissen über Systeme und Konfigurationen Positive Beeinflußlung des Security Patchings durch Wissen FOKUS DATENBANK Aufbau eines System-Inventory inkl. Infos über Konfigurationen in den Umgebungen. ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 13
  • 13. Wichtig für das Patching: Unternehmenstoleranz für das Risiko kennen Zusammenarbeit von technischen Experten und Fachabteilungen FOKUS DATENBANK Abwägung von technischen notwendigen Patches und Auswirkungen auf die Systeme. ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 14
  • 14. Wichtig für das Patching: Automatisiertes Alerting von CPUs Welche CPUs und Security Alerts betreffen meine Systemumgebung FOKUS DATENBANK Auch Support-Portal via Configuration Manager Collector oder Email Notification via http://www.oracle.com/technetwork/topics/security/securityemail-090378.html ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 15
  • 15. Enterprise Manager: Patch Deployment - Patch Advisors Patching-Prozess FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 16
  • 16. Enterprise Manager: Patch-Deployment - Datenbank Patch Prozedur Patching-Prozess FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 17
  • 17. Enterprise Manager: Patch Deployment planen Patching-Prozess, Planung mit Patchauswahl (CPU 2009) FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 18
  • 18. Enterprise Manager: Patch Deployment Analyse Patching-Prozess, Planung mit Patchauswahl (CPU 2009) FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 19
  • 19. Enterprise Manager: Patch Dry-Run, Analyse-Ergebnis Patching-Prozess, Patch-Probleme im Vorfeld kennen FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 20
  • 20. Enterprise Manager: Compliant DB Referenzen DB Referenzen FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 21
  • 21. Enterprise Manager: Compliant DB Referenzen - DB Provisioning DB Referenzen FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 22
  • 22. Enterprise Manager: Compliant DB Referenzen – Start Job DB Referenzen FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 23
  • 23. Enterprise Manager: Compliant DB Referenzen - Job DB Referenzen FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 24
  • 24. Enterprise Manager: Gold Image Erstellung DB Gold Image von Referenz-System FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 25
  • 25. Enterprise Manager: Gold Image Erstellung DB Gold Image von Referenz-System FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 26
  • 26. Enterprise Manager: Testing – Datenbankwiedergabe (Replays) Automatisiertes Testing nach Patch Deployment FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 27
  • 27. Wichtig für das Patching: Patching Entscheidungsbaum Zusammenspiel eingesetzter Security-Maßnahmen vs.notwendiger Patches FOKUS DATENBANK Security Komponenten minimieren Risiken. Die Notwendigkeit von Patches kann anhand von definierten Security Patching Policies und Kosten abgewogen werden (z.B. Score / Network) ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 28
  • 28. Agenda • Herausforderung Security Patching (CPU) • Einführung in das Oracle Security Patching • Planung der Patchdurchführung • Patchdurchführung • Nächste Schritte
  • 29. Wichtig für das Patching: Patching Deployment Grober Prozess eines Patch-Deployments FOKUS DATENBANK Welche Systeme Patch Test-Umgebung Deploy Patch Was hat der Testen Deploy in die Produktion Ergebnisse dokumentieren sind betroffen? Entscheidung Clone from Prod. on Test-Umgeb. Patch verändert? New Baseline Restore BACKUP BACKUP Enterprise Risk Enterprise Enterprise Enterprise Enterprise Enterprise Enterprise Manager Matrix Manager Manager Manager Manager Manager Manager Data RAT Masking Oracle Patch Management Best Practice http://www.oracle.com/us/support/assurance/leveraging-cpu-wp-164638.pdf ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 30
  • 30. Agenda • Herausforderung Security Patching (CPU) • Einführung in das Oracle Security Patching • Planung der Patchdurchführung • Patchdurchführung • Nächste Schritte