SlideShare ist ein Scribd-Unternehmen logo
Oracle Security Patching Konzept
Critical Patch Updates
Carsten Mützlitz
Oracle Sales Consulting
The following is intended to outline our general
proposal for DB security patching concept. It is
intended for information purposes only, and may not
be incorporated into any contract. It is not a
commitment to deliver any material, code, or
functionality, and should not be relied upon in
making purchasing decisions.
The development, release, and timing of any
features or functionality described for Oracle’s
products remains at the sole discretion of Oracle.
Agenda




•   Herausforderung Security Patching (CPU)
•   Einführung in das Oracle Security Patching
•   Planung der Patchdurchführung
•   Patchdurchführung
•   Nächste Schritte
Software unterliegt einer stetigen Änderungen – PATCH, Fix, Packs,...
  Patches sind i.d.R. Korrekturauslieferungen um Fehler zu beseitigen
                                                                          FOKUS DATENBANK



Herausforderungen
                                 • Installation aktuelle DB-
                                   Version
   NO Security Patching!
                                 • Keine Nachrüstung von
                                   Security Patches (CPU)

                                 • I.d.R. Quarteilsweise siehe          Patching gehört
                                   Support Doc. ID 742060.1                in jede IT
   Oracle Patch Auslieferung                                             Strategie von
                                 • Aber auch ad-hoc Patches
                                                                        unternehmens-
                                 • Critical Patch Updates                  kritischen
                                   (CPU), Ad-Hoc Fixes                   Anwendungen

                                 • Forderung nach aktuellen
   Regularien                      Versionen
                                 • Minimierung Risiko
Agenda




•   Herausforderung Security Patching (CPU)
•   Einführung in das Oracle Security Patching
•   Planung der Patchdurchführung
•   Patchdurchführung
•   Nächste Schritte
Einführung in das Security Patching von Oracle
   Critical Patch Updates und Security Alerts von Oracle
                                                                                  FOKUS DATENBANK


Software Schwachstellen
• Fehler in Software können dazu missbracht
  werden, das Sicherkontrollsystem zu                              Sicherheitspatches sind:
  umgehen.                                                         • Critical Patch Updates
                                                                     – Quartalsweise
• Daher ist es wichtig, das Unternehmen
                                                                   • Security Alerts
  entsprechende Policies und Vorgehen
                                                                       - Ah-hoc Fixes
  adaptieren, um Schwachstellen zeitnah zu
  sanieren. Hierzu muss man folgendes
  wissen:
     1. Oracle formale Patching Prozesse
         verstehen: CPU und Security Alerts
     2. Zeitplanung: Quartalsweise, Termine
                                                                  What
         sind ein Jahr im Voraus definiert, Pre-                 to do?
         Release Advisory ca. 1 Woche vor
         Auslieferung                                                            Prod.-DB
     3. CPU Patches unterliegen 15 Wochen-                      How to
                                                                 fix?
         Testphase (Oracle intern)
     4. Auslieferung: Auch Hacker nutzen die
         veröffentlichen Security Alert Infos

Patch Management ist nicht mehr OPTIONAL! Das Fehlen von Industrie Best Practices führt zu
         unterschiedlichen Ausführungen (How much to do and how to do it well?).



                         ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential             7
Typische Faktoren, die ein Unternehmen im Patching beeinflussen
    Warum tun sich Unternehmen schwer Sicherheitspatches zeitnah nachzuziehen?
                                                                                  FOKUS DATENBANK




      Typische Faktoren                                    Auswirkungen des Nichts-tun
• Größe und Komplexität der                                • Verlust einer compliant oder
  Systemumgebung:                                            gehärteten Systemumgebung
  Je heterogener die Umgebung                              • Risikoerhöhung für die Umgehung
  desto mehr Patching-Aufwand                                von aktiven Sicherheitskontrollen
  (Kosten/Resourcen)
                                                           • Kontrollverlust
• Fehlendes Buy-in:
  Schwierig eine mögliche Downtime                              - Imageverlust
  zu begründen                                                  - Verlust kritischer
                                                                  Unternehmensinformationen
• Gutes Sicherheitsverständis:
                                                                - Etc.
  Tools kennen das Risiko, können
  Risiko ohne Sanierung
  einschätzen(?) und verzögern
• Anwendungs-Abhängigkeiten


       Nichts tun ist keine Antwort und hat zu hohe Auswirkungen auf den Kontrollverlust.



                       ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential               8
Sehr wichtig zu wissen: Welche Patches liefert Oracle?
   Verschiedene Patches, Patch Releases
                                                                                  FOKUS DATENBANK
Arten von Patches
• Bundle Patch: Sammlung von Patches, vor
  Patch Set Release
• Conflicting Patch: zwei oder mehr Patches,
  die gleiche Files haben, aber unterschiedliche
  Dinge fixen
• Critical Patch Update: Sammlung von
  wichtigen Sicherheits Fixes
• Cumulative Patch: Ein Patch mit allen Fixes
  zu einem Modul
• Diagnostic Patch: Für Diagnose Zwecke
• Grace Period: Siehe Grafik (next Slide)
• Interims Patch: Ein Patch für ein Problem
• One-off Patch: siehe Interims Patch
• Patch Set: ein integriertes Set von Fixes,
  getested, ausgeliefert zwischen Releases (1-
  2 pro Jahr) zu einem Produkt Modul
• Patch Set Update: Quartalweises Update mit
  kritischen Fixes

    CPUs beinhalten sehr selten funktionale Erweiterungen, d.h. CPUs sind in der Regel für
                                 Anwendungen transparent.



                         ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential            9
Sehr wichtig zu wissen: Grace Period für Patch Sets
   Grace Periode bis ein Jahr, minimum 3 Monate bei Datenbanken
                                                                                    FOKUS DATENBANK




• 10.2.0.4 wurde am 22.2.2008 released
• Bis 22.2.2009 werden Fixes für 10.2.0.4         Bessere Planung für Kunden in einem
  und 10.2.0.3 erstellt.                           erweiterten Zeitfenster zu agieren
• Nach dem 22.2.2009 wird die Erstellung
  von Fixes für 10.2.0.3 eingestellt                 Siehe Support Doc ID: 742060.1
• Dann nur noch für 10.2.0.4


 Zeit-Periode eines folgenden Patch Sets, in der neue Fixes für beide Sets (neu und alt) kreiert
                 werden. Bessere Planung für unsere Kunden. Bitte beachten!



                        ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential               10
Agenda




•   Herausforderung Security Patching (CPU)
•   Einführung in das Oracle Security Patching
•   Planung der Patchdurchführung
•   Patchdurchführung
•   Nächste Schritte
Vorgehen: Empfohlendes Security Patch Management
      Security Patch Management Aufbau Prozess


                  Der Weg zu einem verantwortungsvollen Security Patch-Management
Wissen über                                 Patch Deployment           Patch Planung und
Systeme und           Unternehmens-         Decision                   Deployment
Konfigurationen       toleranz für                                     • Check Pre-Release
                                            • Existierender Schutz       Initiiere P.-Vorgehen
• Mapping             Risiko verstehen
                                              vs. Notwendigkeit        • Genehmigung einholen
  Prozesse und
                      • Prod. Req. vs.
  Systeme                                   • Stakeholder              • Planung Aktivitäten
                        Patch Decision
• Konfiguration                               einbinden                • CPU vs. Patchset
  Baselines                                                            • Systeme Identifizieren
                                            • Security Patching
• Soviel Infos                                                         • Backup Systems
                                              Polices
  wie möglich         • Patching Policy                                • Deploy on Test-Umg.
• Welche                                    • Patching Kosten
                        definieren
  Patches sind        • Auswirkungen                                   • Testen Performance
  verfügbar und         verstehen                                        und System-Breaks
  müssten             • Klare Verant-                                  • Deploy Patch
  deployed              wortlichkeiten
  werden




 Security Patch Management bedeutet ein dokumentiertes Vorgehen, in dem die Notwendigkeit eines
                           Patch-Deployment abgeleitet werden kann.
Wichtig für das Patching: Wissen über Systeme und Konfigurationen
Positive Beeinflußlung des Security Patchings durch Wissen
                                                                            FOKUS DATENBANK




  Aufbau eines System-Inventory inkl. Infos über Konfigurationen in den Umgebungen.



                   ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential            13
Wichtig für das Patching: Unternehmenstoleranz für das Risiko kennen
Zusammenarbeit von technischen Experten und Fachabteilungen
                                                                        FOKUS DATENBANK




 Abwägung von technischen notwendigen Patches und Auswirkungen auf die Systeme.



                 ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential          14
Wichtig für das Patching: Automatisiertes Alerting von CPUs
Welche CPUs und Security Alerts betreffen meine Systemumgebung
                                                                              FOKUS DATENBANK




  Auch Support-Portal via Configuration Manager Collector oder Email Notification via
     http://www.oracle.com/technetwork/topics/security/securityemail-090378.html



                   ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential              15
Enterprise Manager: Patch Deployment - Patch Advisors
Patching-Prozess
                                                                     FOKUS DATENBANK




                   ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential     16
Enterprise Manager: Patch-Deployment - Datenbank Patch Prozedur
Patching-Prozess
                                                                     FOKUS DATENBANK




                   ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential     17
Enterprise Manager: Patch Deployment planen
Patching-Prozess, Planung mit Patchauswahl (CPU 2009)
                                                                   FOKUS DATENBANK




                 ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential     18
Enterprise Manager: Patch Deployment Analyse
Patching-Prozess, Planung mit Patchauswahl (CPU 2009)
                                                                   FOKUS DATENBANK




                 ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential     19
Enterprise Manager: Patch Dry-Run, Analyse-Ergebnis
Patching-Prozess, Patch-Probleme im Vorfeld kennen
                                                                    FOKUS DATENBANK




                  ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential     20
Enterprise Manager: Compliant DB Referenzen
DB Referenzen
                                                                  FOKUS DATENBANK




                ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential     21
Enterprise Manager: Compliant DB Referenzen - DB Provisioning
DB Referenzen
                                                                  FOKUS DATENBANK




                ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential     22
Enterprise Manager: Compliant DB Referenzen – Start Job
DB Referenzen
                                                                  FOKUS DATENBANK




                ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential     23
Enterprise Manager: Compliant DB Referenzen - Job
DB Referenzen
                                                                  FOKUS DATENBANK




                ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential     24
Enterprise Manager: Gold Image Erstellung
DB Gold Image von Referenz-System
                                                                   FOKUS DATENBANK




                 ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential     25
Enterprise Manager: Gold Image Erstellung
DB Gold Image von Referenz-System
                                                                   FOKUS DATENBANK




                 ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential     26
Enterprise Manager: Testing – Datenbankwiedergabe (Replays)
Automatisiertes Testing nach Patch Deployment
                                                                    FOKUS DATENBANK




                  ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential     27
Wichtig für das Patching: Patching Entscheidungsbaum
 Zusammenspiel eingesetzter Security-Maßnahmen vs.notwendiger Patches
                                                                              FOKUS DATENBANK




Security Komponenten minimieren Risiken. Die Notwendigkeit von Patches kann anhand von
definierten Security Patching Policies und Kosten abgewogen werden (z.B. Score / Network)



                     ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential            28
Agenda




•   Herausforderung Security Patching (CPU)
•   Einführung in das Oracle Security Patching
•   Planung der Patchdurchführung
•   Patchdurchführung
•   Nächste Schritte
Wichtig für das Patching: Patching Deployment
  Grober Prozess eines Patch-Deployments
                                                                                                                                            FOKUS DATENBANK




Welche Systeme     Patch          Test-Umgebung      Deploy Patch     Was hat der        Testen       Deploy in die Produktion   Ergebnisse dokumentieren
sind betroffen?    Entscheidung   Clone from Prod.   on Test-Umgeb.   Patch verändert?
                                                                                                       New Baseline




                                                                                                              Restore
                                         BACKUP                                                               BACKUP




   Enterprise         Risk            Enterprise       Enterprise       Enterprise       Enterprise        Enterprise                   Enterprise
   Manager            Matrix          Manager          Manager          Manager          Manager           Manager                      Manager
                                        Data                                               RAT
                                       Masking




                                   Oracle Patch Management Best Practice
                  http://www.oracle.com/us/support/assurance/leveraging-cpu-wp-164638.pdf




                                    ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential                                                                  30
Agenda




•   Herausforderung Security Patching (CPU)
•   Einführung in das Oracle Security Patching
•   Planung der Patchdurchführung
•   Patchdurchführung
•   Nächste Schritte
Oracle Secure Patching Concept

Weitere ähnliche Inhalte

Andere mochten auch

Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...
Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...
Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...
Marcus Dapp
 
Anexo 5 avales completo v2011.1
Anexo 5 avales completo v2011.1Anexo 5 avales completo v2011.1
Anexo 5 avales completo v2011.1
Liron Antirronquidos
 
Groups 2010.08: facebook Alternativen (Digital Sustainability)
Groups 2010.08: facebook Alternativen (Digital Sustainability)Groups 2010.08: facebook Alternativen (Digital Sustainability)
Groups 2010.08: facebook Alternativen (Digital Sustainability)
Marcus Dapp
 
Eco call slideshare-präsentation.endfassung
Eco call slideshare-präsentation.endfassungEco call slideshare-präsentation.endfassung
Eco call slideshare-präsentation.endfassung
Benjamin Segref
 
Gefahren von Social Media
Gefahren von Social MediaGefahren von Social Media
Gefahren von Social Media
Malte Landwehr
 
Technologieraum übergreifende Programmierung
Technologieraum übergreifende ProgrammierungTechnologieraum übergreifende Programmierung
Technologieraum übergreifende Programmierung
Falk Hartmann
 
40 Thesen Unternehmenskommunikation, 2005
40 Thesen Unternehmenskommunikation, 200540 Thesen Unternehmenskommunikation, 2005
40 Thesen Unternehmenskommunikation, 2005
Dr. Volker Klenk
 
Groups 2010.14: FOSS-Strategien - Red Hat vs. Oracle vs. SAP (Digital Sustain...
Groups 2010.14: FOSS-Strategien - Red Hat vs. Oracle vs. SAP (Digital Sustain...Groups 2010.14: FOSS-Strategien - Red Hat vs. Oracle vs. SAP (Digital Sustain...
Groups 2010.14: FOSS-Strategien - Red Hat vs. Oracle vs. SAP (Digital Sustain...
Marcus Dapp
 
Drahtwanderung: Wir machen den NeXTen Schritt
Drahtwanderung: Wir machen den NeXTen SchrittDrahtwanderung: Wir machen den NeXTen Schritt
Drahtwanderung: Wir machen den NeXTen Schritt
Falk Hartmann
 
Nistagmus
NistagmusNistagmus
Nistagmus
kebaplik
 
Drogerien im Social Web - Hagen Sexauer
Drogerien im Social Web - Hagen SexauerDrogerien im Social Web - Hagen Sexauer
Drogerien im Social Web - Hagen Sexauer
Hagen Sexauer
 
Effektiv erfolgreich durch Social Media
Effektiv erfolgreich durch Social MediaEffektiv erfolgreich durch Social Media
Effektiv erfolgreich durch Social Media
VCAT Consulting GmbH
 
Projektidee "Lehrern lehren helfen!"
Projektidee "Lehrern lehren helfen!"Projektidee "Lehrern lehren helfen!"
Projektidee "Lehrern lehren helfen!"
VCAT Consulting GmbH
 
VCAT EDULABS @ WP Camp 2013: Plugin-Entwicklung mit eigenen Tabellen, Backend...
VCAT EDULABS @ WP Camp 2013: Plugin-Entwicklung mit eigenen Tabellen, Backend...VCAT EDULABS @ WP Camp 2013: Plugin-Entwicklung mit eigenen Tabellen, Backend...
VCAT EDULABS @ WP Camp 2013: Plugin-Entwicklung mit eigenen Tabellen, Backend...
VCAT Consulting GmbH
 
Slideshare
SlideshareSlideshare
Slideshare
nathaliebb
 
„Das Internet der Dinge & Mobiles Internet" - Hagen Sexauer
„Das Internet der Dinge & Mobiles Internet" - Hagen Sexauer„Das Internet der Dinge & Mobiles Internet" - Hagen Sexauer
„Das Internet der Dinge & Mobiles Internet" - Hagen Sexauer
Hagen Sexauer
 
Margelhs1
Margelhs1Margelhs1
Margelhs1
kabbada
 

Andere mochten auch (20)

Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...
Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...
Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...
 
Anexo 5 avales completo v2011.1
Anexo 5 avales completo v2011.1Anexo 5 avales completo v2011.1
Anexo 5 avales completo v2011.1
 
Groups 2010.08: facebook Alternativen (Digital Sustainability)
Groups 2010.08: facebook Alternativen (Digital Sustainability)Groups 2010.08: facebook Alternativen (Digital Sustainability)
Groups 2010.08: facebook Alternativen (Digital Sustainability)
 
Apps und iPad
Apps und iPadApps und iPad
Apps und iPad
 
Eco call slideshare-präsentation.endfassung
Eco call slideshare-präsentation.endfassungEco call slideshare-präsentation.endfassung
Eco call slideshare-präsentation.endfassung
 
Gefahren von Social Media
Gefahren von Social MediaGefahren von Social Media
Gefahren von Social Media
 
Lanz2
Lanz2Lanz2
Lanz2
 
Technologieraum übergreifende Programmierung
Technologieraum übergreifende ProgrammierungTechnologieraum übergreifende Programmierung
Technologieraum übergreifende Programmierung
 
40 Thesen Unternehmenskommunikation, 2005
40 Thesen Unternehmenskommunikation, 200540 Thesen Unternehmenskommunikation, 2005
40 Thesen Unternehmenskommunikation, 2005
 
Groups 2010.14: FOSS-Strategien - Red Hat vs. Oracle vs. SAP (Digital Sustain...
Groups 2010.14: FOSS-Strategien - Red Hat vs. Oracle vs. SAP (Digital Sustain...Groups 2010.14: FOSS-Strategien - Red Hat vs. Oracle vs. SAP (Digital Sustain...
Groups 2010.14: FOSS-Strategien - Red Hat vs. Oracle vs. SAP (Digital Sustain...
 
SIMPLE MACHINES
SIMPLE MACHINESSIMPLE MACHINES
SIMPLE MACHINES
 
Drahtwanderung: Wir machen den NeXTen Schritt
Drahtwanderung: Wir machen den NeXTen SchrittDrahtwanderung: Wir machen den NeXTen Schritt
Drahtwanderung: Wir machen den NeXTen Schritt
 
Nistagmus
NistagmusNistagmus
Nistagmus
 
Drogerien im Social Web - Hagen Sexauer
Drogerien im Social Web - Hagen SexauerDrogerien im Social Web - Hagen Sexauer
Drogerien im Social Web - Hagen Sexauer
 
Effektiv erfolgreich durch Social Media
Effektiv erfolgreich durch Social MediaEffektiv erfolgreich durch Social Media
Effektiv erfolgreich durch Social Media
 
Projektidee "Lehrern lehren helfen!"
Projektidee "Lehrern lehren helfen!"Projektidee "Lehrern lehren helfen!"
Projektidee "Lehrern lehren helfen!"
 
VCAT EDULABS @ WP Camp 2013: Plugin-Entwicklung mit eigenen Tabellen, Backend...
VCAT EDULABS @ WP Camp 2013: Plugin-Entwicklung mit eigenen Tabellen, Backend...VCAT EDULABS @ WP Camp 2013: Plugin-Entwicklung mit eigenen Tabellen, Backend...
VCAT EDULABS @ WP Camp 2013: Plugin-Entwicklung mit eigenen Tabellen, Backend...
 
Slideshare
SlideshareSlideshare
Slideshare
 
„Das Internet der Dinge & Mobiles Internet" - Hagen Sexauer
„Das Internet der Dinge & Mobiles Internet" - Hagen Sexauer„Das Internet der Dinge & Mobiles Internet" - Hagen Sexauer
„Das Internet der Dinge & Mobiles Internet" - Hagen Sexauer
 
Margelhs1
Margelhs1Margelhs1
Margelhs1
 

Ähnlich wie Oracle Secure Patching Concept

Implementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerImplementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise Manager
Martin Obst
 
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Virtual Forge
 
Applikationsmodernisierung: Der Weg von Legacy in die Cloud
Applikationsmodernisierung: Der Weg von Legacy in die CloudApplikationsmodernisierung: Der Weg von Legacy in die Cloud
Applikationsmodernisierung: Der Weg von Legacy in die Cloud
Aarno Aukia
 
Open Source Governance - Erfahrungen
Open Source Governance - ErfahrungenOpen Source Governance - Erfahrungen
Open Source Governance - Erfahrungen
Jan Thielscher
 
Xidra 2016 DevOps
Xidra 2016 DevOpsXidra 2016 DevOps
Xidra 2016 DevOps
Eduard van den Bongard
 
Sichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMSichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMM
OPTIMAbit GmbH
 
Oracle Critical Patch Update und Patch Set Update - DOAG SIG Security 2011 - ...
Oracle Critical Patch Update und Patch Set Update - DOAG SIG Security 2011 - ...Oracle Critical Patch Update und Patch Set Update - DOAG SIG Security 2011 - ...
Oracle Critical Patch Update und Patch Set Update - DOAG SIG Security 2011 - ...
OPITZ CONSULTING Deutschland
 
Ringvorlesung ITmitte.de : Vortrag der FIO SYSTEMS AG über Unit Tests und TDD
Ringvorlesung ITmitte.de : Vortrag der FIO SYSTEMS AG über Unit Tests und TDDRingvorlesung ITmitte.de : Vortrag der FIO SYSTEMS AG über Unit Tests und TDD
Ringvorlesung ITmitte.de : Vortrag der FIO SYSTEMS AG über Unit Tests und TDD
Community ITmitte.de
 
Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2
Ulrike Schwinn
 
Oracle Database 12c Release 2
Oracle Database 12c Release 2 Oracle Database 12c Release 2
Oracle Database 12c Release 2
oraclebudb
 
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
.NET User Group Rhein-Neckar
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Carsten Muetzlitz
 
Industrie 4.0 Checkliste
Industrie 4.0 ChecklisteIndustrie 4.0 Checkliste
Industrie 4.0 Checkliste
SrenRose1
 
Continous Deployment - Schneller entwickeln
Continous Deployment - Schneller entwickelnContinous Deployment - Schneller entwickeln
Continous Deployment - Schneller entwickeln
Martin Seibert
 
BrightTag DAALA Berlin
BrightTag DAALA BerlinBrightTag DAALA Berlin
BrightTag DAALA Berlin
luna-park GmbH
 
Legacy-Software-Refactoring - Zielsetzungen für ein erfolgreiches Refactoring...
Legacy-Software-Refactoring - Zielsetzungen für ein erfolgreiches Refactoring...Legacy-Software-Refactoring - Zielsetzungen für ein erfolgreiches Refactoring...
Legacy-Software-Refactoring - Zielsetzungen für ein erfolgreiches Refactoring...
Alex Sili
 
Mehr Sicherheit durch Automatisierung
Mehr Sicherheit durch AutomatisierungMehr Sicherheit durch Automatisierung
Mehr Sicherheit durch Automatisierung
OPEN KNOWLEDGE GmbH
 
Real Application Testing - DOAG SIG Database 2010 - Simon Dickmeiß
Real Application Testing - DOAG SIG Database 2010 - Simon DickmeißReal Application Testing - DOAG SIG Database 2010 - Simon Dickmeiß
Real Application Testing - DOAG SIG Database 2010 - Simon Dickmeiß
OPITZ CONSULTING Deutschland
 
Überblick Common Criteria
Überblick Common CriteriaÜberblick Common Criteria
Überblick Common Criteria
Jens Oberender
 

Ähnlich wie Oracle Secure Patching Concept (20)

Implementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerImplementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise Manager
 
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
Case Study: Automatisierte Code Reviews in einer gewachsenen SAP-Applikations...
 
Applikationsmodernisierung: Der Weg von Legacy in die Cloud
Applikationsmodernisierung: Der Weg von Legacy in die CloudApplikationsmodernisierung: Der Weg von Legacy in die Cloud
Applikationsmodernisierung: Der Weg von Legacy in die Cloud
 
Open Source Governance - Erfahrungen
Open Source Governance - ErfahrungenOpen Source Governance - Erfahrungen
Open Source Governance - Erfahrungen
 
Xidra 2016 DevOps
Xidra 2016 DevOpsXidra 2016 DevOps
Xidra 2016 DevOps
 
Sichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMSichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMM
 
Oracle Critical Patch Update und Patch Set Update - DOAG SIG Security 2011 - ...
Oracle Critical Patch Update und Patch Set Update - DOAG SIG Security 2011 - ...Oracle Critical Patch Update und Patch Set Update - DOAG SIG Security 2011 - ...
Oracle Critical Patch Update und Patch Set Update - DOAG SIG Security 2011 - ...
 
Ringvorlesung ITmitte.de : Vortrag der FIO SYSTEMS AG über Unit Tests und TDD
Ringvorlesung ITmitte.de : Vortrag der FIO SYSTEMS AG über Unit Tests und TDDRingvorlesung ITmitte.de : Vortrag der FIO SYSTEMS AG über Unit Tests und TDD
Ringvorlesung ITmitte.de : Vortrag der FIO SYSTEMS AG über Unit Tests und TDD
 
Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2
 
Oracle Database 12c Release 2
Oracle Database 12c Release 2 Oracle Database 12c Release 2
Oracle Database 12c Release 2
 
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
30. Treffen der .NET User Group Rhein-Neckar mit Constantin Klein - „Bekommen...
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
 
Industrie 4.0 Checkliste
Industrie 4.0 ChecklisteIndustrie 4.0 Checkliste
Industrie 4.0 Checkliste
 
2011 05 11 11-45 top_sopft-startfolien-xx-01
2011 05 11 11-45 top_sopft-startfolien-xx-012011 05 11 11-45 top_sopft-startfolien-xx-01
2011 05 11 11-45 top_sopft-startfolien-xx-01
 
Continous Deployment - Schneller entwickeln
Continous Deployment - Schneller entwickelnContinous Deployment - Schneller entwickeln
Continous Deployment - Schneller entwickeln
 
BrightTag DAALA Berlin
BrightTag DAALA BerlinBrightTag DAALA Berlin
BrightTag DAALA Berlin
 
Legacy-Software-Refactoring - Zielsetzungen für ein erfolgreiches Refactoring...
Legacy-Software-Refactoring - Zielsetzungen für ein erfolgreiches Refactoring...Legacy-Software-Refactoring - Zielsetzungen für ein erfolgreiches Refactoring...
Legacy-Software-Refactoring - Zielsetzungen für ein erfolgreiches Refactoring...
 
Mehr Sicherheit durch Automatisierung
Mehr Sicherheit durch AutomatisierungMehr Sicherheit durch Automatisierung
Mehr Sicherheit durch Automatisierung
 
Real Application Testing - DOAG SIG Database 2010 - Simon Dickmeiß
Real Application Testing - DOAG SIG Database 2010 - Simon DickmeißReal Application Testing - DOAG SIG Database 2010 - Simon Dickmeiß
Real Application Testing - DOAG SIG Database 2010 - Simon Dickmeiß
 
Überblick Common Criteria
Überblick Common CriteriaÜberblick Common Criteria
Überblick Common Criteria
 

Mehr von Carsten Muetzlitz

Einführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle DeutschlandEinführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle Deutschland
Carsten Muetzlitz
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal Soszynski
Carsten Muetzlitz
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
Carsten Muetzlitz
 
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
Carsten Muetzlitz
 
Oracle Application Express enabled to use central User Management (LDAP) (in ...
Oracle Application Express enabled to use central User Management (LDAP) (in ...Oracle Application Express enabled to use central User Management (LDAP) (in ...
Oracle Application Express enabled to use central User Management (LDAP) (in ...
Carsten Muetzlitz
 
Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)
Carsten Muetzlitz
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)
Carsten Muetzlitz
 

Mehr von Carsten Muetzlitz (7)

Einführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle DeutschlandEinführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle Deutschland
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal Soszynski
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
 
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
 
Oracle Application Express enabled to use central User Management (LDAP) (in ...
Oracle Application Express enabled to use central User Management (LDAP) (in ...Oracle Application Express enabled to use central User Management (LDAP) (in ...
Oracle Application Express enabled to use central User Management (LDAP) (in ...
 
Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)
 

Oracle Secure Patching Concept

  • 1. Oracle Security Patching Konzept Critical Patch Updates Carsten Mützlitz Oracle Sales Consulting
  • 2. The following is intended to outline our general proposal for DB security patching concept. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.
  • 3. Agenda • Herausforderung Security Patching (CPU) • Einführung in das Oracle Security Patching • Planung der Patchdurchführung • Patchdurchführung • Nächste Schritte
  • 4. Software unterliegt einer stetigen Änderungen – PATCH, Fix, Packs,... Patches sind i.d.R. Korrekturauslieferungen um Fehler zu beseitigen FOKUS DATENBANK Herausforderungen • Installation aktuelle DB- Version NO Security Patching! • Keine Nachrüstung von Security Patches (CPU) • I.d.R. Quarteilsweise siehe Patching gehört Support Doc. ID 742060.1 in jede IT Oracle Patch Auslieferung Strategie von • Aber auch ad-hoc Patches unternehmens- • Critical Patch Updates kritischen (CPU), Ad-Hoc Fixes Anwendungen • Forderung nach aktuellen Regularien Versionen • Minimierung Risiko
  • 5. Agenda • Herausforderung Security Patching (CPU) • Einführung in das Oracle Security Patching • Planung der Patchdurchführung • Patchdurchführung • Nächste Schritte
  • 6. Einführung in das Security Patching von Oracle Critical Patch Updates und Security Alerts von Oracle FOKUS DATENBANK Software Schwachstellen • Fehler in Software können dazu missbracht werden, das Sicherkontrollsystem zu Sicherheitspatches sind: umgehen. • Critical Patch Updates – Quartalsweise • Daher ist es wichtig, das Unternehmen • Security Alerts entsprechende Policies und Vorgehen - Ah-hoc Fixes adaptieren, um Schwachstellen zeitnah zu sanieren. Hierzu muss man folgendes wissen: 1. Oracle formale Patching Prozesse verstehen: CPU und Security Alerts 2. Zeitplanung: Quartalsweise, Termine What sind ein Jahr im Voraus definiert, Pre- to do? Release Advisory ca. 1 Woche vor Auslieferung Prod.-DB 3. CPU Patches unterliegen 15 Wochen- How to fix? Testphase (Oracle intern) 4. Auslieferung: Auch Hacker nutzen die veröffentlichen Security Alert Infos Patch Management ist nicht mehr OPTIONAL! Das Fehlen von Industrie Best Practices führt zu unterschiedlichen Ausführungen (How much to do and how to do it well?). ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 7
  • 7. Typische Faktoren, die ein Unternehmen im Patching beeinflussen Warum tun sich Unternehmen schwer Sicherheitspatches zeitnah nachzuziehen? FOKUS DATENBANK Typische Faktoren Auswirkungen des Nichts-tun • Größe und Komplexität der • Verlust einer compliant oder Systemumgebung: gehärteten Systemumgebung Je heterogener die Umgebung • Risikoerhöhung für die Umgehung desto mehr Patching-Aufwand von aktiven Sicherheitskontrollen (Kosten/Resourcen) • Kontrollverlust • Fehlendes Buy-in: Schwierig eine mögliche Downtime - Imageverlust zu begründen - Verlust kritischer Unternehmensinformationen • Gutes Sicherheitsverständis: - Etc. Tools kennen das Risiko, können Risiko ohne Sanierung einschätzen(?) und verzögern • Anwendungs-Abhängigkeiten Nichts tun ist keine Antwort und hat zu hohe Auswirkungen auf den Kontrollverlust. ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 8
  • 8. Sehr wichtig zu wissen: Welche Patches liefert Oracle? Verschiedene Patches, Patch Releases FOKUS DATENBANK Arten von Patches • Bundle Patch: Sammlung von Patches, vor Patch Set Release • Conflicting Patch: zwei oder mehr Patches, die gleiche Files haben, aber unterschiedliche Dinge fixen • Critical Patch Update: Sammlung von wichtigen Sicherheits Fixes • Cumulative Patch: Ein Patch mit allen Fixes zu einem Modul • Diagnostic Patch: Für Diagnose Zwecke • Grace Period: Siehe Grafik (next Slide) • Interims Patch: Ein Patch für ein Problem • One-off Patch: siehe Interims Patch • Patch Set: ein integriertes Set von Fixes, getested, ausgeliefert zwischen Releases (1- 2 pro Jahr) zu einem Produkt Modul • Patch Set Update: Quartalweises Update mit kritischen Fixes CPUs beinhalten sehr selten funktionale Erweiterungen, d.h. CPUs sind in der Regel für Anwendungen transparent. ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 9
  • 9. Sehr wichtig zu wissen: Grace Period für Patch Sets Grace Periode bis ein Jahr, minimum 3 Monate bei Datenbanken FOKUS DATENBANK • 10.2.0.4 wurde am 22.2.2008 released • Bis 22.2.2009 werden Fixes für 10.2.0.4 Bessere Planung für Kunden in einem und 10.2.0.3 erstellt. erweiterten Zeitfenster zu agieren • Nach dem 22.2.2009 wird die Erstellung von Fixes für 10.2.0.3 eingestellt Siehe Support Doc ID: 742060.1 • Dann nur noch für 10.2.0.4 Zeit-Periode eines folgenden Patch Sets, in der neue Fixes für beide Sets (neu und alt) kreiert werden. Bessere Planung für unsere Kunden. Bitte beachten! ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 10
  • 10. Agenda • Herausforderung Security Patching (CPU) • Einführung in das Oracle Security Patching • Planung der Patchdurchführung • Patchdurchführung • Nächste Schritte
  • 11. Vorgehen: Empfohlendes Security Patch Management Security Patch Management Aufbau Prozess Der Weg zu einem verantwortungsvollen Security Patch-Management Wissen über Patch Deployment Patch Planung und Systeme und Unternehmens- Decision Deployment Konfigurationen toleranz für • Check Pre-Release • Existierender Schutz Initiiere P.-Vorgehen • Mapping Risiko verstehen vs. Notwendigkeit • Genehmigung einholen Prozesse und • Prod. Req. vs. Systeme • Stakeholder • Planung Aktivitäten Patch Decision • Konfiguration einbinden • CPU vs. Patchset Baselines • Systeme Identifizieren • Security Patching • Soviel Infos • Backup Systems Polices wie möglich • Patching Policy • Deploy on Test-Umg. • Welche • Patching Kosten definieren Patches sind • Auswirkungen • Testen Performance verfügbar und verstehen und System-Breaks müssten • Klare Verant- • Deploy Patch deployed wortlichkeiten werden Security Patch Management bedeutet ein dokumentiertes Vorgehen, in dem die Notwendigkeit eines Patch-Deployment abgeleitet werden kann.
  • 12. Wichtig für das Patching: Wissen über Systeme und Konfigurationen Positive Beeinflußlung des Security Patchings durch Wissen FOKUS DATENBANK Aufbau eines System-Inventory inkl. Infos über Konfigurationen in den Umgebungen. ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 13
  • 13. Wichtig für das Patching: Unternehmenstoleranz für das Risiko kennen Zusammenarbeit von technischen Experten und Fachabteilungen FOKUS DATENBANK Abwägung von technischen notwendigen Patches und Auswirkungen auf die Systeme. ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 14
  • 14. Wichtig für das Patching: Automatisiertes Alerting von CPUs Welche CPUs und Security Alerts betreffen meine Systemumgebung FOKUS DATENBANK Auch Support-Portal via Configuration Manager Collector oder Email Notification via http://www.oracle.com/technetwork/topics/security/securityemail-090378.html ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 15
  • 15. Enterprise Manager: Patch Deployment - Patch Advisors Patching-Prozess FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 16
  • 16. Enterprise Manager: Patch-Deployment - Datenbank Patch Prozedur Patching-Prozess FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 17
  • 17. Enterprise Manager: Patch Deployment planen Patching-Prozess, Planung mit Patchauswahl (CPU 2009) FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 18
  • 18. Enterprise Manager: Patch Deployment Analyse Patching-Prozess, Planung mit Patchauswahl (CPU 2009) FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 19
  • 19. Enterprise Manager: Patch Dry-Run, Analyse-Ergebnis Patching-Prozess, Patch-Probleme im Vorfeld kennen FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 20
  • 20. Enterprise Manager: Compliant DB Referenzen DB Referenzen FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 21
  • 21. Enterprise Manager: Compliant DB Referenzen - DB Provisioning DB Referenzen FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 22
  • 22. Enterprise Manager: Compliant DB Referenzen – Start Job DB Referenzen FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 23
  • 23. Enterprise Manager: Compliant DB Referenzen - Job DB Referenzen FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 24
  • 24. Enterprise Manager: Gold Image Erstellung DB Gold Image von Referenz-System FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 25
  • 25. Enterprise Manager: Gold Image Erstellung DB Gold Image von Referenz-System FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 26
  • 26. Enterprise Manager: Testing – Datenbankwiedergabe (Replays) Automatisiertes Testing nach Patch Deployment FOKUS DATENBANK ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 27
  • 27. Wichtig für das Patching: Patching Entscheidungsbaum Zusammenspiel eingesetzter Security-Maßnahmen vs.notwendiger Patches FOKUS DATENBANK Security Komponenten minimieren Risiken. Die Notwendigkeit von Patches kann anhand von definierten Security Patching Policies und Kosten abgewogen werden (z.B. Score / Network) ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 28
  • 28. Agenda • Herausforderung Security Patching (CPU) • Einführung in das Oracle Security Patching • Planung der Patchdurchführung • Patchdurchführung • Nächste Schritte
  • 29. Wichtig für das Patching: Patching Deployment Grober Prozess eines Patch-Deployments FOKUS DATENBANK Welche Systeme Patch Test-Umgebung Deploy Patch Was hat der Testen Deploy in die Produktion Ergebnisse dokumentieren sind betroffen? Entscheidung Clone from Prod. on Test-Umgeb. Patch verändert? New Baseline Restore BACKUP BACKUP Enterprise Risk Enterprise Enterprise Enterprise Enterprise Enterprise Enterprise Manager Matrix Manager Manager Manager Manager Manager Manager Data RAT Masking Oracle Patch Management Best Practice http://www.oracle.com/us/support/assurance/leveraging-cpu-wp-164638.pdf ORACLE_SEC_FÜR_MLP_FINAL.PPTOracle Confidential 30
  • 30. Agenda • Herausforderung Security Patching (CPU) • Einführung in das Oracle Security Patching • Planung der Patchdurchführung • Patchdurchführung • Nächste Schritte