Chad Hughes, Principal Program Manager in Oracles Global Product Security Group, erklärt Oracle’s Approach to Configuration Hardening, und geht auch darauf ein, weshalb Oracles Empfehlungen und Default Einstellungen zum Teil deutlich von denen des Center for Internet Security, dem sogenannten Oracle Database Security Benchmark, abweichen.
In summary, Oracle’s security recommendations are different than the core CIS recommendations because Oracle tries to strike the most effective balance between the application of an “ideal” security theory (which may be prohibitively expensive) and real customer cost/benefit requirements and practices. Our customers expect that our default configuration is tested, supported, and will not break various typical deployments of Oracle and third party applications.
Ich erwarte von Herstellern, dass sie ein Secure-by-Default Modell fahren, und alle Parameter bewusst auf unsicherere Werte gestellt werden müssen, resp. Optionen bewusst installiert werden müssen. Im Idealfall gibt mir der Hersteller schon bei der Installation und auch später die Möglichkeit, auf Knopfdruck zwischen einzelnen Security-Konfigurationen hin- und herwechseln zu können. Mal sehen, was Oracle für die Datenbank 11g auf Lager hat.
Leave a Reply