Oracle CPU patches: doen!
Geplaatst op: 20 november 2022 • Transfer Solutions • Blog

Iedere organisatie is zuinig op de gegevens waarvan zij gebruik maakt of waarvoor zij verantwoordelijk is. Door middel van de vastgelegde beveiligingsregels is toegang niet zonder meer mogelijk.

Deze beveiliging is vaak op verschillende vlakken geïmplementeerd: bepaalde locaties zijn niet voor iedereen toegankelijk, informatiesystemen worden beveiligd met minimaal een (voldoende lang!) wachtwoord en zo zijn er nog wel meer maatregelen. Al deze maatregelen moeten er voor zorgen dat de gegevens niet zonder meer kunnen worden geraadpleegd of, nog erger, ontvreemd.

Toch zien we nog vaak genoeg dat er inbraakpogingen zijn om de gegevens wel te bemachtigen: veel gegevens hebben een waarde waarvan we ons niet bewust zijn. Van creditkaartgegevens kunnen we ons een voorstelling maken, maar ook persoonsgegevens zijn waardevol voor partijen die er misbruik van willen maken.

Hoewel de meeste organisatie hun best doen om de verschillende gegevens te beveiligen, zijn er soms lekken in de gebruikte software. Leveranciers leveren hiervoor dan zogenaamde patches om deze (beveiligings-) lekken te repareren. Oracle (-database) omgevingen zijn complexe software packages die constant worden aangepast en ge-updated om performance en security te verbeteren, om bugs te verhelpen en beveilgingsfunctionaliteit toe te voegen.

Om deze updates te installeren, moet de software worden gedownload en geïnstalleerd op uw server.

De (security-) patches van Oracle worden vier keer per jaar op een vaste datum uitgebracht. Deze data zijn van te voren voor een heel jaar bekend. De patches dienen bij voorkeur in de ‘OTAP’ volgorde te worden geïnstalleerd en gevolgd te worden door een gedegen test per omgeving.  Bovendien gaat de installatie van een patch altijd gepaard met downtime voor de database(s) of andere producten. Een aanpassing van de Oracle software heeft effect op alle databases die deze software gebruiken.

Om Oracle patches te mogen downloaden en installeren is naast een licentie voor Oracle producten ook een support contract bij Oracle noodzakelijk. Zonder dit mag Transfer Solutions de betreffende patches niet installeren.

Het beleid voor het succesvol implementeren van patches houdt in dat er aan een aantal voorwaarden voldaan moet worden:

  • Uitvoeren van patch geschiedt alleen na goedkeuring van de klant
  • Voor uitvoering van de patch wordt een implementatie- en fallbackplan opgesteld.
  • Voor uitvoering van patch in een productie-omgeving wordt deze in minimaal één test-omgeving uitgevoerd.
  • Applicatiebeheer van de klant stelt een gedegen testplan op om na patching van de database de werking van de applicatie te testen op functionaliteit en performance.

Transfer Solutions is van mening dat het altijd raadzaam is de door Oracle uitgebrachte security patches te installeren op de database servers, maar dan wel als onderdeel van een security beleid waarin ook aandacht wordt geschonken aan o.a.

  • Accountbeheer en verleende autorisaties
  • Gebruikte wachtwoorden (geldigheid en “sterkte”)
  • Patching  van OS en applicatie-software

Voor het installeren van de CPU patches van Oracle maken wij voor uw omgeving op uw verzoek een stappenplan. Hierbij wordt ook rekening gehouden met zaken als doorlooptijd, beschikbaarheid en terugkeerscenario.

Natuurlijk gebeurt dit alles in overleg met u en wordt ook telkens een duidelijke update gegeven. Hiermee bent u altijd op de hoogte van de meest actuele status.

De werkzaamheden kunnen op afstand worden uitgevoerd als u klant bent van onze afdeling Remote Services. In alle andere gevallen zal één van onze consultants de werkzaamheden on-site komen uitvoeren.

Uiteraard kunnen we met u ook ader overleggen om dergelijke installaties vast onderdeel te laten uitmaken van uw beveiligingsbeleid. Met ervaring op het gebied van PCI/DSS en ISO27001 kan Transfer Solutions uw partner zijn op het gebied van beveiliging. Dat we dit in de praktijk waarmaken, blijkt uit het feit dat Transfer Solutions zelf ook ISO27001 gecertificeerd is.

Delen:

Nieuws

Meer nieuws

Blog

Meer blogitems

Training & Events

Meer training & events