Nieuwe securityverbeteringen moeten Oracle Cloud Infrastructure (OCI) nog beter bestand maken tegen aanvallen. Dit zonder dat het voor eindgebruikers ingewikkelder wordt dan het al is.

Als je weleens een verhaal vanuit Oracle over OCI hebt gehoord, dan draait dat voor een belangrijk deel om de nadruk die het bedrijf legt op security. De Autonomous Database in OCI is hier wellicht het beste voorbeeld van. Deze database is zo ontworpen dat mensen er zo weinig mogelijk beheer aan hoeven doen. Hij doet zaken zoals provisioning, maar ook het herstellen van eventuele fouten, volledig zelfstandig. Het idee hierachter is dat er dan geen misconfiguraties kunnen plaatsvinden doordat mensen zich ermee moeten bemoeien.

Oracle legt echter ook behoorlijk wat nadruk op de inherente security die OCI biedt. Volgens het bedrijf is de Gen2-variant van OCI fundamenteel beter beveiligd dan het aanbod van andere public cloud-aanbieders. Of dat ook daadwerkelijk zo is als je het vergelijkt met de meest recente versies van die concurrenten, is iets waar we een heel boek over zouden kunnen schrijven. Dat is niet ons doel hier. Het is echter zonder meer waar dat Oracle heel veel nadruk legt op het security-aspect van hun cloudaanbod.

Nog meer security in OCI

Vandaag kondigt Oracle meerdere security-updates aan voor OCI, die aangeven dat die nadruk er nog altijd is en ook zal blijven. We werden hierover bijgepraat door Mahesh Thiagarajan, SVP Security & Developer Services voor Oracle Cloud Infrastructure. Volgens hem zie je ook in deze aankondigingen weer terug dat Oracle zoveel mogelijk uit de handen van klanten wil nemen op het gebied van security. De nieuwe diensten zijn ‘prescriptief’, zoals hij het noemt. Hiermee wil hij zeggen dat het er allemaal out-of-the-box inzit.

Het idee van prescriptieve security is dat je er als klant vanuit kunt gaan dat het allemaal goed is ingericht. Dat betekent dat je niet per se hoeft te weten hoe cloudsecuritydiensten werken. Je hoeft ze ook niet te configureren en te onderhouden. Dit maakt OCI op het gebied van security volgens Thiagarajan heel eenvoudig in gebruik. Dat is belangrijk, omdat bijna 100 procent van de cloud security problemen een gevolg is van een fout aan de klantzijde. Door hier – net zoals bij de Autonomous Database – de menselijke componenten zoveel mogelijk uit te halen, reduceer je het aantal kwetsbaarheden, is de gedachte.

OCI Network Firewall

Oracle kondigt vandaag niet minder dan vijf nieuwe security-updates aan voor OCI. De voornaamste is wat ons betreft de OCI Network Firewall. Dit is een cloud-native firewall-dienst die draait op Palo Alto Networks firewalls uit de VM-serie van gevirtualiseerde firewalls. Hiermee voeg je dus alle karakteristieken van die serie toe aan OCI. Denk hierbij aan URL-filtering, IDS en IDP, TLS-inspectie voor inkomend, uitgaand en lateraal verkeer dat naar workloads gaat die op OCI draaien. Met deze toevoeging krijgen de applicaties in OCI alsmede de cloudomgeving als geheel dus een extra laag security. OCI Network Firewall is een zogeheten turn-key service. Je kunt er dus meteen mee aan de slag, zonder dat je extra configuraties en beheer hebt.

Oracle Threat Intelligence Service en Cloud Guard Threat Detector

Naast preventie speelt ook in de cloud detectie een belangrijke rol in het securityverhaal. Ook op dat punt zien we enkele updates. Oracle Threat Intelligence Service is hier een goed voorbeeld van. Deze dienst is feitelijk een aggregator voor threat intelligence vanuit verschillende bronnen. Met de informatie die deze dienst levert, kun je sneller bedreigingen detecteren en er dus ook sneller iets tegen doen. Je kunt dit doen in Oracle Cloud Guard, meer ook in andere OCI-diensten. Qua bronnen noemt Thiagarajan expliciet CrowdStrike. Oracle gebruikt echter ook eigen bronnen en open-source bronnen.

We noemden Oracle Cloud Guard hierboven al even. Ook dat krijgt een update met Oracle Cloud Guard Threat Detector. Deze dienst detecteert verkeerd geconfigureerde resources en verdachte activiteiten binnen de omgeving van een klant. Admins krijgen hiermee inzicht en kunnen sneller handelen. Cloud Guard Threat Detector heeft verder ook honderden zogeheten recepten. Die zitten standaard bij deze dienst. Je kunt hiermee je security tot op zekere hoogte automatiseren en breidt er in feite je SOC mee uit.

Oracle Security Zones krijgt meer mogelijkheden

Met Oracle Security Zones is het al geruime tijd mogelijk voor organisaties om zeer strikte security toe te passen op hun volledige OCI-omgeving. Vanuit klanten kreeg Oracle echter te horen dat het ook wel prettig zou zijn als er nog enige flexibiliteit zou zijn. Dat voegt Oracle vandaag toe. Klanten kunnen nu zelf policies toevoegen aan de Security Zones. Daarnaast integreert Oracle deze nu ook met Cloud Guard, zodat de beveiliging van de cloudomgeving ook goed in de gaten gehouden kan worden. Let wel, het gaat bij Security Zones niet zozeer om het beperken van wat medewerkers wel en niet mogen, daar is IAM voor. Security Zone policies richten zich op resources en bepalen welke configuraties wel en niet mogen.

Ook aandacht voor Fusion Apps

De laatste security-update voor OCI heeft wederom betrekking op Oracle Cloud Guard. Dat was voorheen bedoeld om de zogeheten security posture in OCI te beheren. Met Oracle Cloud Guard Fusion Applications Detector voegt Oracle hier nu ook haar Fusion Applicatons aan toe. Daarmee krijgen klanten dus op een plek inzicht in beide onderdelen, dus zowel IaaS als SaaS. De nieuwe functionaliteit biedt voorgeconfigureerde recepten, die klanten ook nog naar eigen wensen kunnen aanpassen om de applicaties te kunnen monitoren. In eerste instantie komt dit beschikbaar voor Fusion HCM en Fusion ERP, maar de andere Fusion Applications, zoals Fusion Cloud Procurement, zullen ongetwijfeld volgen.

Al met al dus weer de nodige updates voor OCI (en de Fusion Applications die erop draaien) op het gebied van security. Enkele maanden geleden al waren er al updates voor OCI netwerk, storage en compute. Zo is het OCI-update plaatje weer zo goed als rond voor dit jaar. Iets waar we niet zo heel veel over hebben gehoord de laatste tijd, is wat Oracle doet voor ontwikkelaars die applicaties bouwen op OCI. Gevraagd naar hoe het zit met updates op dit vlak, hult Thiagarajan zich enigszins in nevelen. Hij sluit niet uit dat we daar in de nabije toekomst meer over gaan horen. Wordt vervolgd dus.