Oracle Unbreakable ja tietoturvapäivitysten haasteet
Ollessani Oraclen tietokantojen tuotepäällikkönä ennen siirtymistäni Microsoftille, osallistuin näkyvästi Oracle Unbreakable -konseptin lanseeraukseen Suomessa. Muistan mm. kuinka Oraclen Larry Ellison julkisti nk. "miljoonan dollarin haasteen" - eli Oracle maksaisi miljoona dollaria taholle, joka pystyy murtautumaan Oraclen webbisaitteihin. En enää muista tarkkaan, miten tarina jatkui ja maksettiinko kenellekään tätä summaa, mutta jälkiviisaana voidaan varmaan todeta että ei se Oracle nyt niin "Unbreakable" ole kuin aiemmin suureen ääneen väitti (minä silloin muiden joukossa...) :)
Oracle on hiljattain julkaissut 45 haavoittuvuutta korjaavan Critical Patch Updaten (http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2008.html), joka korjaa koko joukon Oraclen sovellusalustateknologioiden komponentteja lähtien Oraclen tietokannoista sovelluspalvelimeen, hallintavälineisiin sekä E-Business Suiteen. Oraclen politiikka on julkaista näitä tietoturvapäivityksiä neljännesvuosittain Metalink-palvelun kautta, jonka käyttö edellyttää voimassaolevaa tukisopimusta. Luonnollisesti kaikilla liiketoimintakriittisiä Oracle-pohjaisia järjestelmiä käyttävillä asiakkailla tukisopimus on ja he saavat tietoturvapäivitykset ladattua. Kokonaan toinen kysymys onkin se, millä aikataululla näitä tietoturvapäivityksiä voidaan liiketoimintakriittisiin ympäristöihin asentaa. Oraclen korjauspäivitysten asentaminen kun tyypillisesti on varsin monimutkainen operaatio eikä siinä riitä pelkästään se, että tietoturvapäivityksen asennusskripti korvaa asennustiedostot uudemmilla. Esim. tietokantaan tehtävien korjauspäivitysten ajaminen vaatii aina myös Oraclen Data Dictionaryyn tehtäviä muutoksia, PL/SQL-proseduurien päivittämistä yms. Päivitys on sen verran hurjannäköistä hommaa, että sen testaaminen ja suorittaminen kokeneeltakin Oracle DBA:lta vaatii kielen pitämistä keskellä suuta. Tästä syystä Suomessakin hyvin monissa organisaatioissa nämä korjauspäivitykset jäävät asentamatta ajallaan. Olisi itseasiassa erittäin mielenkiintoista nähdä suomalainen tutkimus asiasta.
Nyt tietenkin tätä blogia lukevat Oracle DBA:t ja entiset Oracle-kollegat älähtävät, mutta näissä korjauspäivitysasioissa Oracle ja Microsoft ovat kyllä kuin yö ja päivä. Ensinnäkään Microsoftin SQL Serveristä ei viime vuosien aikana ole juurikaan löytynyt kriittisiä tietoturva-aukkoja. Vasta ihan hiljattain muutama viikko sitten tällaisia löytyi ja Microsoftin SQL Server -tuotekehitys julkaisi nopeasti niihin korjauspäivityksen, joka oli vapaasti saatavilla sekä tuotelataussivustolta että Microsoft Updaten kautta. Myös näiden päivitysten asennus on hyvin helppoa eikä todellakaan vaadi ylläpitäjältä kovinkaan suuria insinöörintaitoja. Käytettäessä SQL Server 2005:n tietokantapeilausta, voidaan tällaiset korjauspäivitykset asentaa tuotantoympäristöön niin että varsinaiselle tietokantapalvelulle ei tästä aiheudu mainittavaa käyttökatkoa. Ja viimeisenä pointtina: Mikäli kriittisiä bugeja ja tietoturva-aukkoja löytyy, Microsoft julkaisee niihin päivityksen heti kun hotfixit ovat käyneet läpi normaalin QA-prosessin.
Tuosta tulikin muuten mieleeni vielä sellainen asia, että olen muutamalle asiakkaalle pitänyt workshoppeja, missä Oraclen termein käydään läpi SQL Server 2005:n instanssin arkkitehtuuri ja hallintaan sekä valvontaan liittyvät komponentit jne. Tämän workshopin tarkoituksena on madaltaa kynnystä siirtyä Oraclesta SQL Serveriin. Allekirjoittaneelta saa asiasta lisätietoja.
