3. märz 2011 datenbank sicherheit - database consult gmbh · · 2011-03-04personifizierte und...
TRANSCRIPT
![Page 1: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/1.jpg)
SIG Security 3. März 2011 Datenbank Sicherheit Standards, Prozesse, Werkzeuge
Dr. Günter Unbescheid Database Consult GmbH
![Page 2: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/2.jpg)
Database Consult GmbH ‐ Jachenau 2
Datenbank-S
icherheit
1.1 ‐ 03/2011
Database Consult GmbH•
Gegründet 1996
•
Kompetenzen rund um ORACLE
•
Tätigkeitsbereiche–
Systemanalysen, Tuning, Installation, Konfiguration
–
Security‐
und Identity Management
–
Expertisen/Gutachten
–
Support, Troubleshooting, DBA‐Aufgaben
–
Datenmodellierung und –design
–
Programmierung: SQL, PL/SQL, Java, JSP, ADF, BC4J
–
Workshops (in house)
![Page 3: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/3.jpg)
Database Consult GmbH ‐ Jachenau 3
Datenbank-S
icherheit
1.1 ‐ 03/2011
Database Consult GmbH•
Kundenprojekte
im Bereich Security (letzte 3 Jahre):
•
Security Konzept Datenbank–
Personifizierte DBA‐Accounts, Auditing, Single‐Sign‐On
•
Single‐Sign‐On für Webapplikationen–
Zusammenführung diverser User‐Datenquellen per Oracle
Virtual Directory–
Authentifizierung per Oracle Access Manager
•
Personifizierte und zentrale DB‐Benutzerverwaltung–
Nutzung von Kerberos und Enterprise‐Usern (OID,
OVD,AD)–
Globale Rollen und Enterprise Rollen
![Page 4: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/4.jpg)
Database Consult GmbH ‐ Jachenau 4
Datenbank-S
icherheit
1.1 ‐ 03/2011
Themen
•
Einführende Gedanken zum Thema ...
•
Fakten zur Bedrohungslage
•
Sicherheit als Projekt
•
Regeln, Standards, Werkzeuge
![Page 5: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/5.jpg)
Database Consult GmbH ‐ Jachenau 5
Datenbank-S
icherheit
1.1 ‐ 03/2011
Gedanken zum ThemaEinführende
5
![Page 6: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/6.jpg)
Database Consult GmbH ‐ Jachenau 6
Datenbank-S
icherheit
1.1 ‐ 03/2011
Authentication
Authorisation
Auditing
Roles
System PrivsObject Privs
Enterprise Users
Enterprise Roles
Shared Schema
TDE
FGA
Proxy Authentication
Single Sign On
VPD
Global Roles
Application Context
Labels
Wallets
SSL
Network Data Encryption
Databsase Vault
Audit Vault
RLS
Secure Files
MAC
DAC
Bäume statt Wald?
certificates
CRL
password policies
![Page 7: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/7.jpg)
Database Consult GmbH ‐ Jachenau 7
Datenbank-S
icherheit
1.1 ‐ 03/2011
Oracle Dokumentation zum Thema
7
Manual Seiten Inhalt
Oracle Database 2 Day + Security Guide 124 Klicken im OEM
Oracle Database Security Guide 436 Standard Features, VPD, …
Oracle Database Advanced Security
Administrator‘s Guide300 Advanced Security Option
Oracle Database Enterpirse User Security
Administrator‘s Guide182 Enterprise User Security
Oracle Database Label Security
Administrator‘s Guide294 Label Security
Oracle Database Vault Administrator‘s
Guide360 Database Vault
Diverse Manuals zu Audit Vault
1696
Seiten ohne Audit Vault!
![Page 8: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/8.jpg)
Database Consult GmbH ‐ Jachenau 8
Datenbank-S
icherheit
1.1 ‐ 03/2011
Cryptography is a branch of mathematics, ...(it) is perfect.
Security, ... involves people, ... (it) is a process, not a product(Bruce Schneier, Secrets & Lies)
Annäherung ...
![Page 9: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/9.jpg)
Database Consult GmbH ‐ Jachenau 9
Datenbank-S
icherheit
1.1 ‐ 03/2011
TechnikerManager
Neue Fehlerquellen
Höhere KomplexitätPerformance ??
SecurityNeue TechnologienInteressante
Fortbildungen
Nur Kosten ?! Auch Nutzen ?!
Neue Funktionalität??Längere
Projektlaufzeiten
![Page 10: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/10.jpg)
Database Consult GmbH ‐ Jachenau 10
Datenbank-S
icherheit
1.1 ‐ 03/2011
Annäherung ...
Die Frage ist nicht, ob wir uns Sicherheit leisten können, sondern die durch Ausfälle und
Kompromittierungen entstehenden Schäden.
Sicherheit ist mehr als Datenverschlüsselung und das Einspielen von Patches
![Page 11: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/11.jpg)
Database Consult GmbH ‐ Jachenau 11
Datenbank-S
icherheit
1.1 ‐ 03/2011
Thematisches Umfeld
![Page 12: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/12.jpg)
Database Consult GmbH ‐ Jachenau 12
Datenbank-S
icherheit
1.1 ‐ 03/2011
3 Säulen
•
Vertraulichkeit –
ist die Eigenschaft einer Nachricht, nur für
einen beschränkten Empfängerkreis vorgesehen zu sein.
•
Verfügbarkeit–
ist die „Uptime“
pro Zeiteinheit (in Prozent),
sofern die Antwortzeit eine bestimmte Kenngröße nicht überschreitet.
•
Integrität–
ist die vollständige sowie unveränderte
Übermittlung von Daten an den Empfänger
![Page 13: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/13.jpg)
Database Consult GmbH ‐ Jachenau 13
Datenbank-S
icherheit
1.1 ‐ 03/2011
Fakten zur BedrohungslagePublizierte
13
![Page 14: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/14.jpg)
Database Consult GmbH ‐ Jachenau 14
Datenbank-S
icherheit
1.1 ‐ 03/2011
Trends und Risiken
•
DB‐Trends–
mehr Systeme
–
mehr Daten
–
neue Datenklassen
•
DBA‐Trends–
weniger Administratoren
–
externe Dienstleister
•
Security‐Anforderungen–
Schutzbedarf per
Risikoanalyse
–
Konzentration auf exponierte Systeme
Datensensibilität
DatenflussZugriffs‐kontexte
Schutzbedarf
![Page 15: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/15.jpg)
Database Consult GmbH ‐ Jachenau 15
Datenbank-S
icherheit
1.1 ‐ 03/2011
Bekanntmachungen
•
Privacy Rights Clearinghouse–
Chronologie der Verstösse, allgemeine Informationen
–
http://www.privacyrights.org/data‐breach
•
(2010) DATA BREACH INVESTIGATIONS REPORT–
Verizon in Zusammenarbeit mit United States Secret
Service (USSS)
–
Gemeinsamkeiten/Gruppierungen/Statistiken
–
www.verizonbusiness.com/resources/reports
•
Data Breach Blog (SC Magazine), u.v.m.
![Page 16: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/16.jpg)
Database Consult GmbH ‐ Jachenau 16
Datenbank-S
icherheit
1.1 ‐ 03/2011
Verizon Report
![Page 17: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/17.jpg)
Database Consult GmbH ‐ Jachenau 17
Datenbank-S
icherheit
1.1 ‐ 03/2011
Verizon Empfehlungen
•
Restrict and monitor privileged users–
Gefahr durch Insider, Logging hoch privilegierter Ben.
•
Watch for “minor”
policy violations
•
Implement measures to thwart stolen credentials–
effektive und „starke“
Authentifizierungen
•
Monitor and filter egress network traffic–
auswärts gewandter Netzverkehr
![Page 18: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/18.jpg)
Database Consult GmbH ‐ Jachenau 18
Datenbank-S
icherheit
1.1 ‐ 03/2011
Verizon Empfehlungen
•
Change your approach to event monitoring and log analysis
–
schnell und effizient
•
Share incident information–
Kette: Implementierung ‐> Entscheidung ‐> Kenntnis ‐>
Informationen
![Page 19: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/19.jpg)
Database Consult GmbH ‐ Jachenau 19
Datenbank-S
icherheit
1.1 ‐ 03/2011
Sicherheit als Projekt
19
![Page 20: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/20.jpg)
Database Consult GmbH ‐ Jachenau 20
Datenbank-S
icherheit
1.1 ‐ 03/2011
Motivation
•
Warum überhaupt?–
Vermeidung von Datenverlust/‐diebstahl (data breach)
–
Einhaltung regulativer Vorgaben (compliance)
•
Pros–
Vermögenswerte schützen
–
Vermeidung von Folgekosten und Imageverlust
•
Cons–
Lizenzkosten, Planungs‐
und Entwicklungskosten (TCO
statt ROI !)
–
Storage‐
und CPU‐Auswirkungen
![Page 21: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/21.jpg)
Database Consult GmbH ‐ Jachenau 21
Datenbank-S
icherheit
1.1 ‐ 03/2011
Massnahmen
•
Präventiv–
Schutzbedarf ermitteln
–
Security Konzept erstellen und umsetzen
–
Compliance regelmässig prüfen
•
Detektiv–
Auditing und Monitoring
•
Reaktiv–
prompt und situationsgerecht
Klientel Datenfluss
Daten‐charakteristik
Risiko
![Page 22: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/22.jpg)
Database Consult GmbH ‐ Jachenau 22
Datenbank-S
icherheit
1.1 ‐ 03/2011
Security Projekte
•
Konzepte + Technik + Prozesse–
„separation of duties“
–
ganzheitlich
–
von Anfang an integraler Bestandteil
•
ROI schwer ermittelbar
•
In jedem Fall Teamarbeit–
Entwicklung
–
(DB‐)Administration
–
Monitoring/Operations
–
Geschäftsleitung
Konzeption
Technik Prozesse
![Page 23: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/23.jpg)
Database Consult GmbH ‐ Jachenau 23
Datenbank-S
icherheit
1.1 ‐ 03/2011
Security Projekte
•
Welche Daten und Datenströme gibt es?
•
Welche Bedrohungen existieren?
•
Wie hoch sind die Risiken?–
Gewichtung
•
Welche Gesetze/Regeln?–
intern / extern
•
Welche Maßnahmen sollen ergriffen werden?
–
Balance Offenheit –
Schutz
![Page 24: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/24.jpg)
Database Consult GmbH ‐ Jachenau 24
Datenbank-S
icherheit
1.1 ‐ 03/2011
Prinzipien
Separationof Duties
Least Privilegeneed-to know
Authenticated –
Users –
Identified
Reconstructionof Events
Accountability
Security steht und fällt mit identifizierbaren Benutzern
![Page 25: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/25.jpg)
Database Consult GmbH ‐ Jachenau 25
Datenbank-S
icherheit
1.1 ‐ 03/2011
Security Universum
![Page 26: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/26.jpg)
Database Consult GmbH ‐ Jachenau 26
Datenbank-S
icherheit
1.1 ‐ 03/2011
Security Universum
![Page 27: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/27.jpg)
Database Consult GmbH ‐ Jachenau 27
Datenbank-S
icherheit
1.1 ‐ 03/2011
Security Universum
![Page 28: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/28.jpg)
Database Consult GmbH ‐ Jachenau 28
Datenbank-S
icherheit
1.1 ‐ 03/2011
Security Universum
![Page 29: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/29.jpg)
Database Consult GmbH ‐ Jachenau 29
Datenbank-S
icherheit
1.1 ‐ 03/2011
Security Universum
![Page 30: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/30.jpg)
Database Consult GmbH ‐ Jachenau 30
Datenbank-S
icherheit
1.1 ‐ 03/2011
Security Universum
![Page 31: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/31.jpg)
Database Consult GmbH ‐ Jachenau 31
Datenbank-S
icherheit
1.1 ‐ 03/2011
Massnahmen
![Page 32: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/32.jpg)
Database Consult GmbH ‐ Jachenau 32
Datenbank-S
icherheit
1.1 ‐ 03/2011
Regeln, Standards, Werkzeuge
32
![Page 33: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/33.jpg)
Database Consult GmbH ‐ Jachenau 33
Datenbank-S
icherheit
1.1 ‐ 03/2011
Regulatorien
•
Interne Vorgaben
•
Gesetze – externe Vorgaben–
Branchen, nationale Regeln, gebunden an Firmengrösse
–
u.a. Sarbanes Oxley, PCI DSS
•
Nicht immer mit präzisen technishen (DB‐)Vorgaben
•
Best Practise Kompendien erleichtern Umsetzung–
Database Security Technical Implementation Guide (STIG)
von Defense Informtion Systems Agency (DISA) für DoD (allgemein und Oracle‐spezifisch)
–
Center For Internet Security –
Benchmark for Oracle
![Page 34: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/34.jpg)
Database Consult GmbH ‐ Jachenau 34
Datenbank-S
icherheit
1.1 ‐ 03/2011
Hardening
•
sichere Konfiguration eines Systems–
Minimierung von Risiken
•
sichere Codebasis–
Patching
•
Große Zahl von Einzelmaßnahmen
•
Ausarbeitung einer "Hardening Guideline"
•
Setzen einer "Configuration Baseline"
![Page 35: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/35.jpg)
Database Consult GmbH ‐ Jachenau 35
Datenbank-S
icherheit
1.1 ‐ 03/2011
STIG‐Publikationen
•
Ausschnitt:
•
Oracle 11 Database Security Checklist Version 8 Release 1.8
•
Generic Database STIG, Version 8, Release 1
•
Generic Database Security Checklist, Version 8, Release 1.6
•
http://iase.disa.mil/stigs/index.html
![Page 36: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/36.jpg)
Database Consult GmbH ‐ Jachenau 36
Datenbank-S
icherheit
1.1 ‐ 03/2011
STIG – Ausschnitt
![Page 37: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/37.jpg)
Database Consult GmbH ‐ Jachenau 37
Datenbank-S
icherheit
1.1 ‐ 03/2011
STIG – Ausschnitt
Checks/Fixes können auch detaillierte SQL‐Anweisungen enthalten
![Page 38: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/38.jpg)
Database Consult GmbH ‐ Jachenau 38
Datenbank-S
icherheit
1.1 ‐ 03/2011
CIS Oracle Benchmarks
![Page 39: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/39.jpg)
Database Consult GmbH ‐ Jachenau 39
Datenbank-S
icherheit
1.1 ‐ 03/2011
Secure By Default
•
Option beim Anlegen einer DB mit DBCA in 11gR1
•
Mit DBCA automatisch in 11gR2
•
Beim manuellen Anlegen einer DB fehlt:–
audit_trail = DB (Standard: NONE)
–
Diverse Standard Audit‐Optionen
•
Skript $ORACLE_HOME/rdbms/admin/secconf.sql
•
Weitere Features: Benutzer per Default gesperrt, besserer Passwort‐Hash, …
39
![Page 40: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/40.jpg)
Database Consult GmbH ‐ Jachenau 40
Datenbank-S
icherheit
1.1 ‐ 03/2011
Project Lockdown
•
Artikel in Oracle Technology Network von Arup Nanda
•
Vorgehensweise für Härtung
von Datenbanken in verschiedenen Phasen
•
http://www.oracle.com/technetwork/articles/index‐ 087388.html
40
![Page 41: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/41.jpg)
Database Consult GmbH ‐ Jachenau 41
Datenbank-S
icherheit
1.1 ‐ 03/2011
Patches•
Patches–
beheben Fehler und/oder Sicherheitslücken
–
werden einzeln (one‐off) oder in Patch Sets verteilt
•
Funktionale Patches –
problemlos akzeptiert durch „Leidensdruck“
•
Sicherheitspatches–
problematisch, weil keine „spürbare“
Fehlfunktionen
–
„unnötiges“
Herunterfahren von abhängigen Softwarekomponenten
–
quartalsweise publiziert
![Page 42: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/42.jpg)
Database Consult GmbH ‐ Jachenau 42
Datenbank-S
icherheit
1.1 ‐ 03/2011
Sicherheitspatches
•
publiziert als Patchset
dienstags am oder nach dem 15. der Monate Januar, April, Juli, Oktober
•
als „Critical Patch Update“
(CPU)–
nur sicherheitsrelevante Fixes, kumulativ
•
oder „Patch Set Update“
(PSU)–
sicherheitsrelevante und
wichtige funktionale Fixes
–
Performance‐neutral, kumulativ, erhöht Release Nummer
•
Eindeutige Strategie gefordert–
nach dem Wechsel auf PSU kein zurück auf CPU
![Page 43: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/43.jpg)
Database Consult GmbH ‐ Jachenau 43
Datenbank-S
icherheit
1.1 ‐ 03/2011
Automatisierte Prüfungen
•
Vulnerability Assessment Tools/Scanners (VAT)–
darunter auch Oracle‐taugliche
http://www.databasesecurity.com/oracle‐vatools.htm
–
u.a. AppDetective, AppSentry, Guardium, NGSSQuirrel
–
prüfen Software, Misconfiguration, Misuse
–
Aussen‐
und Innenprüfungen, Diff‐Reports
–
produzieren Security Report mit Empfehlungen und „Lockdown Script“
•
Anlegen von „Baselines“
durch Change Tracking Tools – Digests auf Prüfelementen über VAT
![Page 44: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/44.jpg)
Database Consult GmbH ‐ Jachenau 44
Datenbank-S
icherheit
1.1 ‐ 03/2011
NGSSQuirrel
![Page 45: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/45.jpg)
Database Consult GmbH ‐ Jachenau 45
Datenbank-S
icherheit
1.1 ‐ 03/2011
Auf den Punkt gebracht
•
Verstehen der eigenen Datencharakteristik und Kategorisierung der eigenen Systeme
•
Verstehen der Bedrohungszenarien und ihrer Relevanz für die eigenen Gesamtsysteme
•
Sichtung allgemein anerkannter Standards zur Konfiguration und Kontrolle
•
Konzeption eigener Security Policies auf dieser Basis
•
Referenzinstallation und –konfiguration
•
Automatisierte Prüfungen zur Kontrolle
![Page 46: 3. März 2011 Datenbank Sicherheit - Database Consult GmbH · · 2011-03-04Personifizierte und zentrale DB‐Benutzerverwaltung ... Database Consult GmbH ‐Jachenau 7 Datenbank-Sicherheit](https://reader031.vdocument.in/reader031/viewer/2022021512/5af6b4887f8b9ae9488f20b9/html5/thumbnails/46.jpg)
Database Consult GmbH ‐ Jachenau 46
Datenbank-S
icherheit
1.1 ‐ 03/2011
Danke für‘s Zuhören www.database‐consult.de