SIG Security 3. März 2011 Datenbank Sicherheit Standards, Prozesse, Werkzeuge

Dr. Günter Unbescheid Database Consult GmbH

Database Consult GmbH ‐ Jachenau 2

Datenbank-S

icherheit

1.1 ‐ 03/2011

Database Consult GmbH•

Gegründet 1996

•

Kompetenzen rund um ORACLE

•

Tätigkeitsbereiche–

Systemanalysen, Tuning, Installation, Konfiguration

–

Security‐

und Identity Management

–

Expertisen/Gutachten

–

Support, Troubleshooting, DBA‐Aufgaben 

–

Datenmodellierung und –design

–

Programmierung: SQL, PL/SQL, Java, JSP, ADF, BC4J

–

Workshops (in house)

Database Consult GmbH ‐ Jachenau 3

Datenbank-S

icherheit

1.1 ‐ 03/2011

Database Consult GmbH•

Kundenprojekte

im Bereich Security (letzte 3 Jahre):

•

Security Konzept Datenbank–

Personifizierte DBA‐Accounts, Auditing, Single‐Sign‐On

•

Single‐Sign‐On für Webapplikationen–

Zusammenführung diverser User‐Datenquellen per Oracle 

Virtual Directory–

Authentifizierung per Oracle Access Manager 

•

Personifizierte und zentrale DB‐Benutzerverwaltung–

Nutzung von Kerberos und Enterprise‐Usern (OID, 

OVD,AD)–

Globale Rollen und Enterprise Rollen

Database Consult GmbH ‐ Jachenau 4

Datenbank-S

icherheit

1.1 ‐ 03/2011

Themen

•

Einführende Gedanken zum Thema ...

•

Fakten zur Bedrohungslage

•

Sicherheit als Projekt

•

Regeln, Standards, Werkzeuge

Database Consult GmbH ‐ Jachenau 5

Datenbank-S

icherheit

1.1 ‐ 03/2011

Gedanken zum ThemaEinführende

5

Database Consult GmbH ‐ Jachenau 6

Datenbank-S

icherheit

1.1 ‐ 03/2011

Authentication

Authorisation

Auditing

Roles

System PrivsObject Privs

Enterprise Users

Enterprise Roles

Shared Schema

TDE

FGA

Proxy Authentication

Single Sign On

VPD

Global Roles

Application Context

Labels

Wallets

SSL

Network Data Encryption

Databsase Vault

Audit Vault

RLS

Secure Files

MAC

DAC

Bäume statt Wald?

certificates

CRL

password policies

Database Consult GmbH ‐ Jachenau 7

Datenbank-S

icherheit

1.1 ‐ 03/2011

Oracle Dokumentation zum Thema

7

Manual Seiten Inhalt

Oracle Database 2 Day + Security Guide 124 Klicken im OEM

Oracle Database Security Guide 436 Standard Features, VPD, …

Oracle Database Advanced Security 

Administrator‘s Guide300 Advanced Security Option

Oracle Database Enterpirse User Security 

Administrator‘s Guide182 Enterprise User Security

Oracle Database Label Security 

Administrator‘s Guide294 Label Security

Oracle Database Vault Administrator‘s 

Guide360 Database Vault

Diverse Manuals zu Audit Vault

1696

Seiten ohne Audit Vault!

Database Consult GmbH ‐ Jachenau 8

Datenbank-S

icherheit

1.1 ‐ 03/2011

Cryptography is a branch of mathematics, ...(it) is perfect.

Security, ... involves people, ... (it) is a process, not a product(Bruce Schneier, Secrets & Lies)

Annäherung ...

Database Consult GmbH ‐ Jachenau 9

Datenbank-S

icherheit

1.1 ‐ 03/2011

TechnikerManager

Neue Fehlerquellen

Höhere KomplexitätPerformance ??

SecurityNeue TechnologienInteressante 

Fortbildungen

Nur Kosten ?! Auch Nutzen ?! 

Neue Funktionalität??Längere 

Projektlaufzeiten

Database Consult GmbH ‐ Jachenau 10

Datenbank-S

icherheit

1.1 ‐ 03/2011

Annäherung ...

Die Frage ist nicht, ob wir uns Sicherheit leisten  können, sondern die durch Ausfälle und 

Kompromittierungen entstehenden Schäden.

Sicherheit ist mehr als Datenverschlüsselung  und das Einspielen von Patches

Database Consult GmbH ‐ Jachenau 11

Datenbank-S

icherheit

1.1 ‐ 03/2011

Thematisches Umfeld

Database Consult GmbH ‐ Jachenau 12

Datenbank-S

icherheit

1.1 ‐ 03/2011

3 Säulen

•

Vertraulichkeit –

ist die Eigenschaft einer Nachricht, nur für 

einen beschränkten Empfängerkreis  vorgesehen zu sein.

•

Verfügbarkeit–

ist die „Uptime“

pro Zeiteinheit (in Prozent), 

sofern die Antwortzeit  eine bestimmte  Kenngröße nicht überschreitet.

•

Integrität–

ist die vollständige sowie unveränderte 

Übermittlung von Daten an den Empfänger 

Database Consult GmbH ‐ Jachenau 13

Datenbank-S

icherheit

1.1 ‐ 03/2011

Fakten zur BedrohungslagePublizierte

13

Database Consult GmbH ‐ Jachenau 14

Datenbank-S

icherheit

1.1 ‐ 03/2011

Trends und Risiken

•

DB‐Trends–

mehr Systeme

–

mehr Daten

–

neue Datenklassen

•

DBA‐Trends–

weniger Administratoren

–

externe Dienstleister

•

Security‐Anforderungen–

Schutzbedarf per 

Risikoanalyse

–

Konzentration auf exponierte  Systeme

Datensensibilität

DatenflussZugriffs‐kontexte

Schutzbedarf

Database Consult GmbH ‐ Jachenau 15

Datenbank-S

icherheit

1.1 ‐ 03/2011

Bekanntmachungen

•

Privacy Rights Clearinghouse–

Chronologie der Verstösse, allgemeine Informationen

–

http://www.privacyrights.org/data‐breach

•

(2010) DATA BREACH INVESTIGATIONS REPORT–

Verizon in Zusammenarbeit mit United States Secret 

Service (USSS)

–

Gemeinsamkeiten/Gruppierungen/Statistiken

–

www.verizonbusiness.com/resources/reports

•

Data Breach Blog (SC Magazine), u.v.m.

Database Consult GmbH ‐ Jachenau 16

Datenbank-S

icherheit

1.1 ‐ 03/2011

Verizon Report

Database Consult GmbH ‐ Jachenau 17

Datenbank-S

icherheit

1.1 ‐ 03/2011

Verizon Empfehlungen

•

Restrict and monitor privileged users–

Gefahr durch Insider, Logging hoch privilegierter Ben.

•

Watch for “minor”

policy violations

•

Implement measures to thwart stolen credentials–

effektive und „starke“

Authentifizierungen

•

Monitor and filter egress network traffic–

auswärts gewandter Netzverkehr

Database Consult GmbH ‐ Jachenau 18

Datenbank-S

icherheit

1.1 ‐ 03/2011

Verizon Empfehlungen

•

Change your approach to event monitoring and log  analysis

–

schnell und effizient

•

Share incident information–

Kette: Implementierung ‐> Entscheidung ‐> Kenntnis ‐> 

Informationen 

Database Consult GmbH ‐ Jachenau 19

Datenbank-S

icherheit

1.1 ‐ 03/2011

Sicherheit als Projekt

19

Database Consult GmbH ‐ Jachenau 20

Datenbank-S

icherheit

1.1 ‐ 03/2011

Motivation

•

Warum überhaupt?–

Vermeidung von Datenverlust/‐diebstahl (data breach)

–

Einhaltung regulativer Vorgaben (compliance)

•

Pros–

Vermögenswerte schützen

–

Vermeidung von Folgekosten und Imageverlust

•

Cons–

Lizenzkosten, Planungs‐

und Entwicklungskosten (TCO 

statt ROI !)

–

Storage‐

und CPU‐Auswirkungen

Database Consult GmbH ‐ Jachenau 21

Datenbank-S

icherheit

1.1 ‐ 03/2011

Massnahmen

•

Präventiv–

Schutzbedarf ermitteln

–

Security Konzept erstellen  und umsetzen

–

Compliance regelmässig  prüfen

•

Detektiv–

Auditing und Monitoring

•

Reaktiv–

prompt und situationsgerecht

Klientel Datenfluss

Daten‐charakteristik

Risiko

Database Consult GmbH ‐ Jachenau 22

Datenbank-S

icherheit

1.1 ‐ 03/2011

Security Projekte

•

Konzepte + Technik + Prozesse–

„separation of duties“

–

ganzheitlich

–

von Anfang an integraler  Bestandteil

•

ROI schwer ermittelbar

•

In jedem Fall Teamarbeit–

Entwicklung

–

(DB‐)Administration

–

Monitoring/Operations

–

Geschäftsleitung

Konzeption

Technik Prozesse

Database Consult GmbH ‐ Jachenau 23

Datenbank-S

icherheit

1.1 ‐ 03/2011

Security Projekte

•

Welche Daten und  Datenströme gibt es?

•

Welche Bedrohungen  existieren?

•

Wie hoch sind die Risiken?–

Gewichtung

•

Welche Gesetze/Regeln?–

intern / extern

•

Welche Maßnahmen sollen  ergriffen werden?

–

Balance Offenheit –

Schutz

Database Consult GmbH ‐ Jachenau 24

Datenbank-S

icherheit

1.1 ‐ 03/2011

Prinzipien

Separationof Duties

Least Privilegeneed-to know

Authenticated –

Users –

Identified

Reconstructionof Events

Accountability

Security steht und fällt mit identifizierbaren Benutzern

Database Consult GmbH ‐ Jachenau 25

Datenbank-S

icherheit

1.1 ‐ 03/2011

Security Universum

Database Consult GmbH ‐ Jachenau 26

Datenbank-S

icherheit

1.1 ‐ 03/2011

Security Universum

Database Consult GmbH ‐ Jachenau 27

Datenbank-S

icherheit

1.1 ‐ 03/2011

Security Universum

Database Consult GmbH ‐ Jachenau 28

Datenbank-S

icherheit

1.1 ‐ 03/2011

Security Universum

Database Consult GmbH ‐ Jachenau 29

Datenbank-S

icherheit

1.1 ‐ 03/2011

Security Universum

Database Consult GmbH ‐ Jachenau 30

Datenbank-S

icherheit

1.1 ‐ 03/2011

Security Universum

Database Consult GmbH ‐ Jachenau 31

Datenbank-S

icherheit

1.1 ‐ 03/2011

Massnahmen

Database Consult GmbH ‐ Jachenau 32

Datenbank-S

icherheit

1.1 ‐ 03/2011

Regeln, Standards, Werkzeuge

32

Database Consult GmbH ‐ Jachenau 33

Datenbank-S

icherheit

1.1 ‐ 03/2011

Regulatorien

•

Interne Vorgaben

•

Gesetze – externe Vorgaben–

Branchen, nationale Regeln, gebunden an Firmengrösse  

–

u.a. Sarbanes Oxley, PCI DSS

•

Nicht immer mit präzisen technishen (DB‐)Vorgaben

•

Best Practise Kompendien erleichtern Umsetzung–

Database Security Technical Implementation Guide (STIG) 

von Defense Informtion Systems Agency (DISA) für DoD  (allgemein und Oracle‐spezifisch)

–

Center For Internet Security –

Benchmark for Oracle 

Database Consult GmbH ‐ Jachenau 34

Datenbank-S

icherheit

1.1 ‐ 03/2011

Hardening

•

sichere Konfiguration eines Systems–

Minimierung von Risiken

•

sichere Codebasis–

Patching

•

Große Zahl von Einzelmaßnahmen

•

Ausarbeitung einer "Hardening Guideline"

•

Setzen einer "Configuration Baseline"

Database Consult GmbH ‐ Jachenau 35

Datenbank-S

icherheit

1.1 ‐ 03/2011

STIG‐Publikationen

•

Ausschnitt:

•

Oracle 11 Database Security Checklist Version 8  Release 1.8

•

Generic Database STIG, Version 8, Release 1

•

Generic Database Security Checklist, Version 8,  Release 1.6

•

http://iase.disa.mil/stigs/index.html

Database Consult GmbH ‐ Jachenau 36

Datenbank-S

icherheit

1.1 ‐ 03/2011

STIG – Ausschnitt

Database Consult GmbH ‐ Jachenau 37

Datenbank-S

icherheit

1.1 ‐ 03/2011

STIG – Ausschnitt

Checks/Fixes können auch detaillierte SQL‐Anweisungen enthalten

Database Consult GmbH ‐ Jachenau 38

Datenbank-S

icherheit

1.1 ‐ 03/2011

CIS Oracle Benchmarks

Database Consult GmbH ‐ Jachenau 39

Datenbank-S

icherheit

1.1 ‐ 03/2011

Secure By Default

•

Option beim Anlegen einer DB mit DBCA in 11gR1

•

Mit DBCA automatisch in 11gR2

•

Beim manuellen Anlegen einer DB fehlt:–

audit_trail = DB (Standard: NONE)

–

Diverse Standard Audit‐Optionen

•

Skript $ORACLE_HOME/rdbms/admin/secconf.sql

•

Weitere Features: Benutzer per Default gesperrt,  besserer Passwort‐Hash, …

39

Database Consult GmbH ‐ Jachenau 40

Datenbank-S

icherheit

1.1 ‐ 03/2011

Project Lockdown

•

Artikel in Oracle Technology Network von Arup  Nanda

•

Vorgehensweise für Härtung

von Datenbanken in  verschiedenen Phasen

•

http://www.oracle.com/technetwork/articles/index‐ 087388.html

40

Database Consult GmbH ‐ Jachenau 41

Datenbank-S

icherheit

1.1 ‐ 03/2011

Patches•

Patches–

beheben Fehler und/oder Sicherheitslücken

–

werden einzeln (one‐off) oder in Patch Sets verteilt 

•

Funktionale Patches –

problemlos akzeptiert durch „Leidensdruck“

•

Sicherheitspatches–

problematisch, weil keine „spürbare“

Fehlfunktionen

–

„unnötiges“

Herunterfahren von abhängigen  Softwarekomponenten

–

quartalsweise publiziert

Database Consult GmbH ‐ Jachenau 42

Datenbank-S

icherheit

1.1 ‐ 03/2011

Sicherheitspatches

•

publiziert als Patchset

dienstags am oder nach dem  15. der Monate Januar, April, Juli, Oktober

•

als „Critical Patch Update“

(CPU)–

nur sicherheitsrelevante Fixes, kumulativ

•

oder „Patch Set Update“

(PSU)–

sicherheitsrelevante und

wichtige funktionale Fixes

–

Performance‐neutral, kumulativ, erhöht Release Nummer

•

Eindeutige Strategie gefordert–

nach dem Wechsel auf PSU kein zurück auf CPU 

Database Consult GmbH ‐ Jachenau 43

Datenbank-S

icherheit

1.1 ‐ 03/2011

Automatisierte Prüfungen

•

Vulnerability Assessment Tools/Scanners (VAT)–

darunter auch Oracle‐taugliche

http://www.databasesecurity.com/oracle‐vatools.htm

–

u.a. AppDetective, AppSentry, Guardium, NGSSQuirrel

–

prüfen Software, Misconfiguration, Misuse

–

Aussen‐

und Innenprüfungen, Diff‐Reports

–

produzieren Security Report mit Empfehlungen und  „Lockdown Script“

•

Anlegen von „Baselines“

durch Change Tracking  Tools – Digests auf Prüfelementen über VAT

Database Consult GmbH ‐ Jachenau 44

Datenbank-S

icherheit

1.1 ‐ 03/2011

NGSSQuirrel

Database Consult GmbH ‐ Jachenau 45

Datenbank-S

icherheit

1.1 ‐ 03/2011

Auf den Punkt gebracht

•

Verstehen der eigenen Datencharakteristik und  Kategorisierung der eigenen Systeme

•

Verstehen der Bedrohungszenarien und ihrer  Relevanz für die eigenen Gesamtsysteme

•

Sichtung allgemein anerkannter Standards zur  Konfiguration und Kontrolle

•

Konzeption eigener Security Policies auf dieser Basis

•

Referenzinstallation und –konfiguration

•

Automatisierte Prüfungen zur Kontrolle

Database Consult GmbH ‐ Jachenau 46

Datenbank-S

icherheit

1.1 ‐ 03/2011

Danke für‘s Zuhören www.database‐consult.de