Download - Oracle Security Übersicht
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Security Inside OutOracle 12c - Daten schützen und compliant sein
Heinz-Wilhelm FabrySenior Leitender SystemberaterBusiness Unit DatabaseJanuar 2015
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Safe Harbor Statement
The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
80% der IT Security Programme gehen an der Datenbank vorbei
Was macht Datenbanken so verwundbar?
Netzwerk Security
SIEM
Endpoint Security
Web Application Firewall
Email Security
Authentifizierung & Benutzer Security
Datenbank Sicherheit
"Die amerikanischen
Unternehmen merken es,
wenn sie angegriffen werden -
die deutschen nicht."
Computerwoche März 2012
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Höchste Sicherheit durch Schutz auf allen Ebenen
Aktivitäten überwachen
Auditieren und Berichten
DETEKTION
Redigieren und Maskieren
Verschlüsseln
PRÄVENTION ADMINISTRATION
Sensible Daten finden
Privilegien analysieren
Privilegierte Benutzer
kontrollierenDatabase Firewall Konfigurationen verwalten
4
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Höchste Sicherheit durch Schutz auf allen Ebenen
Aktivitäten überwachen
Auditieren und Berichten
DETEKTION
Redigieren und Maskieren
Verschlüsseln
PRÄVENTION ADMINISTRATION
Sensible Daten finden
Privilegien analysieren
Privilegierte Benutzer
kontrollierenDatabase Firewall Konfigurationen verwalten
5
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Verschlüsseln ist die Basis
• Anwendungen / Trigger rufen das API auf
• Kein automatisches Schlüsselmanagement
• Package stellt Prozeduren und Funktionen zur Verfügung
– Zum Verschlüsseln und Entschlüsseln
– Zum Arbeiten mit Prüfsummen
In allen Editionen prozedural mit DBMS_CRYPTO
CREATE OR REPLACE FUNCTION crypt (eingabe IN VARCHAR2) RETURN RAW ISv_rohdaten RAW(200); v_schluessel RAW(32);v_verschluesselung PLS_INTEGER := DBMS_CRYPTO.ENCRYPT_AES256 +
DBMS_CRYPTO.CHAIN_CBC + DBMS_CRYPTO.PAD_ZERO;
BEGIN
...
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
• Schützt Daten auf Speichermedien
• Erfordert keine Änderungen von vorhandenen Anwendungen
• Enthält das Schlüssel Management
• Systembelastung vernachlässigbar
• Integriert in die Oracle Technologien
– Exadata, Advanced Compression, ASM, Golden Gate, DataPump, RMAN ...
Verschlüsseln ist die Basis
Speichermedien
Backups
Exports
Dezentrale
Aufbewahrung
Anwendungen
Nur Enterprise Edition (EE): Oracle Advanced Security - Transparent Data Encryption (TDE)
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Transparent Data Encryption (TDE)
• Neue, eigene Syntax zur Verwaltung von Wallet und HSM
– Voraussetzung ADMINISTER KEY MANAGEMENT Privileg oder SYSKM
– Schlüssel können importiert, exportiert, zusammengeführt (merge) und automatisch gesichert werden
• Neue Views zur besseren Kontrolle von Wallets und Schlüsseln
– V$ENCRYPTION_WALLET, V$ENCRYPTION_KEYS und andere
ADMINISTER KEY MANAGEMENT CREATE KEYSTORE
'$ORACLE_HOME/network/admin' IDENTIFIED BY einpasswort;
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Oracle Key Vault
• HSM mit Anwendungsschwerpunkt TDE
• Ausserdem Wallet Repository für
–Wallets / Keystores der Oracle Datenbank
–Wallets / Keystores der Oracle Middleware
– Java Keystores (JKS)
– Java Cryptography Extension Keystores (JCEKS)
– SSH Key Files
– Kerberos Keytabs
Die perfekte Ergänzung für TDE
9
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Höchste Sicherheit durch Schutz auf allen Ebenen
Aktivitäten überwachen
Auditieren und Berichten
DETEKTION
Redigieren und Maskieren
Verschlüsseln
PRÄVENTION ADMINISTRATION
Sensible Daten finden
Privilegien analysieren
Privilegierte Benutzer
kontrollierenDatabase Firewall Konfigurationen verwalten
10
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Was ist Data Redaction?
• Unkenntlich Machen von DATENAUSGABEN in Echtzeit
– Zu steuern über Bedingungen
• Bibliothek mit gängigen Mustern ist im Lieferumfang enthalten
• Transparent für Anwendungen, Datenbankadministratoren und Benutzer
Oracle Advanced Security Option (ASO) in RDBMS 12.1 & 11.2.0.4
Kreditkarten4451-2172-9841-43685106-8395-2095-59387830-0032-0294-1827
Redaction Policy
xxxx-xxxx-xxxx-4368 4451-2172-9841-4368
Call Center Mitarbeiter Rechnungsabteilung
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Was geht?
• FULL
– Auf Datenbankebene definierbarer Default
• PARTIAL
– Festzulegender Teil (von - bis) des Eintrags wird geändert
• RANDOM
• REGEXP
Package DBMS_REDACT
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Was sollte man sonst noch wissen?
• Anwendbar sowohl auf Views als auch auf Tabellen
– Nur Werte aus der SELECT Liste werden unkenntlich gemacht
• Nicht alle Datentypen werden vollständig unterstützt
– Zum Beispiel Teile von BLOBs, CLOBs nicht unkenntlich zu machen
• Objekte von SYS und SYSTEM können nicht unkenntlich gemacht werden
• SYS und SYSTEM sehen IMMER den Originalwert– EXEMPT REDACTION POLICY
– EXEMPT REDACTION POLICY aus EXP FULL DATABASE
• Ausführungspläne geben keinen Hinweis auf das unkenntlich Machen
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Data Redaction in EM Cloud Control 12c und SQL*Developer
Graphische Unterstützung schon heute
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Daten für Entwicklung und Test maskieren
• Sensible Daten durch typgerechte harmlose Daten ersetzen
• Referentielle Integrität wird erhalten
• Bibliothek mit editierbaren Vorlagen und Formaten ist im Lieferumfang enthalten
• Vorlagen für Anwendungen verfügbar
• Unterstützt auch das Maskieren in Nicht-Oracle Datenbanken
Oracle Enterprise Manager Cloud Control Data Masking and Subsetting Pack
NAME SOZIALVERSNR GEHALT
Wilson 323—23-1111 60.000
Zuckerberg 252-34-1345 40.000
NAME SOZIALVERSNR GEHALT
AGUILAR 203-33-3234 40.000
BENSON 323-22-2943 60.000
Production
Entwicklung, Test
Produktion
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Höchste Sicherheit durch Schutz auf allen Ebenen
Aktivitäten überwachen
Auditieren und Berichten
DETEKTION
Redigieren und Maskieren
Verschlüsseln
PRÄVENTION ADMINISTRATION
Sensible Daten finden
Privilegien analysieren
Privilegierte Benutzer
kontrollierenDatabase Firewall Konfigurationen verwalten
16
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Funktionen trennen, Aufgaben verteilen, least privilege
• Oracle Data Guard Administration mit Data Guard Broker oder DGMGRL• SYSDG Benutzer und Privileg
• Backup mit RMAN oder SQL*Plus• SYSBACKUP Benutzer und Privileg
• Wallet Administration im Kontext von ASO (TDE)• SYSKM Benutzer und Privileg
• Die Benutzer SYSDG, SYSBACKUP und SYSKM können nicht mit DROP USER gelöscht werden
Wichtige Verwaltungstätigkeiten ohne SYSDBA
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Festlegung im Rahmen der Software Installation
Wichtige Verwaltungstätigkeiten ohne SYSDBA
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Kontrolle privilegierter Benutzer
• Database Vault (DV)
– Zugriff von DBAs auf Benutzerdaten einschränken
– Realms schützen ganze Bereiche
– Ausführung von SQL Befehlen über Umgebungsvariablen zu steuern
– Fertige Regelwerke für gängige Anwendungen verfügbar
Compliance, least privilege, Trennen von Funktionen und Aufgaben
Procurement
HR
Finance
SELECT * FROM finance.customers
Anwendungs-DBA
Anwendung
Security-DBA
DBA
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Database Vault (DV)
• Im neuen Release in jeder Installation enthalten
– Nachträgliche Konfiguration mit DBCA oder auf der Kommandozeile
– Ein- und ausschaltbar, sofern die Privilegien IN DER DATENBANK dazu vorliegen
• Unterschiedliche Datenbanken aus einem ORACLE_HOME können mit oder ohne DV (unterschiedlich) konfiguriert werden
• Installation immer ohne Database Vault Administrator (dva)– Verwaltung über EM Cloud Control oder Kommandozeile
Installation, Ein- und Auschalten
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Oracle Label Security (OLS)
Zugriffe über Labels steuern
Zugriff auf einen Datensatz nur, wenn
das Label des Datensatzes und das
Label des Benutzers 'kompatibel' sind
Labels + Privilegien
Session Datensätze Label
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Enterprise Edition - Virtual Private Database
• Ergänzt SQL-GRANTs auf Tabellenebene
• Mit einer Tabelle oder einem View wird eine sogenannte POLICY verbunden
– POLICY = Zeichenkette, die durch eine Funktion erstellt wird• Zeichenkette wird als zusätzliche WHERE-Bedingung automatisch an jeden Befehl angehängt
– Benutzer sehen nur die Daten, die sie laut Policy sehen dürfen
WHERE abtnr = 10
WHERE angnr = 1234
SELECT * FROM mitarbeiter;
Manager
Verkäufer
Policyidentische Abfrage +
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Höchste Sicherheit durch Schutz auf allen Ebenen
Aktivitäten überwachen
Auditieren und Berichten
DETEKTION
Redigieren und Maskieren
Verschlüsseln
PRÄVENTION ADMINISTRATION
Sensible Daten finden
Privilegien analysieren
Privilegierte Benutzer
kontrollierenDatabase Firewall Konfigurationen verwalten
23
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Auditing
• Default und SYS Auditing
– -> Betriebssystem
• Standard Auditing (Systemprivilegien, Befehle, Objekte)
– -> SYS.AUD$ oder Betriebssystem in proprietärem Format oder XML
• Fine Grained Auditing (Auditieren in Abhängigkeit von Bedingungen)– -> SYS.FGA_LOG$ oder Betriebssystem in proprietärem Format oder XML
• Database Vault Auditing
– -> DVSYS.AUDIT_TRAIL$
Oracle Database 11g Release 2
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Das neue Auditing
• Unified Audit Trail
– Policies steuern das Auditing, nicht Initialisierungsparameter
• AUDSYS ist Eigentümer des Audit Trail
– Nur eine Tabelle im Tablespace SYSAUX
• Zugriff auf den Audit Trail nur für Rollen AUDADMIN und AUDVIEWER– Gilt auch für eigene Objekte
• Unterstützt RMAN, Data Pump und Direct Path Loader
• Bessere Performance
unified auditing
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Einrichten
• Aktivierung nicht über Initialierungsparameter, sondern über den Programmcode des RDBMS
– Nach der Installation des Programmcodes oder Upgrade standardmässig sind sowohl traditionelles als auch unified Auditing aktiviert
– Umschalten auf ausschliesslich unified auditing• Datenbank und Listener stoppen
• Aktiviert oder nicht aktiviert?
SELECT value FROM v$option
WHERE parameter = 'Unified Auditing';
cd $ORACLE_HOME/rdbms/lib
make -f ins_rdbms.mk uniaud_on ioracle
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Konfigurieren - Policy anlegen
• Vergleichbar mit dem Einrichten des FGA (Policies)
CREATE AUDIT POLICY zumbeispiel
PRIVILEGES SELECT ANY TABLE
ACTIONS CREATE USER, ALTER USER,
SELECT ON SCOTT.EMP
ROLES RESOURCE
WHEN 'SYS_CONTEXT(''USERENV'', ''MODULE'') <>
(''PERSVERW'')'
EVALUATE PER STATEMENT
CONTAINER = CURRENT; -- nur in einer cdb
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Komponenten auditieren
• Komponenten sind
– Data Pump
– Database Vault
– Data Mining
– Label Security
– Real Application Security
– SQL Loader direct loads
• Auditing des RMAN wird über den RMAN selbst gesteuert
CREATE AUDIT POLICYzumbeispiel
ACTIONS COMPONENT = DATAPUMP ALL -- IMPORT oder EXPORT
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Höchste Sicherheit durch Schutz auf allen Ebenen
Aktivitäten überwachen
Auditieren und Berichten
DETEKTION
Redigieren und Maskieren
Verschlüsseln
PRÄVENTION ADMINISTRATION
Sensible Daten finden
Privilegien analysieren
Privilegierte Benutzer
kontrollierenDatabase Firewall Konfigurationen verwalten
29
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Oracle Audit Vault and Database Firewall
• Konsolidiertes Auditing über Oracle und nicht Oracle Datenbanken sowie weitere IT Komponenten
– SDK zum Erstellen eigener Agenten für beliebige andere IT Komponenten
• Vorgefertigte und eigene Berichte und Testate
• Alerts
• Software Appliance
Oracle Audit Vault Server
Audit Daten &
Event Logs
Policies
Vorgefertigte
und eigene
Berichte
Alerts!BS &
Storage
Directories
Databanken
Weitere
Security
Analyst
Auditor
SOC
Repository
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Oracle Audit Vault and Database Firewall
Überwacht das Netzwerk, erkennt und blockt bei Bedarf illegale Aktivitäten
Analysiert SQL in einem patentierten, höchst genauen Verfahren in Echtzeit
Kann sowohl mit Positiv- als auch mit Negativlisten (Whitelists / Blacklists) arbeiten
Software Appliance
Database Firewall
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Oracle Audit Vault and Database Firewall
Vorgefertigte
und eigene
Berichte
Alerts !
Firewall Events
Benutzer
Anwendungen
Database Firewall
Erlauben
Protokollieren
Alarmieren
Ersetzen
Blocken
Audit Daten
Audit Vault
Repository
BS, Directory, Dateisystem &
beliebige Audit LogsPolicies
(Baselines)
Security
Analyst
Auditor
SOC
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Höchste Sicherheit durch Schutz auf allen Ebenen
Aktivitäten überwachen
Auditieren und Berichten
DETEKTION
Redigieren und Maskieren
Verschlüsseln
PRÄVENTION ADMINISTRATION
Sensible Daten finden
Privilegien analysieren
Privilegierte Benutzer
kontrollierenDatabase Firewall Konfigurationen verwalten
33
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Privilege Analysis - least privilege durchsetzen
Im laufenden Betrieb least privilegeumsetzen durch Entzug nicht benötigter Privilegien und Rollen
Mit dem Package DBMS_PRIVILEGE_CAPTURE die verwendeten Privilegien und Rollen erfassen sowie Berichtsdaten generieren
Aus Hilfstabellen Berichte über die verwendeten oder nicht verwendeten Privilegien und Rollen erzeugen
Gehört zu Oracle Database Vault
Privilege Analysis
Create…
Drop…
Modify…
DBA role
APPADMIN role
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Oracle Enterprise Manager 12c
• Sensible Daten und Datenbanken finden
– Restricted Use NUR DER FINDING FUNKTIONALITÄT für alle Security Optionen (ASO, DV, OLS)
• Ziel: Sensible Daten angemessen schützen: Verschlüsseln, redigieren, maskieren, ...
Data Finding Funktionalität
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Oracle Enterprise Manager 12c
• Konfigurationen verwalten
– Datenbanken finden und klassifizieren
– Nach Vorgaben wie best practices oder Industriestandards analysieren
– Nicht authorisierte Veränderungen erkennen
– Automatisches Wiederherstellen des gewünschten Zustands
– Patching und Provisionierung
Oracle Database Lifecycle Management Pack
Discover
Scan & Monitor
Patch
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Höchste Sicherheit durch Schutz auf allen Ebenen
Aktivitäten überwachen
Auditieren und Berichten
DETEKTION
Redigieren und Maskieren
Verschlüsseln
PRÄVENTION ADMINISTRATION
Sensible Daten finden
Privilegien analysieren
Privilegierte Benutzer
kontrollierenDatabase Firewall Konfigurationen verwalten
37
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Oracle Database Security - Informationsmaterialhttp://www.oracle.com/us/products/database/security/overview/index.html
• Datenblätter
• Whitepaper
• Webcasts
• Fallstudien
• Veranstaltungen
• Neuigkeiten
• …
38
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Informationen in deutscher Sprache
39
Communities
DBA Community
APEX Community
Security Community
• Veranstaltungen
– http://tinyurl.com/odd12c
• Mobile App der BU DB
– http://tinyurl.com/oraclebudb