Oracle Security Übersicht

Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Security Inside Out
Oracle 12c - Daten schützen und compliant sein
Heinz-Wilhelm Fabry
Senior Leitender Systemberater
Business Unit Database
Januar 2015

Safe Harbor Statement
The following is intended to outline our general product direction. It is intended for
information purposes only, and may not be incorporated into any contract. It is not a
commitment to deliver any material, code, or functionality, and should not be relied upon
in making purchasing decisions. The development, release, and timing of any features or
functionality described for Oracle’s products remains at the sole discretion of Oracle.

80% der IT Security Programme gehen an der Datenbank vorbei
Was macht Datenbanken so verwundbar?
Netzwerk Security
SIEM
Endpoint Security
Web Application
Firewall
Email Security
Authentifizierung &
Benutzer Security
Datenbank
Sicherheit
"Die amerikanischen
Unternehmen merken es,
wenn sie angegriffen werden -
die deutschen nicht."
Computerwoche März 2012

Höchste Sicherheit durch Schutz auf allen Ebenen
Aktivitäten überwachen
Auditieren und Berichten
DETEKTION
Redigieren und Maskieren
Verschlüsseln
PRÄVENTION ADMINISTRATION
Sensible Daten finden
Privilegien analysieren
Privilegierte Benutzer
kontrollieren
Database Firewall Konfigurationen verwalten
4

DETEKTION
Verschlüsseln
kontrollieren
5

Verschlüsseln ist die Basis
• Anwendungen / Trigger rufen das API auf
• Kein automatisches Schlüsselmanagement
• Package stellt Prozeduren und Funktionen zur Verfügung
– Zum Verschlüsseln und Entschlüsseln
– Zum Arbeiten mit Prüfsummen
In allen Editionen prozedural mit DBMS_CRYPTO
CREATE OR REPLACE FUNCTION crypt (eingabe IN VARCHAR2) RETURN RAW IS
v_rohdaten RAW(200);
v_schluessel RAW(32);
v_verschluesselung PLS_INTEGER := DBMS_CRYPTO.ENCRYPT_AES256 +
DBMS_CRYPTO.CHAIN_CBC + DBMS_CRYPTO.PAD_ZERO;
BEGIN
...

• Schützt Daten auf Speichermedien
• Erfordert keine Änderungen von
vorhandenen Anwendungen
• Enthält das Schlüssel Management
• Systembelastung vernachlässigbar
• Integriert in die Oracle Technologien
– Exadata, Advanced Compression, ASM,
Golden Gate, DataPump, RMAN ...
Verschlüsseln ist die Basis
Speichermedien
Backups
Exports
Dezentrale
Aufbewahrung
Anwendungen
Nur Enterprise Edition (EE): Oracle Advanced Security - Transparent Data Encryption (TDE)

Transparent Data Encryption (TDE)
• Neue, eigene Syntax zur Verwaltung von Wallet und HSM
– Voraussetzung ADMINISTER KEY MANAGEMENT Privileg oder SYSKM
– Schlüssel können importiert, exportiert, zusammengeführt (merge) und automatisch
gesichert werden
• Neue Views zur besseren Kontrolle von Wallets und Schlüsseln
– V$ENCRYPTION_WALLET, V$ENCRYPTION_KEYS und andere
ADMINISTER KEY MANAGEMENT CREATE KEYSTORE
'$ORACLE_HOME/network/admin' IDENTIFIED BY einpasswort;

Oracle Key Vault
• HSM mit Anwendungsschwerpunkt TDE
• Ausserdem Wallet Repository für
– Wallets / Keystores der Oracle Datenbank
– Wallets / Keystores der Oracle Middleware
– Java Keystores (JKS)
– Java Cryptography Extension Keystores
(JCEKS)
– SSH Key Files
– Kerberos Keytabs
Die perfekte Ergänzung für TDE
9

DETEKTION
Verschlüsseln
kontrollieren
10

Was ist Data Redaction?
• Unkenntlich Machen von
DATENAUSGABEN in Echtzeit
– Zu steuern über Bedingungen
• Bibliothek mit gängigen Mustern ist
im Lieferumfang enthalten
• Transparent für Anwendungen,
Datenbankadministratoren und
Benutzer
Oracle Advanced Security Option (ASO) in RDBMS 12.1 & 11.2.0.4
Kreditkarten
4451-2172-9841-4368
5106-8395-2095-5938
7830-0032-0294-1827
Redaction Policy
xxxx-xxxx-xxxx-4368 4451-2172-9841-4368
Call Center Mitarbeiter Rechnungsabteilung

Was geht?
• FULL
– Auf Datenbankebene definierbarer Default
• PARTIAL
– Festzulegender Teil (von - bis) des Eintrags wird geändert
• RANDOM
• REGEXP
Package DBMS_REDACT

Was sollte man sonst noch wissen?
• Anwendbar sowohl auf Views als auch auf Tabellen
– Nur Werte aus der SELECT Liste werden unkenntlich gemacht
• Nicht alle Datentypen werden vollständig unterstützt
– Zum Beispiel Teile von BLOBs, CLOBs nicht unkenntlich zu machen
• Objekte von SYS und SYSTEM können nicht unkenntlich gemacht werden
• SYS und SYSTEM sehen IMMER den Originalwert
– EXEMPT REDACTION POLICY
– EXEMPT REDACTION POLICY aus EXP FULL DATABASE
• Ausführungspläne geben keinen Hinweis auf das unkenntlich Machen

Data Redaction in EM Cloud Control 12c und SQL*Developer
Graphische Unterstützung schon heute

Daten für Entwicklung und Test maskieren
• Sensible Daten durch typgerechte
harmlose Daten ersetzen
• Referentielle Integrität wird erhalten
• Bibliothek mit editierbaren Vorlagen
und Formaten ist im Lieferumfang
enthalten
• Vorlagen für Anwendungen
verfügbar
• Unterstützt auch das Maskieren in
Nicht-Oracle Datenbanken
Oracle Enterprise Manager Cloud Control Data Masking and Subsetting Pack
NAME SOZIALVERSNR GEHALT
Wilson 323—23-1111 60.000
Zuckerberg 252-34-1345 40.000
NAME SOZIALVERSNR GEHALT
AGUILAR 203-33-3234 40.000
BENSON 323-22-2943 60.000
Production
Entwicklung, Test
Produktion

DETEKTION
Verschlüsseln
kontrollieren
16

Funktionen trennen, Aufgaben verteilen, least privilege
• Oracle Data Guard Administration mit Data Guard Broker oder DGMGRL
• SYSDG Benutzer und Privileg
• Backup mit RMAN oder SQL*Plus
• SYSBACKUP Benutzer und Privileg
• Wallet Administration im Kontext von ASO (TDE)
• SYSKM Benutzer und Privileg
• Die Benutzer SYSDG, SYSBACKUP und SYSKM können nicht mit DROP USER
gelöscht werden
Wichtige Verwaltungstätigkeiten ohne SYSDBA

Festlegung im Rahmen der Software Installation
Wichtige Verwaltungstätigkeiten ohne SYSDBA

Kontrolle privilegierter Benutzer
• Database Vault (DV)
– Zugriff von DBAs auf Benutzerdaten
einschränken
– Realms schützen ganze Bereiche
– Ausführung von SQL Befehlen über
Umgebungsvariablen zu steuern
– Fertige Regelwerke für gängige
Anwendungen verfügbar
Compliance, least privilege, Trennen von Funktionen und Aufgaben
Procurement
HR
Finance
SELECT * FROM finance.customers
Anwendungs-DBA
Anwendung
Security-DBA
DBA

Database Vault (DV)
• Im neuen Release in jeder Installation enthalten
– Nachträgliche Konfiguration mit DBCA oder auf der Kommandozeile
– Ein- und ausschaltbar, sofern die Privilegien IN DER DATENBANK dazu vorliegen
• Unterschiedliche Datenbanken aus einem ORACLE_HOME können mit oder
ohne DV (unterschiedlich) konfiguriert werden
• Installation immer ohne Database Vault Administrator (dva)
– Verwaltung über EM Cloud Control oder Kommandozeile
Installation, Ein- und Auschalten

Oracle Label Security (OLS)
Zugriffe über Labels steuern
Zugriff auf einen Datensatz nur, wenn
das Label des Datensatzes und das
Label des Benutzers 'kompatibel' sind
Labels + Privilegien
Session Datensätze Label

Enterprise Edition - Virtual Private Database
• Ergänzt SQL-GRANTs auf Tabellenebene
• Mit einer Tabelle oder einem View wird eine sogenannte POLICY
verbunden
– POLICY = Zeichenkette, die durch eine Funktion erstellt wird
• Zeichenkette wird als zusätzliche WHERE-Bedingung automatisch an jeden Befehl angehängt
– Benutzer sehen nur die Daten, die sie laut Policy sehen dürfen
WHERE abtnr = 10
WHERE angnr = 1234
SELECT * FROM mitarbeiter;
Manager
Verkäufer
Policyidentische Abfrage +

DETEKTION
Verschlüsseln
kontrollieren
23

Auditing
• Default und SYS Auditing
– -> Betriebssystem
• Standard Auditing (Systemprivilegien, Befehle, Objekte)
– -> SYS.AUD$ oder Betriebssystem in proprietärem Format oder XML
• Fine Grained Auditing (Auditieren in Abhängigkeit von Bedingungen)
– -> SYS.FGA_LOG$ oder Betriebssystem in proprietärem Format oder XML
• Database Vault Auditing
– -> DVSYS.AUDIT_TRAIL$
Oracle Database 11g Release 2

Das neue Auditing
• Unified Audit Trail
– Policies steuern das Auditing, nicht Initialisierungsparameter
• AUDSYS ist Eigentümer des Audit Trail
– Nur eine Tabelle im Tablespace SYSAUX
• Zugriff auf den Audit Trail nur für Rollen AUDADMIN und AUDVIEWER
– Gilt auch für eigene Objekte
• Unterstützt RMAN, Data Pump und Direct Path Loader
• Bessere Performance
unified auditing

Einrichten
• Aktivierung nicht über Initialierungsparameter, sondern über den
Programmcode des RDBMS
– Nach der Installation des Programmcodes oder Upgrade standardmässig sind sowohl
traditionelles als auch unified Auditing aktiviert
– Umschalten auf ausschliesslich unified auditing
• Datenbank und Listener stoppen
• Aktiviert oder nicht aktiviert?
SELECT value FROM v$option
WHERE parameter = 'Unified Auditing';
cd $ORACLE_HOME/rdbms/lib
make -f ins_rdbms.mk uniaud_on ioracle

Konfigurieren - Policy anlegen
• Vergleichbar mit dem Einrichten des FGA (Policies)
CREATE AUDIT POLICY zumbeispiel
PRIVILEGES SELECT ANY TABLE
ACTIONS CREATE USER, ALTER USER,
SELECT ON SCOTT.EMP
ROLES RESOURCE
WHEN 'SYS_CONTEXT(''USERENV'', ''MODULE'') <>
(''PERSVERW'')'
EVALUATE PER STATEMENT
CONTAINER = CURRENT; -- nur in einer cdb

Komponenten auditieren
• Komponenten sind
– Data Pump
– Database Vault
– Data Mining
– Label Security
– Real Application Security
– SQL Loader direct loads
• Auditing des RMAN wird über den RMAN selbst gesteuert
CREATE AUDIT POLICYzumbeispiel
ACTIONS COMPONENT = DATAPUMP ALL -- IMPORT oder EXPORT

DETEKTION
Verschlüsseln
kontrollieren
29

Oracle Audit Vault and Database Firewall
• Konsolidiertes Auditing über Oracle
und nicht Oracle Datenbanken sowie
weitere IT Komponenten
– SDK zum Erstellen eigener Agenten für
beliebige andere IT Komponenten
• Vorgefertigte und eigene Berichte
und Testate
• Alerts
• Software Appliance
Oracle Audit Vault Server
Audit Daten &
Event Logs
Policies
Vorgefertigte
und eigene
Berichte
Alerts!
BS &
Storage
Directories
Databanken
Weitere
Security
Analyst
Auditor
SOC
Repository

 Überwacht das Netzwerk, erkennt
und blockt bei Bedarf illegale
Aktivitäten
 Analysiert SQL in einem
patentierten, höchst genauen
Verfahren in Echtzeit
 Kann sowohl mit Positiv- als auch
mit Negativlisten (Whitelists /
Blacklists) arbeiten
 Software Appliance
Database Firewall

Vorgefertigte
und eigene
Berichte
Alerts !
Firewall Events
Benutzer
Anwendungen
Database Firewall
Erlauben
Protokollieren
Alarmieren
Ersetzen
Blocken
Audit Daten
Audit Vault
Repository
BS, Directory, Dateisystem &
beliebige Audit LogsPolicies
(Baselines)
Security
Analyst
Auditor
SOC

DETEKTION
Verschlüsseln
kontrollieren
33

Privilege Analysis - least privilege durchsetzen
 Im laufenden Betrieb least privilege
umsetzen durch Entzug nicht benötigter
Privilegien und Rollen
 Mit dem Package
DBMS_PRIVILEGE_CAPTURE die
verwendeten Privilegien und Rollen
erfassen sowie Berichtsdaten generieren
 Aus Hilfstabellen Berichte über die
verwendeten oder nicht verwendeten
Privilegien und Rollen erzeugen
Gehört zu Oracle Database Vault
Privilege Analysis
Create…
Drop…
Modify…
DBA role
APPADMIN role

Oracle Enterprise Manager 12c
• Sensible Daten und Datenbanken
finden
– Restricted Use NUR DER FINDING
FUNKTIONALITÄT für alle Security
Optionen (ASO, DV, OLS)
• Ziel: Sensible Daten angemessen
schützen: Verschlüsseln, redigieren,
maskieren, ...
Data Finding Funktionalität

Oracle Enterprise Manager 12c
• Konfigurationen verwalten
– Datenbanken finden und klassifizieren
– Nach Vorgaben wie best practices oder
Industriestandards analysieren
– Nicht authorisierte Veränderungen
erkennen
– Automatisches Wiederherstellen des
gewünschten Zustands
– Patching und Provisionierung
Oracle Database Lifecycle Management Pack
Discover
Scan & Monitor
Patch

DETEKTION
Verschlüsseln
kontrollieren
37

Oracle Database Security - Informationsmaterial
http://www.oracle.com/us/products/database/security/overview/index.html
• Datenblätter
• Whitepaper
• Webcasts
• Fallstudien
• Veranstaltungen
• Neuigkeiten
• …
38

Informationen in deutscher Sprache
39
Communities
DBA Community
APEX Community
Security Community
• Veranstaltungen
– http://tinyurl.com/odd12c
• Mobile App der BU DB
– http://tinyurl.com/oraclebudb

Oracle Security Übersicht

Weitere ähnliche Inhalte

Andere mochten auch (20)

Ähnlich wie Oracle Security Übersicht (20)

Oracle Security Übersicht