oracle security Übersicht

Copyright © 2014, Oracle and/or its affiliates. All rights reserved.

Security Inside OutOracle 12c - Daten schützen und compliant sein

Heinz-Wilhelm FabrySenior Leitender SystemberaterBusiness Unit DatabaseJanuar 2015


Safe Harbor Statement

The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.


80% der IT Security Programme gehen an der Datenbank vorbei

Was macht Datenbanken so verwundbar?

Netzwerk Security

SIEM

Endpoint Security

Web Application Firewall

Email Security

Authentifizierung & Benutzer Security

Datenbank Sicherheit

"Die amerikanischen

Unternehmen merken es,

wenn sie angegriffen werden -

die deutschen nicht."

Computerwoche März 2012


Höchste Sicherheit durch Schutz auf allen Ebenen

Aktivitäten überwachen

Auditieren und Berichten

DETEKTION

Redigieren und Maskieren

Verschlüsseln

PRÄVENTION ADMINISTRATION

Sensible Daten finden

Privilegien analysieren

Privilegierte Benutzer

kontrollierenDatabase Firewall Konfigurationen verwalten

4





DETEKTION


Verschlüsseln






5


Verschlüsseln ist die Basis

• Anwendungen / Trigger rufen das API auf

• Kein automatisches Schlüsselmanagement

• Package stellt Prozeduren und Funktionen zur Verfügung

– Zum Verschlüsseln und Entschlüsseln

– Zum Arbeiten mit Prüfsummen

In allen Editionen prozedural mit DBMS_CRYPTO

CREATE OR REPLACE FUNCTION crypt (eingabe IN VARCHAR2) RETURN RAW ISv_rohdaten RAW(200); v_schluessel RAW(32);v_verschluesselung PLS_INTEGER := DBMS_CRYPTO.ENCRYPT_AES256 +

DBMS_CRYPTO.CHAIN_CBC + DBMS_CRYPTO.PAD_ZERO;

BEGIN

...


• Schützt Daten auf Speichermedien

• Erfordert keine Änderungen von vorhandenen Anwendungen

• Enthält das Schlüssel Management

• Systembelastung vernachlässigbar

• Integriert in die Oracle Technologien

– Exadata, Advanced Compression, ASM, Golden Gate, DataPump, RMAN ...

Verschlüsseln ist die Basis

Speichermedien

Backups

Exports

Dezentrale

Aufbewahrung

Anwendungen

Nur Enterprise Edition (EE): Oracle Advanced Security - Transparent Data Encryption (TDE)


Transparent Data Encryption (TDE)

• Neue, eigene Syntax zur Verwaltung von Wallet und HSM

– Voraussetzung ADMINISTER KEY MANAGEMENT Privileg oder SYSKM

– Schlüssel können importiert, exportiert, zusammengeführt (merge) und automatisch gesichert werden

• Neue Views zur besseren Kontrolle von Wallets und Schlüsseln

– V$ENCRYPTION_WALLET, V$ENCRYPTION_KEYS und andere

ADMINISTER KEY MANAGEMENT CREATE KEYSTORE

'$ORACLE_HOME/network/admin' IDENTIFIED BY einpasswort;


Oracle Key Vault

• HSM mit Anwendungsschwerpunkt TDE

• Ausserdem Wallet Repository für

–Wallets / Keystores der Oracle Datenbank

–Wallets / Keystores der Oracle Middleware

– Java Keystores (JKS)

– Java Cryptography Extension Keystores (JCEKS)

– SSH Key Files

– Kerberos Keytabs

Die perfekte Ergänzung für TDE

9





DETEKTION


Verschlüsseln






10


Was ist Data Redaction?

• Unkenntlich Machen von DATENAUSGABEN in Echtzeit

– Zu steuern über Bedingungen

• Bibliothek mit gängigen Mustern ist im Lieferumfang enthalten

• Transparent für Anwendungen, Datenbankadministratoren und Benutzer

Oracle Advanced Security Option (ASO) in RDBMS 12.1 & 11.2.0.4

Kreditkarten4451-2172-9841-43685106-8395-2095-59387830-0032-0294-1827

Redaction Policy

xxxx-xxxx-xxxx-4368 4451-2172-9841-4368

Call Center Mitarbeiter Rechnungsabteilung


Was geht?

• FULL

– Auf Datenbankebene definierbarer Default

• PARTIAL

– Festzulegender Teil (von - bis) des Eintrags wird geändert

• RANDOM

• REGEXP

Package DBMS_REDACT


Was sollte man sonst noch wissen?

• Anwendbar sowohl auf Views als auch auf Tabellen

– Nur Werte aus der SELECT Liste werden unkenntlich gemacht

• Nicht alle Datentypen werden vollständig unterstützt

– Zum Beispiel Teile von BLOBs, CLOBs nicht unkenntlich zu machen

• Objekte von SYS und SYSTEM können nicht unkenntlich gemacht werden

• SYS und SYSTEM sehen IMMER den Originalwert– EXEMPT REDACTION POLICY

– EXEMPT REDACTION POLICY aus EXP FULL DATABASE

• Ausführungspläne geben keinen Hinweis auf das unkenntlich Machen


Data Redaction in EM Cloud Control 12c und SQL*Developer

Graphische Unterstützung schon heute


Daten für Entwicklung und Test maskieren

• Sensible Daten durch typgerechte harmlose Daten ersetzen

• Referentielle Integrität wird erhalten

• Bibliothek mit editierbaren Vorlagen und Formaten ist im Lieferumfang enthalten

• Vorlagen für Anwendungen verfügbar

• Unterstützt auch das Maskieren in Nicht-Oracle Datenbanken

Oracle Enterprise Manager Cloud Control Data Masking and Subsetting Pack

NAME SOZIALVERSNR GEHALT

Wilson 323—23-1111 60.000

Zuckerberg 252-34-1345 40.000

NAME SOZIALVERSNR GEHALT

AGUILAR 203-33-3234 40.000

BENSON 323-22-2943 60.000

Production

Entwicklung, Test

Produktion





DETEKTION


Verschlüsseln






16


Funktionen trennen, Aufgaben verteilen, least privilege

• Oracle Data Guard Administration mit Data Guard Broker oder DGMGRL• SYSDG Benutzer und Privileg

• Backup mit RMAN oder SQL*Plus• SYSBACKUP Benutzer und Privileg

• Wallet Administration im Kontext von ASO (TDE)• SYSKM Benutzer und Privileg

• Die Benutzer SYSDG, SYSBACKUP und SYSKM können nicht mit DROP USER gelöscht werden

Wichtige Verwaltungstätigkeiten ohne SYSDBA


Festlegung im Rahmen der Software Installation

Wichtige Verwaltungstätigkeiten ohne SYSDBA


Kontrolle privilegierter Benutzer

• Database Vault (DV)

– Zugriff von DBAs auf Benutzerdaten einschränken

– Realms schützen ganze Bereiche

– Ausführung von SQL Befehlen über Umgebungsvariablen zu steuern

– Fertige Regelwerke für gängige Anwendungen verfügbar

Compliance, least privilege, Trennen von Funktionen und Aufgaben

Procurement

HR

Finance

SELECT * FROM finance.customers

Anwendungs-DBA

Anwendung

Security-DBA

DBA


Database Vault (DV)

• Im neuen Release in jeder Installation enthalten

– Nachträgliche Konfiguration mit DBCA oder auf der Kommandozeile

– Ein- und ausschaltbar, sofern die Privilegien IN DER DATENBANK dazu vorliegen

• Unterschiedliche Datenbanken aus einem ORACLE_HOME können mit oder ohne DV (unterschiedlich) konfiguriert werden

• Installation immer ohne Database Vault Administrator (dva)– Verwaltung über EM Cloud Control oder Kommandozeile

Installation, Ein- und Auschalten


Oracle Label Security (OLS)

Zugriffe über Labels steuern

Zugriff auf einen Datensatz nur, wenn

das Label des Datensatzes und das

Label des Benutzers 'kompatibel' sind

Labels + Privilegien

Session Datensätze Label


Enterprise Edition - Virtual Private Database

• Ergänzt SQL-GRANTs auf Tabellenebene

• Mit einer Tabelle oder einem View wird eine sogenannte POLICY verbunden

– POLICY = Zeichenkette, die durch eine Funktion erstellt wird• Zeichenkette wird als zusätzliche WHERE-Bedingung automatisch an jeden Befehl angehängt

– Benutzer sehen nur die Daten, die sie laut Policy sehen dürfen

WHERE abtnr = 10

WHERE angnr = 1234

SELECT * FROM mitarbeiter;

Manager

Verkäufer

Policyidentische Abfrage +





DETEKTION


Verschlüsseln






23


Auditing

• Default und SYS Auditing

– -> Betriebssystem

• Standard Auditing (Systemprivilegien, Befehle, Objekte)

– -> SYS.AUD$ oder Betriebssystem in proprietärem Format oder XML

• Fine Grained Auditing (Auditieren in Abhängigkeit von Bedingungen)– -> SYS.FGA_LOG$ oder Betriebssystem in proprietärem Format oder XML

• Database Vault Auditing

– -> DVSYS.AUDIT_TRAIL$

Oracle Database 11g Release 2


Das neue Auditing

• Unified Audit Trail

– Policies steuern das Auditing, nicht Initialisierungsparameter

• AUDSYS ist Eigentümer des Audit Trail

– Nur eine Tabelle im Tablespace SYSAUX

• Zugriff auf den Audit Trail nur für Rollen AUDADMIN und AUDVIEWER– Gilt auch für eigene Objekte

• Unterstützt RMAN, Data Pump und Direct Path Loader

• Bessere Performance

unified auditing


Einrichten

• Aktivierung nicht über Initialierungsparameter, sondern über den Programmcode des RDBMS

– Nach der Installation des Programmcodes oder Upgrade standardmässig sind sowohl traditionelles als auch unified Auditing aktiviert

– Umschalten auf ausschliesslich unified auditing• Datenbank und Listener stoppen

• Aktiviert oder nicht aktiviert?

SELECT value FROM v$option

WHERE parameter = 'Unified Auditing';

cd $ORACLE_HOME/rdbms/lib

make -f ins_rdbms.mk uniaud_on ioracle


Konfigurieren - Policy anlegen

• Vergleichbar mit dem Einrichten des FGA (Policies)

CREATE AUDIT POLICY zumbeispiel

PRIVILEGES SELECT ANY TABLE

ACTIONS CREATE USER, ALTER USER,

SELECT ON SCOTT.EMP

ROLES RESOURCE

WHEN 'SYS_CONTEXT(''USERENV'', ''MODULE'') <>

(''PERSVERW'')'

EVALUATE PER STATEMENT

CONTAINER = CURRENT; -- nur in einer cdb


Komponenten auditieren

• Komponenten sind

– Data Pump

– Database Vault

– Data Mining

– Label Security

– Real Application Security

– SQL Loader direct loads

• Auditing des RMAN wird über den RMAN selbst gesteuert

CREATE AUDIT POLICYzumbeispiel

ACTIONS COMPONENT = DATAPUMP ALL -- IMPORT oder EXPORT





DETEKTION


Verschlüsseln






29


Oracle Audit Vault and Database Firewall

• Konsolidiertes Auditing über Oracle und nicht Oracle Datenbanken sowie weitere IT Komponenten

– SDK zum Erstellen eigener Agenten für beliebige andere IT Komponenten

• Vorgefertigte und eigene Berichte und Testate

• Alerts

• Software Appliance

Oracle Audit Vault Server

Audit Daten &

Event Logs

Policies

Vorgefertigte

und eigene

Berichte

Alerts!BS &

Storage

Directories

Databanken

Weitere

Security

Analyst

Auditor

SOC

Repository



Überwacht das Netzwerk, erkennt und blockt bei Bedarf illegale Aktivitäten

Analysiert SQL in einem patentierten, höchst genauen Verfahren in Echtzeit

Kann sowohl mit Positiv- als auch mit Negativlisten (Whitelists / Blacklists) arbeiten

Software Appliance

Database Firewall



Vorgefertigte

und eigene

Berichte

Alerts !

Firewall Events

Benutzer

Anwendungen

Database Firewall

Erlauben

Protokollieren

Alarmieren

Ersetzen

Blocken

Audit Daten

Audit Vault

Repository

BS, Directory, Dateisystem &

beliebige Audit LogsPolicies

(Baselines)

Security

Analyst

Auditor

SOC





DETEKTION


Verschlüsseln






33


Privilege Analysis - least privilege durchsetzen

Im laufenden Betrieb least privilegeumsetzen durch Entzug nicht benötigter Privilegien und Rollen

Mit dem Package DBMS_PRIVILEGE_CAPTURE die verwendeten Privilegien und Rollen erfassen sowie Berichtsdaten generieren

Aus Hilfstabellen Berichte über die verwendeten oder nicht verwendeten Privilegien und Rollen erzeugen

Gehört zu Oracle Database Vault

Privilege Analysis

Create…

Drop…

Modify…

DBA role

APPADMIN role


Oracle Enterprise Manager 12c

• Sensible Daten und Datenbanken finden

– Restricted Use NUR DER FINDING FUNKTIONALITÄT für alle Security Optionen (ASO, DV, OLS)

• Ziel: Sensible Daten angemessen schützen: Verschlüsseln, redigieren, maskieren, ...

Data Finding Funktionalität


Oracle Enterprise Manager 12c

• Konfigurationen verwalten

– Datenbanken finden und klassifizieren

– Nach Vorgaben wie best practices oder Industriestandards analysieren

– Nicht authorisierte Veränderungen erkennen

– Automatisches Wiederherstellen des gewünschten Zustands

– Patching und Provisionierung

Oracle Database Lifecycle Management Pack

Discover

Scan & Monitor

Patch





DETEKTION


Verschlüsseln






37


Oracle Database Security - Informationsmaterialhttp://www.oracle.com/us/products/database/security/overview/index.html

• Datenblätter

• Whitepaper

• Webcasts

• Fallstudien

• Veranstaltungen

• Neuigkeiten

• …

38


Informationen in deutscher Sprache

39

Communities

DBA Community

APEX Community

Security Community

• Veranstaltungen

– http://tinyurl.com/odd12c

• Mobile App der BU DB

– http://tinyurl.com/oraclebudb

https://blogs.oracle.com/dbacommunity_deutsch/

https://blogs.oracle.com/apexcommunity_deutsch/

https://blogs.oracle.com/SecurityDE

http://tinyurl.com/odd12c

http://tinyurl.com/oraclebudb

oracle security Übersicht

Technology