Database Vault, installieren alleine reicht nicht

Werbung
<Insert Picture Here>
Database Vault: Installieren allein reicht nicht!
Heinz-Wilhelm Fabry
ORACLE Deutschland GmbH
Ihre IT
• Es gibt KEINEN Initialisierungs-Parameter
make_db_secure / _make_db_secure
• (Fast) jedes Unternehmen hat spezielle Anforderungen
• Jedes Unternehmen muß seine eigenen Anforderungen
festlegen
• Rechtliche und sonstige Vorgaben
• Individuelle Risikoeinschätzung
• Einsatz spezieller Software unterliegt auch einer nicht
ausschließlich finanziellen Kosten-Nutzen-Rechnung
• Beispiel: Verschlüsselung zwischen rechtlichen und
betrieblichen Anforderungen
1
Option Oracle Database Vault (DV)
• Für Datenbankversionen 9.2.0.8, 10.2.0.3 / 4 und 11.1
Aufgaben verteilen und
Funktionen trennen
Berichte
Unterstützung
bei der
Konsolidierung
von
Datenbanken
Schutz vor der
Bedrohung von Innen
Anpassungsfähige
Kontrolle
des Zugriffs auf
Daten
DV - Hinweise zum Einsatz
• Funktionstrennung und Aufgabenverteilung können
den Personalbedarf erhöhen
• Der Einsatz von Database Vault
• Ist transparent für Anwendungen
• Hat keinen Einfluß auf Zugriffspfade
• Kann Auswirkungen auf die Performance haben
2
Default-Funktionstrennung - Privilegierte Benutzer
• Bei der Installation ist mindestens der Besitzer der
Database Vault-Option anzugegeben. Er / Sie erhält die
Rolle
• DV_OWNER
• Ist KEIN neuer 'SUPERSYS', sondern
• Verwaltet AUSSCHLIESSLICH die DV-Konfiguration / -Rollen
• Zusätzlich möglich ist die Zuweisung der Rolle
• DV_ACCTMGR
• Ist KEIN neuer 'SUPERSYS', sondern
• Verwaltet AUSSCHLIESSLICH ALLE Benutzer
• Erhält kein Benutzer diese Rolle explizit, wird sie automatisch dem
Benutzer mit der Rolle DV_OWNER zugewiesen
Privilegierte Benutzer einrichten
3
DV - Werkzeuge
• Oracle Database Vault Administrator
• Sieht aus wie der HTML-basierte Enterprise Manager
• Soll zukünftig in den Enterprise Manager integriert werden
• Zugriff über Browser
• Verwaltung und Kontrolle der Oracle Database VaultUmgebung
• Erzeugen der im Lieferumfang enthaltenen Berichte
• PL/SQL-Packages
• DVSYS.DBMS_MACADM
• DVSYS.DBMS_MACSEC_ROLES
• DVSYS.DBMS_MACUTL
Database Vault Administrator (DVA)
4
Database Vault Administrator (DVA)
5
Oracle Database Vault Realms
• Definieren deklarativ Bereiche, auf die weder DatenbankAdministratoren (DBAs) noch privilegierte Benutzer
zugreifen können
• Tabelle, Schema, Prozeduren, Rollen, ...
• Zugriff auf Objekte des Realms erfordert explizite GRANTs
• Aufgabenverteilung und Funktionstrennung
• Erlauben das Einrichten von Datenbank-Administratoren für
festgelegte Bereiche, z.B. für Rechnungswesen- oder
Personaldaten
• Authorisierung als Realm-OWNER oder -PARTICIPANT
• Versuchte Verstöße gegen Realms können erfaßt und
gemeldet werden
Realms: Was geht & Was nicht geht
Realm
Realm
Auftraege
Vertraege
Lieferanten
Positionen
Teile
ALTER TABLE rw.teile ...
DBA
SELECT * FROM rw.vertraege
6
Realms schützen - auch vor dem DBA
% SQLPLUS system/mypassword
SQL> CREATE TABLE mein_emp AS
SELECT * FROM scott.emp;
ERROR at line 4:
ORA-00604: error occurred at recursive SQL level 1
ORA-20401: Realm violation on create table MEIN_EMP
ORA-06512: at ‘DVSYS.AUTHORIZE_EVENT”, line 35
ORA-06512: at line 13
SQL> DROP TABLE scott.emp;
ERROR at line 4:
ORA-00604: error occurred at recursive SQL level 1
ORA-20401: Realm violation on drop table SCOTT.EMP
ORA-06512: at ‘DVSYS.AUTHORIZE_EVENT”, line 35
ORA-06512: at line 13
Realms auf der Kommandozeile
BEGIN
DVSYS.DBMS_MACADM.ADD_OBJECT_TO_REALM(
realm_name
=> 'GEHEIM',
object_owner
=> 'CHEF',
object_name
=> 'CHEF',
object_type
=> 'SCHEMA');
END;
/
7
Im Lieferumfang enthaltene Realms
8
Oracle Database Vault Regelgruppen
• Regelauswertungen zur Datenbank-Security, die es
ermöglichen
•
•
•
•
Berechtigungen in einem Realm zu steuern
Ausführen von SQL- und System-Befehlen zu steuern
Arbeiten mit Faktoren zu steuern
Arbeiten mit Secure Application Roles zu steuern
• Im Rahmen der Regelauswertungen benutzerdefinierte PL/SQLRoutinen auszuführen
Mitgelieferte Regelgruppen
9
Mitgelieferte Regeln
10
Befehlsregeln
• Steuern prozedural die Verwendung von
• DML- und DDL-Kommandos
• Systembefehle
• Grundsätzlich oder beispielsweise zum Implementieren des 4Augen-Prinzips
• Verwenden der Regeln - und damit Verwenden der
Kommandos - kann
• Auditiert werden
• Angezeigt werden
• Auswerten der Regeln erfolgt nach der Überprüfung, ob
gegebenenfalls überhaupt die Berechtigung vorliegt, in
einem betroffenen Realm zu arbeiten
Mitgelieferte Befehlsregeln
11
Regeln für ALTER USER
Befehlsregeln für ...
12
Beispiel - Einfache 4-Augen-Regel
(SELECT count(*) FROM v$session WHERE
username = 'KONTROLLEUR1' or username = 'KONTROLLEUR2') = 1
13
Im Lieferumfang enthaltene Faktoren
Faktor
• Datenstruktur mit Namen vergleichbar mit CONTEXTs
•
Hat eine Identität
• Hat einen Wert
• Hat einen TRUST LEVEL
• Kann OLS-Label haben
• Kann auditiert werden
• Mitgelieferte und selbst erstellte Faktoren
Trust Level
Faktor
Methode
Faktor
Zuordnung
Faktor
Konstante
Label
Identität
14
Auditing in Oracle Database Vault
• Eigener Audit Trail
• DVSYS.AUDIT_TRAIL$
• Erfaßt automatisch
•
•
•
•
Änderungen an der Konfiguration von Oracle Database Vault
Änderungen an der Konfiguration von Oracle Label Security
Änderungen an der Struktur der Datenbank
Verwendung von System-Privilegien
• Anzupassen für selbst-definierte Zugriffskontrollen, die
zurückgreifen auf
• Rollen, Realms, Regeln, Faktoren
15
Konfiguration und Auditing
16
Sonstige Berichte
Beispielbericht
17
Komponenten
Sichere Anwendungsrolle
Identität
Realm
Faktor
Befehlsregel
Optional
Regelgruppe
Verbindlich
Zertifizierungen
Oracle Internet Directory
zertifiziert
Oracle Content DB
zertifiziert
PeopleSoft
zertifiziert
Oracle EBusiness Suite
zertifiziert
Siebel
zertifiziert
JD Edwards
zertifiziert
SAP
zertifiziert
18
Betriebsprozesse
• Default-Einstellungen der Installation sind veränderbar
•
Oracle Database Vault ist in der Regel nicht READY-TO-USE
•
Oracle Database Vault-Komponenten an die eigenen
Sicherheitsanforderungen anpassen
• Oracle Database Vault erfordert in der Regel
Anpassungen der Betriebsprozesse
•
Data Pump
•
LogMiner, ALTER SESSION, ALTER SYSTEM
•
Flashback-Funktionalität einschließlich Papierkorb
• DV schränkt die Möglichkeiten eines ROOT-Benutzers
(UNIX) und des Besitzers der Oracle-Software NICHT ein
19
Herunterladen
Explore flashcards