5 Gründe aus Security Sicht 5 GRÜNDE IM ÜBERBLICK Advanced Security Option (ASO) Database Vault (DV) Label Security (OLS) Total Recall Audit Vault (AV) ADVANCED SECURITY OPTION Verschlüsselung von Oracle- Daten im Netzwerk Verschlüsselung von Oracle- Daten auf der Platte auf der Ebene von Spalten, Tablespaces oder LOBs Verschlüsselung von Oracle- Daten im Backup Über 20 erfolgreiche offizielle Security-Evaluierungen belegen die Führungsposition von Oracle im Umfeld der Datenbank-Security. Deshalb setzt Oracle Database 11g auf die bewährten Lösungen und erweitert sie um neue Features und Funktionen. Da alle Security-Produkte miteinander kombinierbar sind und die Datenbank diverse Security-Aspekte standardmäßig abdeckt, können Unternehmen ihre Security-und ComplianceAnforderungen im Bereich der Datenbank effektiv und vollständig mit Oracle-Mitteln abdecken. Verschlüsselung und zentrale Benutzerverwaltung Die Verschlüsselungs- und Prüfsummenverfahren der Advanced Security Option verhindern, dass vertrauliche Daten bei der Übertragung unbefugt gelesen oder geändert werden - sie schützen also vor Lauschangriffen und sogenannten man-inthe-middle-attacks. Die verschlüsselte Speicherung auf der Platte sowie in Backups und Exports verhindert, dass Daten unter Umgehung der Datenbanksoftware gelesen oder geändert werden bzw. dass Daten auf entsorgten Platten in die falschen Hände geraten. Verschlüsselung von Oracle- Die Advanced Security Option eröffnet zusätzlich die Möglichkeit, die Daten im Export Anbindung an LDAP-Systeme und Unterstützung starker Authentifizierungsverfahren mittels Kerberos, Radius, PKI und SSLZertifikaten Datenbankbenutzer in eine zentrale Benutzerverwaltung einzubinden. Eine solche Benutzerverwaltung auf der Basis eines LDAP-Servers wie z.B. dem Oracle Internet Directory ist für alle sicherheitsbewußten Unternehmen mit größeren oder sich häufig verändernden Benutzergruppen ein MUSS. Produkte: Datenbank Enterprise Edition, Advanced Security Option, Oracle Identity Management Produkte DATABASE VAULT Aufgabenverteilung und Funktionstrennung als Prinzip Trennung von Benutzer-, Daten- Sicherheits- und Datenbankverwaltung Schutz von Benutzerdaten vor lesendem und schreibendem Zugriff durch privilegierte Benutzer Einsetzbar ohne Änderung vorhandener Applikationen Mit Database Vault können die unterschiedlichen Bereiche der Datenbankadministration auf unterschiedliche Personen verteilt werden. Die vom Produkt standardmäßig vorgesehene Trennung von Benutzer-, Resourcen- und Datenbankverwaltung kann modifiziert werden, um unternehmensspezifische Vorgaben zu implementieren. Das geht so weit, dass Datenbankadministratoren keine Benutzerdaten lesen oder ändern können (Schutz vor dem sogenannten Innentäter), dass beliebige SQL-Befehle dem 4-Augen-Prinzip unterworfen oder applikationsspezifische Administratoren eingerichtet werden können. Produkte: Datenbank Enterprise Edition, Option Database Vault September 2010 Oracle Deutschland B.V. & Co. KG - Business Unit Database Technologies LABEL SECURITY Vorgefertigtes Rechtekonzept zur differenzierten Steuerung des Zugriffs auf Benutzerdaten Einfachste Implementierung über benutzerdefinierte Labels Virtual Private Database (VPD) Steuerung des Datenzugriffs über Labels Natürlich kann man den Zugriff auf Benutzerdaten in jeder Oracle-Datenbank standardmäßig schon sehr differenziert steuern (discretionary access control). Aber Label Security geht weiter: Über selbst definierte Labels, wird der lesende und schreibende Zugriff auf Daten so gesteuert, dass ein Benutzer nur auf die Daten zugreifen kann, die seiner eigenen Geheimhaltungsstufe entsprechen (mandatory access control / multi level security). Auf diese Weise können beispielsweise die out-of-the-box gebräuchlichen Geheimhaltungsstufen von 'streng geheim' bis 'öffentlich' implementiert werden, aber auch eigene Geheimhaltungsstufen. Label Security ist eine von Oracle entwickelte Anwendung, die auf der bewährten Oracle-Technologie 'Virtual Private Database' basiert und seit vielen Jahren bei zahlreichen Unternehmen im Einsatz ist. Produkte: Datenbank Enterprise Edition, Option Label Security TOTAL RECALL Archivierung von Benutzerdaten zum Nachweis ihrer (Nicht-) Veränderung Detaillierter und nicht zu manipulierender Nachweis jeder einzelnen Veränderung Archivierungsdauer konfigurierbar über beliebige Zeiträume Automatisches Löschen der Daten nach Ablauf des Archivierungszeitraums Einfachstes Aufsetzen pro Tabelle innerhalb der Datenbank Jede Datenänderung lückenlos und im Detail nachverfolgen Unterschiedliche Gesetze und Richtlinien, aber auch betriebswirtschaftliche Vorgaben verlangen von Unternehmen einen lückenlosen Nachweis darüber, ob und wie sich Daten im Laufe der Zeit verändert haben. Bisher wurde das auf unterschiedlichsten Wegen implementiert. Total Recall eröffnet den Unternehmen auf einfache Weise die Implementierung mit Datenbankmitteln. Die Dauer der Archivierung und den Zeitpunkt des automatischen Löschens bestimmen die Unternehmen nach ihren Vorgaben. Zusätzlich schützt Total Recall archivierte Daten vor Veränderungen. Total Recall ist völlig transparent für bestehende Anwendungen und kann daher selbst auf laufenden Systemen problemlos implementiert werden. Transparent für Applikationen Produkte: Datenbank Enterprise Edition, Option Total Recall AUDIT VAULT Konsolidiertes Auditing für das ganze Unternehmen Audit Vault ist Oracles Data Warehouse für Auditing-Informationen. Es ermöglicht Konsolidiert alle im Unternehmen anfallenden Audit-Informationen Zur Zeit verfügbar für Oracle- und SQL*Server-Datenbanken Schützt Audit-Daten vor Veränderung Auswertungen im Lieferumfang das zentrale Erfassen und übergreifende Auswerten von Auditing-Informationen aus allen Oracle und SQL*Server-Datenbanken des gesamten Unternehmens. Da die Auditing-Informationen unmittelbar nach ihrer Entstehung aus den dezentralen Systemen in das Audit Vault Warehouse übertragen werden, sind die Daten gleichzeitig geschützt vor Manipulationen in diesen dezentralen Systemen. Da Audit Vault die gesammelten Informationen standardmäßig mit den Mitteln des enthalten Eigene Auswertungen möglich automatisch mitinstallierten Database Vault schützt, können die Auditing Daten auch nicht im zentralen System unerlaubt manipuliert werden. Da das AuditingVerhalten der dezentralen Systeme ausserdem vom Audit Vault aus zentral zu beobachten und zu steuern ist, erleichtert Audit Vault das Implementieren einheitlicher unternehmensweiter Auditing-Standards. Dem Auditor erleichtert Audit Vault durch mitgelieferte und selbst zu definierende Auswertungen einen einfachen, flexiblen und zentralen Zugriff auf sämtliche konsolidierte Informationen der zu auditierenden Systeme. Produkte: Audit Vault Server, Audit Vault Collection Agent September 2010 Oracle Deutschland B.V. & Co. KG - Business Unit Database Technologies