5 Gründe aus Security Sicht

Werbung
5 Gründe aus Security Sicht
5 GRÜNDE IM ÜBERBLICK
 Advanced Security Option (ASO)
 Database Vault (DV)
 Label Security (OLS)
 Total Recall
 Audit Vault (AV)
ADVANCED SECURITY OPTION
 Verschlüsselung von Oracle-
Daten im Netzwerk
 Verschlüsselung von Oracle-
Daten auf der Platte auf der
Ebene von Spalten, Tablespaces
oder LOBs
 Verschlüsselung von Oracle-
Daten im Backup
Über 20 erfolgreiche offizielle
Security-Evaluierungen belegen die
Führungsposition von Oracle im
Umfeld der Datenbank-Security.
Deshalb setzt Oracle Database 11g
auf die bewährten Lösungen und
erweitert sie um neue Features und
Funktionen. Da alle Security-Produkte miteinander kombinierbar
sind und die Datenbank diverse Security-Aspekte standardmäßig
abdeckt, können Unternehmen ihre Security-und ComplianceAnforderungen im Bereich der Datenbank effektiv und vollständig
mit Oracle-Mitteln abdecken.
Verschlüsselung und zentrale Benutzerverwaltung
Die Verschlüsselungs- und Prüfsummenverfahren der Advanced Security Option
verhindern, dass vertrauliche Daten bei der Übertragung unbefugt gelesen oder
geändert werden - sie schützen also vor Lauschangriffen und sogenannten man-inthe-middle-attacks. Die verschlüsselte Speicherung auf der Platte sowie in Backups
und Exports verhindert, dass Daten unter Umgehung der Datenbanksoftware gelesen
oder geändert werden bzw. dass Daten auf entsorgten Platten in die falschen Hände
geraten.
 Verschlüsselung von Oracle-
Die Advanced Security Option eröffnet zusätzlich die Möglichkeit, die
Daten im Export
 Anbindung an LDAP-Systeme und
Unterstützung starker
Authentifizierungsverfahren mittels
Kerberos, Radius, PKI und SSLZertifikaten
Datenbankbenutzer in eine zentrale Benutzerverwaltung einzubinden. Eine solche
Benutzerverwaltung auf der Basis eines LDAP-Servers wie z.B. dem Oracle Internet
Directory ist für alle sicherheitsbewußten Unternehmen mit größeren oder sich
häufig verändernden Benutzergruppen ein MUSS.
Produkte: Datenbank Enterprise Edition, Advanced Security Option, Oracle
Identity Management Produkte
DATABASE VAULT
Aufgabenverteilung und Funktionstrennung als Prinzip
 Trennung von Benutzer-, Daten-
Sicherheits- und
Datenbankverwaltung
 Schutz von Benutzerdaten vor
lesendem und schreibendem
Zugriff durch privilegierte Benutzer
 Einsetzbar ohne Änderung
vorhandener Applikationen
Mit Database Vault können die unterschiedlichen Bereiche der
Datenbankadministration auf unterschiedliche Personen verteilt werden. Die vom
Produkt standardmäßig vorgesehene Trennung von Benutzer-, Resourcen- und
Datenbankverwaltung kann modifiziert werden, um unternehmensspezifische
Vorgaben zu implementieren. Das geht so weit, dass Datenbankadministratoren
keine Benutzerdaten lesen oder ändern können (Schutz vor dem sogenannten
Innentäter), dass beliebige SQL-Befehle dem 4-Augen-Prinzip unterworfen oder
applikationsspezifische Administratoren eingerichtet werden können.
Produkte: Datenbank Enterprise Edition, Option Database Vault
September 2010
Oracle Deutschland B.V. & Co. KG - Business Unit Database Technologies
LABEL SECURITY
 Vorgefertigtes Rechtekonzept zur
differenzierten Steuerung des
Zugriffs auf Benutzerdaten
 Einfachste Implementierung über
benutzerdefinierte Labels
 Virtual Private Database (VPD)
Steuerung des Datenzugriffs über Labels
Natürlich kann man den Zugriff auf Benutzerdaten in jeder Oracle-Datenbank
standardmäßig schon sehr differenziert steuern (discretionary access control). Aber
Label Security geht weiter: Über selbst definierte Labels, wird der lesende und
schreibende Zugriff auf Daten so gesteuert, dass ein Benutzer nur auf die Daten
zugreifen kann, die seiner eigenen Geheimhaltungsstufe entsprechen (mandatory
access control / multi level security). Auf diese Weise können beispielsweise die
out-of-the-box
gebräuchlichen Geheimhaltungsstufen von 'streng geheim' bis 'öffentlich'
implementiert werden, aber auch eigene Geheimhaltungsstufen.
Label Security ist eine von Oracle entwickelte Anwendung, die auf der bewährten
Oracle-Technologie 'Virtual Private Database' basiert und seit vielen Jahren bei
zahlreichen Unternehmen im Einsatz ist.
Produkte: Datenbank Enterprise Edition, Option Label Security
TOTAL RECALL
 Archivierung von Benutzerdaten
zum Nachweis ihrer (Nicht-)
Veränderung
 Detaillierter und nicht zu
manipulierender Nachweis jeder
einzelnen Veränderung
 Archivierungsdauer konfigurierbar
über beliebige Zeiträume
 Automatisches Löschen der Daten
nach Ablauf des
Archivierungszeitraums
 Einfachstes Aufsetzen pro Tabelle
innerhalb der Datenbank
Jede Datenänderung lückenlos und im Detail nachverfolgen
Unterschiedliche Gesetze und Richtlinien, aber auch betriebswirtschaftliche
Vorgaben verlangen von Unternehmen einen lückenlosen Nachweis darüber, ob und
wie sich Daten im Laufe der Zeit verändert haben. Bisher wurde das auf
unterschiedlichsten Wegen implementiert. Total Recall eröffnet den Unternehmen
auf einfache Weise die Implementierung mit Datenbankmitteln. Die Dauer der
Archivierung und den Zeitpunkt des automatischen Löschens bestimmen die
Unternehmen nach ihren Vorgaben. Zusätzlich schützt Total Recall archivierte
Daten vor Veränderungen.
Total Recall ist völlig transparent für bestehende Anwendungen und kann daher
selbst auf laufenden Systemen problemlos implementiert werden.
 Transparent für Applikationen
Produkte: Datenbank Enterprise Edition, Option Total Recall
AUDIT VAULT
Konsolidiertes Auditing für das ganze Unternehmen
Audit Vault ist Oracles Data Warehouse für Auditing-Informationen. Es ermöglicht
 Konsolidiert alle im Unternehmen
anfallenden Audit-Informationen
 Zur Zeit verfügbar für Oracle- und
SQL*Server-Datenbanken
 Schützt Audit-Daten vor
Veränderung
 Auswertungen im Lieferumfang
das zentrale Erfassen und übergreifende Auswerten von Auditing-Informationen aus
allen Oracle und SQL*Server-Datenbanken des gesamten Unternehmens. Da die
Auditing-Informationen unmittelbar nach ihrer Entstehung aus den dezentralen
Systemen in das Audit Vault Warehouse übertragen werden, sind die Daten
gleichzeitig geschützt vor Manipulationen in diesen dezentralen Systemen. Da Audit
Vault die gesammelten Informationen standardmäßig mit den Mitteln des
enthalten
 Eigene Auswertungen möglich
automatisch mitinstallierten Database Vault schützt, können die Auditing Daten
auch nicht im zentralen System unerlaubt manipuliert werden. Da das AuditingVerhalten der dezentralen Systeme ausserdem vom Audit Vault aus zentral zu
beobachten und zu steuern ist, erleichtert Audit Vault das Implementieren
einheitlicher unternehmensweiter Auditing-Standards.
Dem Auditor erleichtert Audit Vault durch mitgelieferte und selbst zu definierende
Auswertungen einen einfachen, flexiblen und zentralen Zugriff auf sämtliche
konsolidierte Informationen der zu auditierenden Systeme.
Produkte: Audit Vault Server, Audit Vault Collection Agent
September 2010
Oracle Deutschland B.V. & Co. KG - Business Unit Database Technologies
Herunterladen