Oracle Database 10g Release 2 Database Vault Ein Oracle White Paper April 2006 Oracle Database 10g Release 2 Database Vault EINFÜHRUNG Ein präziser und zeitgerechter Zugriff auf Informationen, das Einhalten gesetzlicher und sonstiger Vorgaben, erfolgreiches Bestehen interner und externer Überprüfungen und Audits, der Schutz von datenschutzrelevanten Informationen, Sicherung von Anwendungen und Datenbanken – das sind nur einige der Anforderungen, denen sich das heutige IT-Management gegenübersieht. Bei den traditionellen Sicherheitsmaßnahmen verließ man sich darauf, dass die Anwendung Zugriffskontrollen für ihre User durchführte, dass der Datenbankadministrator die Verfügbarkeit von Datenbanken und Anwendungen gewährleistete und dass Netzwerkrouter und Firewalls den Zugriff auf Datenbanken und Anwendungen einschränkten. Zwar sind Probleme wie die Bedrohung von Innen nichts Neues, doch das Missbrauchspotenzial ist auf Grund der Menge der schutzwürdigen Informationen und der Bereitschaft krimineller Organisationen und Einzeltäter, für solche Informationen zu zahlen, noch nie höher gewesen als heute. Die Art und das Ausmaß der Gefährdung von Informationen erfordern heute technisch ausgereiftere Mechanismen innerhalb der Datenbank. Sicherheitstechnologien sind jedoch nur dann effizient, wenn sie automatisiert werden können, transparent sind, flexibel und anpassungsfähig präventiv schützen und durch Audits und Berichte überprüfbar sind. Database Vault erfüllt diese wichtigsten Sicherheitsanforderungen und bietet Automatisierung, Transparenz sowie präventiven und nachvollziehbaren Datenschutz mit einer innovativen Sicherheitsmethode, die dem Schließfach einer Bank nachempfunden ist. Oracle Database 10g Release 2 - Database Vault Seite 2 Abbildung 1.0 – Oracle Database 10g Release 2 - Database Vault Mit Hilfe von Realms vereinfacht Database Vault den Schutz der vorhandenen Anwendungen und verhindert den Zugriff auf Anwendungsdaten durch den DBA oder andere hochprivilegierte User innerhalb der Datenbank. Oracle Database Vault führt Berechtigungsprüfungen über zahlreiche Faktoren und eine Rules Engine ein, um Datenbanken und Anwendungen noch besser zu schützen. Faktorenprüfungen und Regeln dienen dabei als zusätzliche Ergänzung der bereits vorhandenen Zugriffsberechtigungen auf Anwendungsdaten. Oracle Database Vault erzwingt dieAufgabenverteilung und Funktionstrennung. Diese sind entscheidende Voraussetzungen, wenn Anwendungen und Datenbanken zusammengefasst werden. Database Vault stellt sicher, dass privilegierte DBAs ausschließlich die Datenbank verwalten, jedoch keinen Zugriff auf die Anwendungsdaten erhalten. Schließlich bietet Oracle Database Vault AuditMöglichkeiten und ein umfassendes Set an Out-of-the-box-Sicherheitsberichten, mit denen die Einhaltung gesetzlicher und sonstiger Vorschriften auch für interne und externe Prüfungen und Audits nachweisbar wird. VERHINDERN DES DBA-ZUGRIFFS AUF ANWENDUNGEN Datenbankadministratoren spielen eine wichtige Rolle bei der Verwaltung von Datenbanken. Das Sicherstellen der Performance, der ständigen Verfügbarkeit und das Backup/Recovery gehören zu ihren beruflichen Aufgaben. Auf Grund dieser Verpflichtungen gehört die Tätigkeit eines DBA zu den vertrauenswürdigsten in einem Unternehmen. Gleichwohl sollte der DBA nicht auf Anwendungsdaten zugreifen müssen, die sich innerhalb der Datenbank befinden. Dieselbe Regel sollte für hochprivilegierte User gelten, etwa für die Eigentümer von Anwendungen. Diese hochprivilegierten User sollten ihre Rechte nicht dazu verwenden dürfen, auf Anwendungsdaten außerhalb ihrer eigenen Anwendung zuzugreifen. Database Vault Realms verhindern, dass DBAs, Eigentümer von Anwendungen und andere Oracle Database 10g Release 2 - Database Vault Seite 3 privilegierte User Daten außerhalb ihres Aufgabenbereichs einsehen können. Gleichzeitig gestatten Database Vault Realms dem DBA und dem Eigentümer der Anwendung, weiter in ihrem Aufgabenbereich zu arbeiten. Realms können einen Schutzmantel um spezifische Verzeichnisse oder um eine ganze Anwendung legen. Realms verhindern so, dass sogar höchstprivilegierte User einschließlich DBA, SYSOPER und SYSDBA auf Anwendungsdaten zugreifen. Abbildung 1.1 – Schutz einer Anwendung durch ein Database Vault Realm Oracle Database 10g Release 2 - Database Vault Seite 4 SICHERUNG KONSOLIDIERTER DATENBANKEN UND ANWENDUNGEN Die Konsolidierung von Datenbanken führt zu enormen Kosteneinsparungen und präziseren Geschäftsinformationen. Sie kann auch zur Folge haben, dass wesentlich mehr DBAs und andere hochprivilegierte User auf einer einzelnen Datenbank arbeiten. Database Vault Realms enthalten zusätzliche Sicherheitskontrollen, mit denen ein unberechtigter Datenzugriff durch DBAs oder andere privilegierte User in einer konsolidierten Datenbank verhindert werden kann. Mit Database Vault Realms können die Vorteile der Datenbankkonsolidierung ohne Sicherheitsrisiko erreicht werden. Abbildung 1.2 zeigt, wie ein Realm um die Personal-Anwendung verhindert, dass der DBA Personal-Daten einsehen kann, und wie ein Realm verhindert, dass der Eigentümer der Personal-Anwendung Daten einer Finanzanwendung einsehen kann. Abbildung 1.2 – Datenbankkonsolidierung und Database Vault Realms Oracle Database 10g Release 2 - Database Vault Seite 2 SCHUTZ VOR DER BEDROHUNG VON INNEN Seit Jahren gelten Würmer, Viren und externe Hacker als die größte Bedrohung für Computersysteme. Dabei wird oft übersehen, dass jemand, dem Vertrauen entgegengebracht wird und der Sonderrechte oder besondere Zugriffsmöglichkeiten genießt, Daten stehlen oder verändern könnte. Database Vault schützt mit Hilfe von Realms, Faktoren und Befehlsregeln vor kriminellen Mitarbeitern im eigenen Unternehmen. Gemeinsam gewährleisten diese Mechanismen höchste Sicherheit und helfen, den Zugriff auf Datenbanken, Anwendungen und schutzwürdige Informationen zu sichern. Regeln und Faktoren lassen sich so miteinander verknüpfen, dass sie die Bedingungen kontrollieren, unter denen Befehle in den Datenbanken ausgeführt werden dürfen. Regeln und Faktoren können so kombiniert werden, dass sie den Zugriff auf Daten kontrollieren, die von einem Realm geschützt werden. Beispielsweise können Regeln und Faktoren, etwa IP-Adresse, Tageszeit und Programmname, so kombiniert werden, dass der Zugriff innerhalb festgelegter Betriebszeiten auf diejenigen Verbindungen begrenzt wird, die aus dem Middle-Tier stammen. Hierdurch kann ein unberechtigter Zugriff auf Anwendung und Datenbank durch unberechtigte Anwendungen verhindert werden. Abbildung 1.3 zeigt ein Beispiel für die Zugriffsbeschränkung auf einen spezifischen Middle-Tier unter festgelegten zeitlichen Bedingungen. Abbildung 1.3 – Database Vault – Faktoren und Regeln Database Vault – Faktoren Database Vault enthält eine Reihe von vorinstallierten Faktoren, die mit anderen Faktoren für den Zugriff auf Datenbanken, realmgeschützte Anwendungen und Befehle innerhalb der Datenbank kombiniert werden können. Tabelle 1.0 unten zeigt eine Auswahl der in Database Vault vorinstallierten Faktoren. Mit Hilfe der administrativen, browserbasierten oder kommandozeilenorientierten Schnittstellen können individuelle Faktoren festgelegt werden. Abbildung 1.4 unten zeigt die Oracle Database 10g Release 2 - Database Vault Seite 2 graphische administrative Schnittstelle von Database Vault zur Festlegung individueller Faktoren. Tabelle 1.0 – Database Vault – Faktoren Abbildung 1.4 – Database Vault – Individuelle Erstellung von Faktoren Oracle Database 10g Release 2 - Database Vault Seite 3 Database Vault – Befehlsregeln . Regeln und Faktoren können mit Dutzenden von Befehlen innerhalb der Datenbank verknüpft werden. Mit Regeln können strengere interne Kontrollen innerhalb der Datenbank realisiert und den Betriebsrichtlinien entsprechend angepasst werden. Beispielsweise kann eine Regel erstellt werden, um die Ausführung des Befehls ALTER SYSTEM auf eine spezifische IP-Adresse und einen spezifischen Hostnamen zu beschränken. Tabelle 1.1 zeigt einen Überblick über die Datenbankbefehle, die mit Hilfe der administrativen Schnittstellen von Database Vault mit Regeln verknüpft werden können. Tabelle 1.1 – Database Vault – Datenbankbefehle, die mit Regeln verknüpft werden können EINHALTEN VON VORSCHRIFTEN Einer der wichtigsten Nebeneffekte, die die Erfüllung gesetzlicher Vorschriften mit sich bringt, ist ein gesteigertes Sicherheitsbewusstsein. Das Augenmerk der ITAbteilung lag bisher auf hoher Verfügbarkeit und Performance. Durch das verstärkte Augenmerk auf Einhaltung gesetzlicher und sonstiger Vorgaben muss jeder einen Schritt zurücktreten und IT-Infrastruktur, Datenbanken und Anwendungen aus dem Blickwinkel der Sicherheit betrachten. Die üblichen Fragestellungen lauten dabei: Wer hat Zugriff auf die Informationen? Wo werden schutzwürdige Informationen gespeichert? Vorschriften wie Sarbanes-Oxley (SOX), der Healthcare Insurance Portability and Accountability Act (HIPAA), Basel II, das japanische Datenschutzgesetz und die EU-Datenschutzrichtlinie über elektronische Kommunikation haben gemeinsame Aspekte wie etwa interne Oracle Database 10g Release 2 - Database Vault Seite 4 Kontrollen, Aufgabenverteilung und Trennung von Funktionen sowie Zugriffskontrollen. Während der Großteil der vorgeschriebenen Änderungen verfahrenstechnischer Natur ist, könnte der restliche Teil Technologieinvestitionen erforderlich machen. Eine häufige Sicherheitsanforderung sind erhöhte interne Kontrollen. In welchem Maße Database Vault einem Unternehmen bei der Erfüllung von Vorschriften helfen kann, ist je nach Richtlinie unterschiedlich. Generell sind Realms, Aufgabenteilung und Funktionstrennung, Befehlsregeln und Faktoren in Database Vault geeignet, das Gesamtrisiko im Hinblick auf die jeweils geltenden Vorschriften zu verringern. Tabelle 1.2 – Gesetzliche Richtlinien und mögliche Gefährdungen AUFGABENVERTEILUNG UND FUNKTIONSTRENNUNG Aus Sicherheitsgründen wird die Verwaltung des Database Vault von der laufenden Oracle DBA-Tätigkeit getrennt. Die Database Vault-Informationen werden von einem Realm geschützt. So wird verhindert, dass der DBA die Realm-Definitionen, Faktoren und Befehlsregeln zu verändern versucht, die innerhalb des Database Vault festgelegt wurden. Durch diese Architektur der Aufgabenverteilung und Funktionstrennung werden vorschriftsmäßig notwendige interne Kontrollen realisiert. Um die Sicherheit innerhalb der Datenbank noch weiter zu erhöhen, platziert Database Vault zusätzliche Realms um schutzwürdige Objekte des Data Dictionary von SYS und Oracle Label Security. Zu den von Database Vault geschützten Objekten gehören Rollen wie DBA, IMP_FULL_DATABASE und EXP_FULL_DATABASE. Database Vault Realms verhindern, dass die Rolle DBA mit GRANT vergeben wird, nachdem Database Vault installiert wurde. Zusätzlich überträgt Database Vault ausschließlich der Person, die für die Benutzerverwaltung zuständig ist und die dazu die Rolle DV_ACCTMGR erhalten Oracle Database 10g Release 2 - Database Vault Seite 5 hat, das Recht, neue Datenbankbenutzer anzulegen. Diese Regelung gilt auch dann, wenn es Benutzer gibt, die das Recht haben, mit CREATE USER neue Benutzer anzulegen. Mit anderen Worten: Selbst dann, wenn jemand mit CREATE USERRecht versucht, einen neuen Datenbankbenutzer anzulegen, blockiert Database Vault die Aktion. Bei der Installation legt Database Vault ein Realm für das Oracle Data Dictionary und ein weiteres für das Benutzermanagement an und gewährleistet so die Funktionstrennung und Aufgabenverteilung. Darüber hinaus können Befehlsregeln und Faktoren eingesetzt werden, um Database Vault individuell an die eigenen Gegebenheiten anzupassen und um Bedingungen festzulegen, unter denen spezifische Datenbankbefehle ausgeführt werden können. Tabelle 1.1 oben führt einige Befehle auf, für die Regeln und Faktoren kombiniert werden können, um sie an die eigenen Bedürfnisse anzupassen. Abbildung 1.5 unten zeigt die standardmäßig installierten Database Vault Realms. Abbildung 1.5 – Database Vault – Standardmäßig installierte Realms Oracle Database 10g Release 2 - Database Vault Seite 6 VORINSTALLIERTE BERICHTE Database Vault bietet über drei Dutzend sicherheitsbezogene, im Lieferumfang enthaltene Berichte. Zu den Berichten gehört z.B. ein Bericht über versuchte Verstöße gegen aktive Realms. So erstellt Database Vault schon bei dem Versuch eines DBAs, an Daten aus einer realmgeschützten Tabelle mit Benutzerdaten zu gelangen, ein Audit-Protokoll in einer besonders geschützten Tabelle innerhalb von Database Vault. Abbildung 1.6 – Database Vault – Berichte INTEGRATION MIT DER OPTION ORACLE ADVANCED SECURITY Oracle Database Vault kann mit Features der Option Oracle Advanced Security wie transparente Datenverschlüsselung, Netzwerkverschlüsselung und sichere Authentifizierung kombiniert werden. Mit Hilfe der transparenten Datenverschlüsselung können spezifische schutzwürdige Daten transparent verschlüsselt werden, ohne dabei das vorhandene Anwendungs-SQL zu verändern. Zusätzlich können Datenbank-Backups mit Hilfe von Oracle RMAN vollständig auf der Sicherungsplatte verschlüsselt werden. Hierdurch wird ein hoher Schutz bei Mediendiebstahl gewährleistet. Die Netzwerkverschlüsselung mittels StandardAlgorithmen wie dem Advanced Encryption Standard von Oracle Advanced Security schützt vor der Bedrohung des Network Sniffing. Für eine noch höhere Sicherheit kann die sichere Authentifizierung von Oracle Advanced Security anstelle der Usernamen- und Passwort-Authentifizierung verwendet werden. Oracle Database 10g Release 2 - Database Vault Seite 2 ADMINISTRATIVE SCHNITTSTELLE Oracle Database Vault besitzt eine administrative Schnittstelle auf Basis der Oracle Enterprise Manager-Normen. Mit Hilfe dieser Schnittstelle können Realms, Befehlsregeln, Faktoren, Regelgruppen, Berichte und Integration in andere Sicherheitsprodukte wie Oracle Label Security gesteuert werden. Abbildung 1.7 – Database Vault – Administrationsschnittstelle INTEGRATION IN DIE OPTION ORACLE LABEL SECURITY Database Vault ist so in Oracle Label Security integriert, dass einzelnen Faktoren Sicherheits-Labels wie GEHEIM oder VERTRAULICH zugewiesen werden können. Mit diesem leistungsstarken Feature können Unternehmen ihre auf unterschiedlichen Faktoren beruhenden Berechtigungsprüfungen noch erweitern. Angenommen, ein in Database Vault verwendeter Faktor ist die IP-Adresse. Mit Hilfe der administrativen Schnittstelle von Database Vault kann der IP-Adresse ein Sicherheits-Label zugewiesen werden. Wenn eine Verbindung mit der Oracle Datenbank hergestellt wird, bewertet Database Vault das der verbindenden IPAdresse zugewiesene Sicherheits-Label und vergleicht es mit dem Berechtigungsstatus, der dem User zugewiesen wurde, der sich mit der Datenbank verbindet. Während dieses Vergleichs fordert Database Vault Oracle Label Security dazu auf, den aktuellen Berechtigungsstatus des verbindenden Users so abzusenken, dass er dem Sicherheits-Label für die IP-Adresse der eingehenden Verbindung entspricht oder dieses nicht übersteigt. Oracle Database 10g Release 2 - Database Vault Seite 3 Abbildung 1.8 – Database Vault – Integration in Oracle Label Security SCHLUSSBEMERKUNG Seit mehr als 25 Jahren ist Oracle führend im Bereich Datenbanksicherheit. Database Vault setzt diese Tradition fort, indem es die Sicherheitsfeatures der Oracle Datenbank um Realms, Befehlsregeln und Berechtigungsprüfungen auf der Basis unterschiedlichster Faktoren sowie Aufgabenverteilung und Funktionstrennung ergänzt. Mit Hilfe von Realms wird dem DBA und anderen privilegierten Datenbank-Usern der Zugriff auf Anwendungsdaten ganz einfach vorenthalten. Mit Berechtigungsprüfungen auf der Basis unterschiedlichster Faktoren kann der Zugriff auf Anwendungen, Datenbanken und spezifische Datenbankoperationen auf Grundlage von Variablen wie Tageszeit, IP-Adresse und Hostname streng kontrolliert werden. Durch die Berichtsfähigkeit von Database Vault erhalten Prüfer und Auditoren einfachen Zugriff auf die Sicherheits- und Audit-Informationen von Database Vault. Database Vault erzwingt die Aufgabenverteilung und Funktionstrennung, indem es die laufende Oracle DBATätigkeit von der Verwaltung der Database Vault-Sicherheit trennt. Database Vault unterstützt die Erfüllung technischer Sicherheitsanforderungen in Bezug auf interne Kontrollen und Betriebsrisiken in Vorschriften wie Sarbanes-Oxley und der EUDatenschutzrichtlinie über elektronische Kommunikation.. Database Vault gewährleistet hervorragende Sicherheit für konsolidierte Anwendungen und Datenbanken, bei denen mehrere DBAs und hochprivilegierte User innerhalb derselben Datenbank koexistieren können. Kurz gesagt: Database Vault liefert Automatisierung, Transparenz, präventiven Schutz und ermöglicht das Erkennen von Verstößen gegen Richtlinien. Damit unterstützt Database Vault Schlüsselaspekte der aktuellen strengen Sicherheitsanforderungen. Oracle Database 10g Release 2 - Database Vault Seite 4 Oracle Database 10g Release 2 Database Vault April 2006 Author: Paul Needham Oracle Corporation World Headquarters 500 Oracle Parkway Redwood Shores, CA 94065 U.S.A. Internationale Anfragen: Telefon: +1.650.506.7000 Fax: +1.650.506.7200 oracle.com Copyright Copyright © 2006, Oracle. Alle Rechte vorbehalten. Dieses Dokument dient nur zu Informationszwecken, sein Inhalt kann ohne vorherige Ankündigung geändert werden. Für dieses Dokument wird keine Fehlerfreiheit garantiert, und es unterliegt keinen anderen mündlichen oder gesetzlichen Gewährleistungen oder Bedingungen, einschließlich gesetzlicher Gewährleistungen und Bedingungen bezüglich der allgemeinen Gebrauchstauglichkeit oder Tauglichkeit für einen bestimmten Zweck. Wir lehnen insbesondere jegliche Haftung im Hinblick auf dieses Dokument ab, und durch dieses Dokument ergeben sich weder direkt noch indirekt vertragliche Verpflichtungen. Dieses Dokument darf ohne unsere schriftliche Erlaubnis weder elektronisch noch mechanisch in jeglicher Form oder mit jeglichen Mitteln zu jeglichem Zweck reproduziert oder übermittelt werden. Oracle, JD Edwards, PeopleSoft und Retek sind eingetragene Marken der Oracle Corporation und/oder ihrer angeschlossenen Unternehmen. Andere Namen sind Marke ihrer entsprechenden Eigentümer.