Daten „von innen heraus“ so sicher verwalten, dass Cyber Angriffe am Schutzschild einer Datenbank abprallen Rainer Meisriemler ORACLE Deutschland B.V. & Co. KG Liebknechtstr.35 70565 Stuttgart email: [email protected] Tel: 0711/72840162 Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Safe Harbor Statement The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 2 Aktuelles: Verteilung der Angriffe im Internet Stand 11.1.2017 Quelle: http://www.sicherheitstacho.eu Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Die Anzahl der Cyberattacken steigt und Angriffe werden zunehmend anspruchsvoller • Unternehmen / Behörden sind einer unendlich großen Anzahl und Vielfalt von Bedrohungen durch Cyberattacken ausgesetzt (Tendenz steigend) – Script Kiddies, Insider, Aktivisten, Regierungen, Terroristen, Kleinkriminelle und org. Kriminelle, .... • Schwierig zu entdecken und zu verhindern • Kein Unternehmen/Behörde kann garantieren ohne Schadsoftware zu sein • Ein gutes Sicherheitskonzept muss davon ausgehen, bereits einen Angreifer im Haus zu haben / infiltriert zu sein Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 4 Security Konzept: Burggraben, Burgmauer, Burg-... SECURITY in jeder Schicht SECURITY zwischen den Schichten SECURITY zwischen Systemen S E C U R I T Y S E C U R I T Y S E C U R I T Y S E C U R I T Y S E C U R I T Y S E C U R I T Y S E C U R I T Y Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 1 Datenbankhärtung • Warum überhaupt nötig – Datenbanken sind heute extrem mächtig und damit auch komplex – Sehr oft haben Datenbanken eine Historie – Auch Administratoren sind nur Menschen • Quellen: – Jeder Hersteller liefert entsprechende Dokumentation – Neutrale Stellen wie BSI, NIST liefern Anregungen – Neutrale Firmen bieten die Dienstleistung an Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 1 Datenbankhärtung • Beispiele aus der Praxis: Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 2 Kontrolle / Was muss wann nachvollziehbar sein? Datenbank Audit Anforderungen Accounts, Roles & Permissions Berichte über GRANT und REVOKE Aktivitäten? SOX PCI DSS HIPAA Basel II FISMA GLBA ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● Failed Logins Berichte über misslungene Anmeldeversuche und andere Besonderheiten? Privileged User Activity Berichte über DBA Aktivitäten? Access to Sensitive Data Berichte über Leseoperationen auf sensitive Daten (SELECTs)? Schema Changes Informationen über CREATE, DROP und ALTER Befehle auf relevanten DB Objekten? ● Data Changes Berichte über Datenveränderungen (Insert, Update, Merge, Delete)? ● ● Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 2 Kontrolle / Datenauditierung • Herausforderungen – – – – – – Auditieren ist komplex Auditing sollte nicht einfach ausschaltbar sein Auditing sollte Performance nicht beeinflussen Datenvolumen kann groß werden Housekeeping & Langzeitaufbewahrung der Auditinformationen Verschiedene Audit Datenquellen: • Mandatory Audit, SYS Audit, Standard DB Audit, Fine grained auditing , Log Files ..... Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 2 Möglichkeit: Das Data Warehouse für Audit-Daten Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 3 Verschlüsselung • Daten gehen im Klartext über das Netzwerk, jeder kann mitlesen • Daten stehen im Klartext auf der „Festplatte“ • • • • Angreifer kann mit einfachen Mitteln die Daten lesen Storage Administrator kann Festplatten clonen OS und DB Administrator kann Festplatten auslesen ..... • Ein Virtualisierungsadministrator (z.B. VMWare...) kann ganze Systeme clonen • Ein Cloud Administrator kann ganze Systeme clonen • Daten stehen unverschlüsselt im Backup Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 3 Verschlüsselung • Angriffsmöglichkeiten der Praxis: Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 3 Verschlüsselung • Unabsichtliche Verschlüsselung z.B. Ransomeware • Lösungsansatz: logischer Datenbankspiegel Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 3 Verschlüsselung • Wichtige Aspekte: – – – – Transparenz (für die Anwendung und den Betrieb) Alle Informationen auch z.B. Backups sollten verschlüsselt werden Support der Hersteller sollte beachtet werden Performanceauswirkungen sollten beachtet werden Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 4 Erweiterte Zugriffskontrolle • Warum überhaupt nötig – Separation of Duty/SOD wird oft gefordert (aber selten eingeführt) – Systemverwalter müssen keine Echtdaten sehen oder bearbeiten können • Angriffsmöglichkeiten der Praxis: – jedes Werkzeug das SQL versteht • Lösungsansätze: – Kontrollierte Sprungserver – Database Activity Monitoring/Control Werkzeuge – Oracle Database Vault Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 5 Kontrolle der Anwendung • SQL-Injection – Definition: https://de.wikipedia.org/wiki/SQL-Injection – Unnötig wenn die Anwendungen korrekt sind (aber selten garantiert) • Angriffsmöglichkeiten der Praxis: Anwendung: SQL-Injection Datenbank: Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 5 Kontrolle der Anwendung • Lösungsansatz: SQL Firewall Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Agenda/Themen 1 Basis Härtung 2 Kontrolle Monitoring 3 Verschlüsselung 4 Erweiterte Zugriffskontrolle 5 Kontrolle der Anwendung 6 Fazit - Zusammenfassung Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 19 5 Fazit • Es gibt keinen einzelnen Sicherheitsschalter • Kombination von verschiedenen Techniken ist sinnvoll • Organisatorische Massnahmen und regelmässige Kontrollen sind essentiell • Aber es ist machbar ! Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 6 Quellen • kostenfreies DBSat Werkzeug von Oracle: – My Oracle Support ID 21382541.1, ‘Oracle Database Security Assessment Tool (DBSAT)’. • Überblick Sicherheit: – https://www.oracle.com/database/solutions/index.html#database-security – https://www.oracle.com/security/index.html • Überblick Hochverfügbarkeit: – http://www.oracle.com/technetwork/database/features/availability/maa-096107.html – http://www.oracle.com/technetwork/database/availability/maa-reference-architectures-2244929.pdf • Datenbank Checklisten: – https://web.nvd.nist.gov/view/ncp/repository/checklist/download?id=12516&checklistId=667 – https://benchmarks.cisecurity.org/downloads/show-single/?file=oracle12c.110 – https://security.uri.edu/uploads/CIS_Oracle_Database_12c_Benchmark_v1.0.0.pdf Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |