In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Datenbanken

Oracle Database Security - Robotron Datenbank

Werbung 
Oracle Whitepaper
Juni 2009
Oracle Database 11g: Kosteneffektive
Lösungen für Sicherheit und
Richtlinienkonformität
Oracle White Paper – Datenbanksicherheit mit Oracle
Schutz vertraulicher Informationen
Informationen wie Betriebsgeheimnisse, Finanzdaten und persönliche Daten aller Art
sind zum Ziel ausgefeilter Angriffe geworden, und zwar von beiden Seiten der Firewall.
Die meisten Unternehmen setzen zwar seit langem Firewalls sowie Technologien zur
Erkennung von Angriffen und Abwehr von Spam ein, der Datenschutz erfordert
heutzutage jedoch eine DiD-Strategie (Defense-in-Depth), die auch die Einhaltung
gesetzlicher Richtlinien umfasst. Mit 30 Jahren Erfahrung im Bereich der
Datenbanksicherheit bietet die Oracle Database Defense-in-Depth-Sicherheitskontrollen,
die Unternehmen einen transparenten Datenschutz ermöglichen. Durch die Nutzung
dieser Kontrollen sind Unternehmen in der Lage, ihre Daten zu schützen und die
Einhaltung von Richtlinien kosteneffektiv und nachhaltig durchzusetzen.
Sicherheitsfaktoren
Technischer Fortschritt hat das Internet und die Globalisierung der Märkte möglich
gemacht und so dazu beigetragen, dass Unternehmen Kosten reduzieren und ihre
Produktivität drastisch steigern konnten. Gleichzeitig ist er jedoch auch der Grund,
warum Angriffe auf Daten nun von jedem Ort der Welt gestartet werden können.
Geschäftsmotive wie Datenkonsolidierung, Globalisierung, richtige Sourcing-Strategien
und Cloud Computing werden für die Reduzierung von Kosten immer wichtiger. Diese
Anforderungen können jedoch ohne angemessene Sicherheitskontrollen und innovative
Sicherheitslösungen nicht erfüllt werden. Die Herausforderung besteht nicht allein darin,
Daten sicher zu machen, sondern dabei die Skalierbarkeit, Leistung und Verfügbarkeit
von Anwendungen nicht zu beeinträchtigen.
1
Oracle White Paper – Datenbanksicherheit mit Oracle
Abb. 1: Globale Sicherheit im Unternehmen
Der Schutz vor versehentlichem und absichtlichem Datenverlust durch Insider erfordert
die Anwendung von zwei Prinzipien: einerseits das „Need-to-Know-Prinzip“, andererseits
das Prinzip „Vertrauen ist gut, Kontrolle ist besser“. Mehrere Länder, einschließlich den
USA und Japan, haben bereits Gesetze zur internen Kontrolle von Finanzdaten erlassen.
Darüber hinaus werden immer häufiger Gesetze zum Datenschutz erlassen, die eine
Verschlüsselung personenbezogener Daten fordern. So haben in den USA mehr als 40
Staaten bereits Gesetze zur Benachrichtigung bei Datenschutzverletzungen eingeführt.
Gleichzeitig fordern Brancheninitiativen wie der Datensicherheitsstandard der Payment
Card Industry (PCI) die Beschränkung des Zugriffs auf Kreditkarteninformationen.
DiD-Sicherheit (Defense-in-Depth)
Die DiD-Datensicherheit beinhaltet einen ganzheitlichen Ansatz im Bereich des
Datenschutzes. Um diesen umzusetzen muss der gesamte Lebenszyklus der Daten
berücksichtigt werden: wo sich die Daten befinden, welche Anwendungen auf sie
zugreifen und wer unter welchen Bedingungen auf die Daten zugreift. Gleichzeitig muss
sichergestellt werden, dass Systeme ordnungsgemäß konfiguriert werden und auch
bleiben. Die drei Schlüsselelemente für diesen Ansatz sind Datenverschlüsselung und maskierung, Zugriffskontrolle und Überwachung:
2
Oracle White Paper – Datenbanksicherheit mit Oracle
Abb. 2: Defense-in-Depth
Verschlüsselung und Maskierung sind wichtig für den Schutz der Daten außerhalb der
Zugriffskontrolle der Datenbank. Festplattendaten, die sich unterhalb der Datenbank- und
Anwendungsschichten befinden, Daten in Test- und Entwicklungsumgebungen, Daten,
die über das Netzwerk übertragen werden und Daten auf Backupmedien benötigen einen
Schutz, den nur Verschlüsselung und Maskierung bieten können. Ausrangierte
Festplatten und Administratorberechtigungen für Betriebssysteme ermöglichen den
ungehinderten Zugriff auf vertrauliche Daten unter Umgehung der Authentifizierungs- und
Zugriffskontrollregeln innerhalb der Datenbanken. Wenn Produktionsdaten für Test- und
Entwicklungszwecke in andere Abteilungen verschoben werden, bedeutet dies häufig,
dass Personen ohne dringenden Grund vertrauliche Daten einsehen können. Zweifellos
sind Daten jedoch beim Transport über das Internet am meisten gefährdet, Ziel
unbefugter Zugriffe zu werden.
Zugriffskontrollen, die über die Anwendungsebene hinausgehen, sind inzwischen
unerlässlich, damit Unternehmen die Vorteile von Datenkonsolidierung,
Datenauslagerung und Cloud Computing nutzen können. In der Vergangenheit wurden
Anwendungen im Hinblick auf die Anpassung an Internetanforderungen entwickelt und
mit rollenbasierten Zugriffsrechten versehen. Heute jedoch erfordern Richtlinien und
Gesetze zum Datenschutz eine Beschränkung des Zugriffs auf Anwendungsdaten, sogar
für Datenbankadministratoren und speziell für Adhoc-Tools, mit deren Hilfe
Anwendungen umgangen werden können.
3
Oracle White Paper – Datenbanksicherheit mit Oracle
Verschlüsselung und Zugriffskontrolle sind zwar die Hauptkomponenten für den
Datenschutz. Aber auch das beste Sicherheitssystem ist anfällig, wenn kein
entsprechendes Überwachungssystem vorhanden ist. So wie Videokameras akustische
Alarmsysteme im Privat- und Geschäftsbereich ergänzen, komplettiert das
Überwachungssystem die Verschlüsselungs-, Maskierungs- und Zugriffskontrollsysteme,
indem es Antworten auf die Fragen wer, was und wann bietet.
DiD-Sicherheitslösung von Oracle
Oracle stellt umfassende und transparente DiD-Lösungen bereit, die den
Herausforderungen gerecht werden, vor denen die heutige globale Wirtschaftswelt im
Hinblick auf Geschäftsmodelle und angesichts der Komplexität des regulatorischen
Umfelds steht.
Abb. 3: DiD-Lösung von Oracle
4
Oracle White Paper – Datenbanksicherheit mit Oracle
Verschlüsselung und Maskierung
•
Oracle Advanced Security bietet Transparenz bei der Verschlüsselung von
gespeicherten Daten und Daten im Transfer.
•
Oracle Secure Backup ist eine Backup-Band-Lösung zur Verschlüsselung von Daten in
Datenbanken und Dateisystemen.
•
Oracle Data Masking macht Produktionsdaten unkenntlich, bevor diese für Tests oder
an Partner weitergegeben werden.
Zugriffskontrolle
•
Oracle Database Vault verhindert den Zugriff durch den DBA oder andere privilegierte
Benutzer und ermöglicht die Echtzeitkontrolle von Datenbankaktivitäten.
•
Oracle Label Security bietet Zugriffskontrolle durch Datenklassifizierung.
Überwachung
•
Das Configuration Management des Oracle Enterprise Managers prüft die Datenbank
und das Dateisystem auf sicherheitsrelevante Konfigurationseinstellungen.
•
Oracle Audit Vault konsolidiert Audit-Daten von mehreren Servern, ermöglicht die
Verfolgung von Benutzeraktivitäten und erstellt Berichte und Warnmeldungen zu
auffälligen Aktivitäten.
•
Oracle Total Recall stellt Informationen zum Änderungsverlauf sensibler Daten bereit.
Verschlüsselung und Maskierung
Transparente Datenverschlüsselung
Oracle bietet zuverlässige Verschlüsselungslösungen zum Schutz sensibler Daten vor
unbefugtem Zugriff auf Betriebssystemebene und zum Schutz vor Datendiebstahl von
5
Oracle White Paper – Datenbanksicherheit mit Oracle
Hardware oder Backupmedien. Oracle Transparent Data Encryption (TDE) erfüllt
Datenschutz- und PCI-Anforderungen durch die Verschlüsselung personenbezogener
Daten wie Sozialversicherungs- und Kreditkartennummern.
Abb. 4: Verschlüsselung und starke Authentifizierung mit Oracle
Oracle unterstützt die transparente Verschlüsselung spezieller Spalten mit vertraulichen
Daten durch die TDE-Spaltenverschlüsselung und kompletter Anwendungen über die
TDE-Tablespace-Verschlüsselung. Mithilfe von Oracle Enterprise Manager können
Spalten schnell und problemlos verschlüsselt oder komplett verschlüsselte Tablespaces
zur Speicherung aller Anwendungstabellen erstellt werden. TDE ist für bestehende
Anwendungen vollkommen transparent, sodass keine Datenbanktrigger, Ansichten oder
andere Anwendungskomponenten geändert werden müssen. Die Datenverschlüsselung
beim Schreiben auf Festplatte erfolgt transparent, ebenso wie die Datenentschlüsselung,
wenn sich ein Benutzer der Anwendung erfolgreich authentifiziert und alle
Autorisierungsprüfungen bestanden hat. Vorhandene Datenbank-Backuproutinen
funktionieren weiterhin, wobei die Daten beim Backup verschlüsselt bleiben. Zur
Verschlüsselung kompletter Datenbanksicherungen auf Festplatte kann TDE in
Verbindung mit Oracle RMAN verwendet werden. Die TDE-Spaltenverschlüsselung und
die TDE-Tablespace-Verschlüsselung wurden beide für die Verwendung mit Siebel-,
PeopleSoft- und Oracle E-Business Suite-Anwendungen zertifiziert.
Oracle Database 11g unterstützt darüber hinaus die externe Speicherung des TDEMaster-Verschlüsselungsschlüssels auf einem HSM-Gerät (Hardware Security Module)
6
Oracle White Paper – Datenbanksicherheit mit Oracle
über die branchenübliche PKCS#11-Schnittstelle. Auf diese Weise kann der TDE-MasterSchlüssel noch besser gesichert werden.
Verschlüsselung während der Datenübertragung
Oracle Advanced Security ist eine einfach zu implementierende Lösung zum Schutz von
Datenübertragungen an die und von der Oracle Database. Sie bietet eine SSL/TLSbasierte Verschlüsselung und die native Netzwerkverschlüsselung für Unternehmen ohne
PKI-Infrastruktur. Die Oracle Database kann so konfiguriert werden, dass sie
Verbindungen von Clients ohne Datenverschlüsselung ablehnt oder aber optional
unverschlüsselte Verbindungen zulässt, um die für die Bereitstellung erforderliche
Flexibilität zu gewährleisten. Die Konfiguration der Netzwerksicherheit wird mithilfe des
Oracle Network Configuration-Verwaltungstools erleichtert, das Unternehmen die
problemlose Bereitstellung der Netzwerkverschlüsselung ohne weitere
Anwendungsänderungen ermöglicht.
Schutz für Backup-Bänder
Der Verlust oder Diebstahl von Bändern ist häufig der Grund, warum sensible Daten
verloren gehen. Oracle Secure Backup verschlüsselt Bänder und ermöglicht die zentrale
Verwaltung von Backup-Bändern der kompletten Oracle Umgebung. Zudem schützt die
Lösung die Oracle Datenbank und die vorhandenen UNIX-, Linux-, Windows- und NASDateisystemdaten (Network Attached Storage). Oracle Secure Backup kann über
Recovery Manager (RMAN) in die Oracle Datenbank integriert werden und unterstützt die
Versionen Oracle9i bis Oracle Database 11g. Durch die optimierte Integration erfolgt die
Sicherung schneller und mit geringerer CPU-Auslastung als mit vergleichbaren
Medienverwaltungs-Programmen.
Oracle Data Masking
Oracle Data Masking unterstützt Unternehmen bei der Einhaltung des Datenschutzes
und anderer schutzrechtlicher Bestimmungen. Oracle Data Masking bietet die
Möglichkeit, vertrauliche Daten wie Kreditkarten- oder Sozialversicherungsnummern
durch realistische, aber nicht echte Werte zu ersetzen. Auf diese Weise können
Produktionsdaten sicher für Entwicklungs- und Testzwecke verwendet oder an externe
7
Oracle White Paper – Datenbanksicherheit mit Oracle
Partner für andere produktionsfremde Zwecke weitergeleitet werden. Oracle Data
Masking verwendet eine Bibliothek mit Vorlagen und Formatierungsregeln, die die
konsistente Datenumwandlung unterstützt, um die referenzielle Integrität der
Anwendungen nicht zu beeinflussen.
Abb. 5: Oracle Data Masking
Zugriffskontrolle
Die Oracle Database bietet leistungsstarke Funktionen, mit denen Benutzern und Rollen
Berechtigungen für Datenbankobjekte gewährt und entzogen werden können. Angesichts
der neuen Bedrohungen und Herausforderungen erwarten Kunden heute eine
Aufgabentrennung selbst für Administratoren, eine Echtzeit-Zugriffskontrolle, die
bestimmt, wer welche Aufgaben in Datenbanken ausführen darf, und die Möglichkeit,
derartige Lösungen für vorhandene Anwendungen einzusetzen.
Kontrolle privilegierter Benutzer
Die Position von IT-, Datenbank- und Anwendungsadministratoren erfordert höchste
Vertrauenswürdigkeit. Die Einhaltung gesetzlicher Vorschriften, Outsourcing,
Konsolidierung von Anwendungen und zunehmende Bedenken im Hinblick auf interne
Bedrohungen haben jedoch dazu geführt, dass starke Zugriffskontrollen für sensible
Anwendungsdaten schon fast eine zwingende Anforderung darstellen. Oracle Database
Vault bietet Unternehmen die Möglichkeit, privilegierten Benutzern den Zugriff auf
Anwendungsdaten zu verwehren, indem sensible Tabellen- oder Anwendungsdaten in
8
Oracle White Paper – Datenbanksicherheit mit Oracle
ein Realm überführt werden. Administratoren können weiterhin ihre gewohnten Aufgaben
wie Leistungsoptimierung und Datenbankverwaltung ausführen, die sensiblen Daten
jedoch nicht mehr einsehen oder ändern.
Abb. 6: Kontrolle privilegierter Benutzer
Zugriffskontrolle in Echtzeit
Oracle Database Vault ermöglicht eine erhebliche Steigerung der Sicherheit, indem
eingeschränkt wird, wann, wo und wie bestimmte Personen auf Datenbanken und
Anwendungen zugreifen dürfen. Faktoren wie IP-Adresse, Tageszeit und
Authentifizierungsmethode können flexibel verwendet und angepasst werden, um die
Zugriffskontrolle ohne Änderungen an der Anwendung einzusetzen. Der Zugriff kann
z. B. auf eine spezifische Middle Tier beschränkt werden, indem ein „vertrauenswürdiger
Pfad“ zu den Anwendungsdaten erstellt und die Verwendung von Adhoc-Tools verhindert
wird. Oracle Database Vault ermöglicht zudem die Aktivierung zusätzlicher
Sicherheitsrichtlinien für zahlreiche SQL-Befehle.
Abb. 7: Zugriffskontrolle in Echtzeit
9
Oracle White Paper – Datenbanksicherheit mit Oracle
Funktionstrennung
Oracle Database Vault bietet direkt einsatzbereite Sicherheitsfunktionen für drei separate
Zuständigkeitsbereiche: Administration, Kontoverwaltung und alltägliche Aktivitäten der
Datenbankverwaltung. Oracle Database Vault kann verhindern, dass ein DBA einen
neuen Benutzer erstellt, wenn ihm hierfür keine ausreichende Berechtigung erteilt wurde.
Unternehmen mit begrenzten Ressourcen können mehrere Konten erstellen und
dennoch die von der von Database Vault bereitgestellte Funktionstrennung nutzen.
Oracle Database Vault ist für Oracle 9i Release 2, Oracle Database 10g Release 2 und
Oracle Database 11g verfügbar. Für zahlreiche Anwendungen wie E-Business Suite,
PeopleSoft und Siebel sind Standardrichtlinien vorhanden.
Sicherheit durch Datenklassifizierung
Herkömmliche Datenbankberechtigungen zum Auswählen, Einfügen, Aktualisieren und
Löschen gehen nicht weiter als bis zur Objektebene. Einem Benutzer kann z. B. die
Auswahlberechtigung für eine Kundentabelle zugewiesen, aber der Zugriff auf die
einzelnen Zeilen der Kundentabelle verwehrt werden, sodass ein Vertriebsmitarbeiter nur
auf die Kundendaten seiner Region zugreifen kann.
Oracle Label Security schützt Daten, indem es jeder Zeile einen Datenkennsatz zuweist.
Damit ein Benutzer auf eine durch Datenkennsatz geschützte Zeile zugreifen kann, muss
er über den entsprechenden Benutzerkennsatz verfügen. Je nach Unternehmensrichtlinie
können mit Oracle Label Security Richtlinien erstellt werden, die die Zugriffskontrolle auf
der Grundlage von Hierarchien, Gruppen oder einer optionalen Aufteilung
(Compartments) regeln.
Unternehmen mit hohen Datensicherheitsanforderungen nutzen Label Security, um den
Zugang zu vertraulichen und hoch sensiblen Daten, die in derselben Anwendungstabelle
gespeichert sind, in Compartments aufzuteilen: ein Schema, das als Multilevel Security
(MLS) bekannt ist. Andere Unternehmen können mithilfe von Datenkennsätzen Daten je
nach Anforderungen, z. B. Mandantenfähigkeit, Hosting, Software-as-a-Service und
andere Sicherheitsanforderungen, in entsprechende Compartments aufteilen.
10
Oracle White Paper – Datenbanksicherheit mit Oracle
Abb. 8: Zugriffskontrolle in Echtzeit
Richtlinien dienen als logische Container für Daten- und Benutzerkennsätze,
Durchsetzungs-Einstellungen und geschützte Objekte. Benutzerkennsätze können für die
Bereitstellung im Unternehmen mit Oracle Identity Management zentral verwaltet werden.
Datenkennsätze können Anwendungstabellen zudem als verborgene Spalten angehängt
werden, sodass vorhandene Anweisungen zum Aktualisieren und Einfügen weiterhin
ohne Änderungen funktionieren. Label Security bietet zahlreiche Optionen zur
Durchsetzung der Zugriffskontrolle bei Auswahl- und Aktualisierungs-Vorgängen und ist
mit gängigen Anwendungsbenutzermodellen kompatibel.
Benutzerkennsätze können zudem innerhalb der Oracle Database Vault-Befehlsregeln
als Faktoren verwendet werden. Mit dieser leistungsstarken Funktion geht das Label
Security-Konzept über die traditionelle Zugriffskontrolle auf Zeilenebene hinaus und
erweitert diese bis auf Datenbank- und Anwendungsebene. Die Aufgabentrennung kann
z. B. unter Berücksichtigung des Administrator-Benutzerkennsatzes innerhalb einer
Database Vault-Regel angepasst werden. Oracle Label Security bietet die Möglichkeit
der Integration mit vorhandenen Anwendungen wie beispielsweise Oracle E-Business
Suite.
11
Oracle White Paper – Datenbanksicherheit mit Oracle
Überwachung
Configuration Management Pack für Compliance
Die Konfigurationsverwaltung ist eine wichtige Komponente im täglichen IT-Betrieb jedes
Unternehmens. Oracle Configuration Management Pack unterstützt als Herzstück von
Oracle Enterprise Manager die Verwaltung von Konfigurationen und die Automatisierung
von IT-Prozessen. Eine zentrale Komponente dieser Lösung ist die Configuration
Change Console, die autorisierte bzw. nicht autorisierte Konfigurationsänderungen
automatisch erkennt, bewertet und erfasst und so Kosten und Risiken senkt.
Compliance-Bewertungen
Die proaktive Bewertung der Einhaltung von Vorschriften in den Bereichen Sicherheit,
Konfiguration und Speicherung sorgt dafür, dass potenzielle Sicherheitslücken und
Bereiche erkannt werden, in denen Best Practices nicht eingehalten werden. Oracle
Configuration Management Pack enthält mehr als 200 integrierte Richtlinienprüfungen
und bietet Administratoren die Möglichkeit, eigene benutzerdefinierte Richtlinien zu
definieren.
Oracle Enterprise Manager verfolgt Verstöße gegen diese Richtlinien auf ähnliche Art
und Weise, wie Leistungsmetriken verfolgt werden. Benachrichtigungsregeln können
zugewiesen und Gegenmaßnahmen bei Verstößen angewendet werden. Wenn z. B.
Benutzername oder Kennwort einer Datenbank bekannt geworden sind oder auf dem
Anwendungsserver ein offener Port erkannt wird, kann eine Gegenmaßnahme definiert
werden, um das Konto automatisch zu deaktivieren und den Port zu schließen.
Diese proaktive Form der Richtliniendurchsetzung wird durch Berichte zur Einhaltung von
Vorschriften ergänzt. Die Berichte enthalten eine Compliance-Bewertung der Zielobjekte.
Compliance-Bewertungen können über eine gewisse Zeitspanne dargestellt und
Verstöße und Auswirkungen im Hinblick auf die jeweiligen Ziele im Detail angezeigt
werden. Die Integration in Ticketing-Lösungen ermöglicht es, dass Informationen zu
Richtlinienverstößen automatisch an ein Ticketing-System gesendet und Tickets bei
Vorfällen nicht manuell erstellt werden müssen. Mithilfe des Compliance Dashboard
erhalten Administratoren schnell einen Überblick, inwiefern ihre Systeme Best Practices
12
Oracle White Paper – Datenbanksicherheit mit Oracle
im Bereich der Sicherheit umsetzen, und können die entsprechenden Daten im Detail
anzeigen. Darüber hinaus besteht die Möglichkeit, mithilfe historischer Trends den
Fortschritt bei der Umsetzung von Compliance-Forderungen zu verfolgen.
Abb. 9: Konfigurationsprüfung
Überwachung von Benutzeraktivitäten
Um gesetzliche Vorschriften wie Sarbanes-Oxley (SOX), Payment Card Industry (PCI)
und regionale Datenschutzrichtlinien einzuhalten, müssen Unternehmen nicht nur
sensible Informationen schützen, sondern auch den Zugriff auf vertrauliche Daten auf die
Einhaltung dieser Vorschriften und auf mögliche Bedrohungen hin überwachen.
Untersuchungen zu Datenschutzverletzungen haben ergeben, dass es durch die
entsprechende Überprüfung möglich gewesen wäre, Probleme frühzeitig zu erkennen
und deren finanzielle Auswirkungen einzudämmen.
Die Überprüfung von privilegierten Benutzern und Benutzern mit
Verwaltungsberechtigungen ist ein wesentlicher Teil der DiD-Strategie. Die Verwendung
von Audit-Daten für die Datensicherheit erfolgt jedoch nach wie vor zum großen Teil
manuell, wobei für die IT-Sicherheit zuständige Mitarbeiter und Auditoren große
Datenmengen von verschiedenen Standorten sichten müssen. Oracle Audit Vault senkt
Kosten und Aufwand für die Einhaltung gesetzlicher Vorschriften und unterstützt Sie bei
der Erkennung unberechtigter Aktivitäten, indem Audit-Daten transparent erfasst und
konsolidiert werden. Sie erhalten wertvolle Informationen darüber, wer welche Daten wie
13
Oracle White Paper – Datenbanksicherheit mit Oracle
und wann geändert hat, auch wenn es sich dabei um privilegierte Benutzer mit direktem
Datenbankzugriff handelt.
Abb. 10: Oracle Audit Vault
Mit den Berichten, Warnmeldungen und zentralen Verwaltungsfunktionen für
Prüfrichtlinien von Oracle Audit Vault werden die Risiken durch interne Bedrohungen und
die Kosten für die Einhaltung gesetzlicher Vorschriften erheblich reduziert. Oracle Audit
Vault nutzt die branchenführende Technologie für Datenbanksicherheit und DataWarehousing von Oracle zur Verwaltung, Analyse, Speicherung und Archivierung großer
Audit-Datenvolumen.
Oracle Audit Vault bietet für das gesamte Unternehmen standardisierte
Auswertungsberichte für privilegierte Benutzer, Kontenverwaltung, Rollen und Privilegien,
Objekt- und Systemverwaltung. Zudem können parametergestützte Berichte definiert
werden, die beispielsweise Benutzeraktivitäten über mehrere Systeme hinweg und für
bestimmte Zeiträume, z. B. Wochenenden, anzeigen. Oracle Audit Vault zeichnet sich
durch ein offenes Audit-Warehouse-Schema aus, auf das über Oracle BI Publisher oder
Berichterstellungstools von Drittanbietern zugegriffen werden kann.
Die Warnmeldungen von Oracle Audit Vault mindern Risiken und schützen vor internen
Bedrohungen, indem sie über alle verdächtigen Aktivitäten im gesamten Unternehmen
14
Oracle White Paper – Datenbanksicherheit mit Oracle
proaktiv informieren. Oracle Audit Vault ermöglicht die kontinuierliche Überwachung
eingehender Audit-Daten und gleicht diese mit den festgelegten Warnbedingungen ab.
Warnmeldungen können für jedes prüfbare Datenbankereignis eingerichtet werden,
beispielsweise für Systemereignisse wie Änderungen an Anwendungstabellen,
Rollenberechtigungen oder für die Erstellung privilegierter Benutzer in sensiblen
Systemen.
Abb. 11: Berichterstellung mit Oracle Audit Vault
Oracle Audit Vault ermöglicht die Erfassung von Datenbank-Audit-Daten aus Oracle9i
und höheren Versionen sowie aus den Datenbankversionen SQL Server 2000 und 2005,
Sybase ASE 12.5 - 15.0 und IBM DB2 8.2 und 9.5.
Datenhistorie und Archivierung
Die Einhaltung von Richtlinien und Vorgaben wie SOX, HIPAA und BASEL–II umfasst
auch die Archivierung historischer Daten. Darüber hinaus erkennen Unternehmen
zunehmend, dass historische Daten einen wichtigen Beitrag zur Bewertung von
Markttrends und Kundenverhalten leisten.
Unternehmen benötigen eine effiziente Methode für die langfristige Archivierung von
Daten, die ohne das Umschreiben von Anwendungen, externe oder selbstentwickelte
Softwarelösungen und zusätzlichen Administrationsaufwand auskommt. Die in Oracle
Database 11g integrierte Total Recall-Lösung wird diesen Anforderungen gerecht, indem
sie die vollständige und sichere Archivierung und Verwaltung all Ihrer historischen Daten
ermöglicht. Total Recall bietet in Verbindung mit der zugrunde liegenden Flashback Data
15
Oracle White Paper – Datenbanksicherheit mit Oracle
Archive-Technologie eine transparente, sichere und effiziente Verfolgung von
Änderungen an Datenbanktabellen, ohne dass hierfür spezielle Schnittstellen oder
Anwendungsänderungen erforderlich wären.
Schlussfolgerung
Transparente Sicherheitslösungen sind im heutigen globalen Wirtschaftsumfeld
entscheidend, da Änderungen am vorhandenen Anwendungscode kostenintensiv und
kompliziert sind. Die Einhaltung von Vorschriften und die Minimierung von internen
Bedrohungen erfordern leistungsstarke Sicherheitslösungen für Anwendungsdaten. Die
Datenbanksicherheitsprodukte von Oracle sind auf Transparenz ausgerichtet, minimieren
die Auswirkungen auf vorhandene Anwendungen und erfüllen gleichzeitig die
Anforderungen zahlreicher gesetzlicher Vorschriften. Die Datenbanksicherheitsprodukte
von Oracle bieten Defense-in-Depth-Sicherheit unter Berücksichtigung der drei
Sicherheitsschichten: Verschlüsselung und Maskierung, Zugriffskontrolle und
Überwachung.
Oracle Advanced Security TDE ist nach wie vor die branchenführende
Verschlüsselungslösung und bietet unter Einhaltung gesetzlicher Vorschriften wie PCI
eine elegante Lösung zum Schutz vertraulicher Daten. Oracle Database 11g bietet eine
vollständige Tablespace-Verschlüsselung und eine Integration mit HardwareSicherheitsmodulen, unterstützt die Verschlüsselung kompletter Anwendungen und die
zentrale Speicherung von TDE-Master-Verschlüsselungsschlüsseln. Oracle Data
Masking ermöglicht Testern, Entwicklern und Partnern den Zugriff auf dieselben
Produktionsdaten, nachdem sensible Daten unkenntlich gemacht wurden.
Oracle Database Vault erfüllt auf transparente Weise die Anforderungen von SOX, PCI,
HIPAA und vielen anderen gesetzlichen Vorschriften. Die Realms in Oracle Database
Vault verhindern den Zugriff auf sensible Finanzdaten oder vertrauliche Informationen in
Anwendungen selbst für den DBA. Die Datenklassifizierungskennsätze von Oracle Label
Security sorgen automatisch für Datensicherheit unter Berücksichtigung der
Datensensibilität der Zeile selbst.
16
Oracle White Paper – Datenbanksicherheit mit Oracle
Oracle Enterprise Manager Configuration Management Pack überprüft durchgehend alle
Hosts und Datenbanken auf Verstöße gegen Sicherheits- und Konfigurations-BestPractices und erleichtert so in erheblichem Maß die Arbeit des Sicherheitsadministrators.
Oracle Audit Vault verwandelt Audit-Daten in eine wichtige Sicherheitsressource, indem
wichtige Audit-Informationen zur Datenbankaktivität transparent konsolidiert und
gesichert werden. Die Berichte, Warnmeldungen und Richtlinien von Oracle Audit Vault
erleichtern die Aufgaben der mit der Sicherheit und der Einhaltung von Vorgaben
betrauten Mitarbeiter.
Der Schutz von Daten vor geschickten Angriffsversuchen stellt eine erhebliche
Herausforderung dar. Die DiD-Sicherheitstechnologie von Oracle mit ihren transparenten
und leistungsstarken Lösungen erleichtert Ihnen diese Aufgabe.
17
Datenbanksicherheit mit Oracle
Juni 2009
Autor: Oracle
Co-Autoren:
Oracle Corporation
World Headquarters
500 Oracle Parkway
Redwood Shores, CA 94065
USA
Copyright © 2009, Oracle und/oder seine verbundenen Unternehmen. Alle Rechte vorbehalten. Der Inhalt dieses Dokuments dient
lediglich zu Informationszwecken und kann ohne vorherige Ankündigung geändert werden. Die Richtigkeit dieses Dokuments kann
nicht garantiert werden. Es unterliegt keinen Garantien oder Bedingungen, die mündlich gegeben wurden oder gesetzlich gegeben
sind, einschließlich konkludenter Garantien oder Bedingungen hinsichtlich der Marktgängigkeit oder Eignung für einen bestimmten
Zweck. Insbesondere schließen wir jegliche Haftung aus, die sich aus diesem Dokument ergeben könnte. Vertragliche Pflichten
können weder direkt noch indirekt aus diesem Dokument abgeleitet werden. Dieses Dokument darf zu keinem Zweck und in keiner
Weise, weder elektronisch noch mechanisch, ohne die vorherige schriftliche Genehmigung von Oracle vervielfältigt oder übertragen
werden.
Informationen weltweit:
Oracle ist eine eingetragene Marke der Oracle Corporation und/oder ihrer verbundenen Unternehmen. Andere Namen und
Tel.: +1 650 506 7000
Bezeichnungen können Marken ihrer jeweiligen Inhaber sein.
Fax: +1 650 506 7200
oracle.com
0109
Zugehörige Unterlagen
White paper
White paper
Systemadministrator Oracle und Microsoft Datenbanken
Systemadministrator Oracle und Microsoft Datenbanken
SYSTEMADMINISTRATOR DATENBANKEN (m/w)
SYSTEMADMINISTRATOR DATENBANKEN (m/w)
White paper - PITSS GmbH
White paper - PITSS GmbH
Oracle Datenbank Administrator (m/w)
Oracle Datenbank Administrator (m/w)
Digitale Baumkataloge speichern und verwalten Daten über
Digitale Baumkataloge speichern und verwalten Daten über
Oracle Insights: Tales from the Oak Table
Oracle Insights: Tales from the Oak Table
Datenbank-Entwickler MS SQL Server / Oracle (m/w)
Datenbank-Entwickler MS SQL Server / Oracle (m/w)
Datenbank durchcheken, analysieren (Tuninghinweise)
Datenbank durchcheken, analysieren (Tuninghinweise)
Einleitung Oracle Developer
Einleitung Oracle Developer
Universität des Lebens – Verantwortung für Mensch und Natur: Wir
Universität des Lebens – Verantwortung für Mensch und Natur: Wir
Jorg Thomas
Jorg Thomas
ORACLE 12c DATENBANK- ADMINISTRATION - WWW-Docs for B-TU
ORACLE 12c DATENBANK- ADMINISTRATION - WWW-Docs for B-TU
1250 Oracle DBMS Entwickler ASSpro
1250 Oracle DBMS Entwickler ASSpro
Datenbank-Design Wahlpflichtangebot für das WS
Datenbank-Design Wahlpflichtangebot für das WS
wer_files/Lebenslauf Oliver Kuiper
wer_files/Lebenslauf Oliver Kuiper
Internet Developer Suite
Internet Developer Suite
Buchbesprechung Autor: Dr. Volker Thormählen David James
Buchbesprechung Autor: Dr. Volker Thormählen David James
Big Data und DWH – ein Beispiel Szenario
Big Data und DWH – ein Beispiel Szenario
Oracle Fusion Middleware Migration | Fact Sheet von OPITZ
Oracle Fusion Middleware Migration | Fact Sheet von OPITZ
Herunterladen
Werbung