Database Security - Database Consult GmbH
Werbung
SIG Security 3. März 2011 Datenbank Sicherheit Standards, Prozesse, Werkzeuge Dr. Günter Unbescheid Database Consult GmbH Datenbank-Sicherheit Database Consult GmbH • Gegründet 1996 • Kompetenzen rund um ORACLE • Tätigkeitsbereiche – – – – – – – Systemanalysen, Tuning, Installation, Konfiguration Security‐ und Identity Management Expertisen/Gutachten Support, Troubleshooting, DBA‐Aufgaben Datenmodellierung und –design Programmierung: SQL, PL/SQL, Java, JSP, ADF, BC4J Workshops (in house) 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 2 Datenbank-Sicherheit Database Consult GmbH • Kundenprojekte im Bereich Security (letzte 3 Jahre): • Security Konzept Datenbank – Personifizierte DBA‐Accounts, Auditing, Single‐Sign‐On • Single‐Sign‐On für Webapplikationen – Zusammenführung diverser User‐Datenquellen per Oracle Virtual Directory – Authentifizierung per Oracle Access Manager • Personifizierte und zentrale DB‐Benutzerverwaltung – Nutzung von Kerberos und Enterprise‐Usern (OID, OVD,AD) – Globale Rollen und Enterprise Rollen 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 3 • • • • Datenbank-Sicherheit Themen Einführende Gedanken zum Thema ... Fakten zur Bedrohungslage Sicherheit als Projekt Regeln, Standards, Werkzeuge 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 4 Datenbank-Sicherheit Einführende Gedanken zum Thema 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 5 Single Sign On Authentication Databsase Vault Secure Files Authorisation Wallets DAC Shared Schema Application Context Labels Object Privs password policies Enterprise Roles certificates FGA Audit Vault Roles SSL Network Data Encryption 1.1 ‐ 03/2011 VPD Auditing Enterprise Users CRL Datenbank-Sicherheit Bäume statt Wald? Global Roles System Privs TDE MAC Database Consult GmbH ‐ Jachenau RLS Proxy Authentication 6 Manual Datenbank-Sicherheit Oracle Dokumentation zum Thema Seiten Inhalt Oracle Database 2 Day + Security Guide 124 Klicken im OEM Oracle Database Security Guide 436 Standard Features, VPD, … Oracle Database Advanced Security Administrator‘s Guide 300 Advanced Security Option Oracle Database Enterpirse User Security Administrator‘s Guide 182 Enterprise User Security Oracle Database Label Security Administrator‘s Guide 294 Label Security Oracle Database Vault Administrator‘s Guide 360 Database Vault Diverse Manuals zu Audit Vault 1696 Seiten ohne Audit Vault! 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 7 Datenbank-Sicherheit Annäherung ... Cryptography is a branch of mathematics, ...(it) is perfect. Security, ... involves people, ... (it) is a process, not a product (Bruce Schneier, Secrets & Lies) 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 8 Datenbank-Sicherheit Security Nur Kosten ?! Auch Nutzen ?! Neue Funktionalität?? Längere Projektlaufzeiten Neue Technologien Interessante Fortbildungen Neue Fehlerquellen Höhere Komplexität Performance ?? Manager 1.1 ‐ 03/2011 Techniker Database Consult GmbH ‐ Jachenau 9 Datenbank-Sicherheit Annäherung ... Die Frage ist nicht, ob wir uns Sicherheit leisten können, sondern die durch Ausfälle und Kompromittierungen entstehenden Schäden. Sicherheit ist mehr als Datenverschlüsselung und das Einspielen von Patches 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 10 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau Datenbank-Sicherheit Thematisches Umfeld 11 Datenbank-Sicherheit 3 Säulen • Vertraulichkeit – ist die Eigenschaft einer Nachricht, nur für einen beschränkten Empfängerkreis vorgesehen zu sein. • Verfügbarkeit – ist die „Uptime“ pro Zeiteinheit (in Prozent), sofern die Antwortzeit eine bestimmte Kenngröße nicht überschreitet. • Integrität – ist die vollständige sowie unveränderte Übermittlung von Daten an den Empfänger 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 12 Datenbank-Sicherheit Publizierte Fakten zur Bedrohungslage 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 13 • DB‐Trends Datenbank-Sicherheit Trends und Risiken Datensensibilität – mehr Systeme – mehr Daten – neue Datenklassen • DBA‐Trends – weniger Administratoren – externe Dienstleister • Security‐Anforderungen – Schutzbedarf per Risikoanalyse – Konzentration auf exponierte Systeme 1.1 ‐ 03/2011 Zugriffs‐ kontexte Database Consult GmbH ‐ Jachenau Datenfluss Schutzbedarf 14 Datenbank-Sicherheit Bekanntmachungen • Privacy Rights Clearinghouse – Chronologie der Verstösse, allgemeine Informationen – http://www.privacyrights.org/data‐breach • (2010) DATA BREACH INVESTIGATIONS REPORT – Verizon in Zusammenarbeit mit United States Secret Service (USSS) – Gemeinsamkeiten/Gruppierungen/Statistiken – www.verizonbusiness.com/resources/reports • Data Breach Blog (SC Magazine), u.v.m. 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 15 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau Datenbank-Sicherheit Verizon Report 16 Datenbank-Sicherheit Verizon Empfehlungen • Restrict and monitor privileged users – Gefahr durch Insider, Logging hoch privilegierter Ben. • Watch for “minor” policy violations • Implement measures to thwart stolen credentials – effektive und „starke“ Authentifizierungen • Monitor and filter egress network traffic – auswärts gewandter Netzverkehr 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 17 Datenbank-Sicherheit Verizon Empfehlungen • Change your approach to event monitoring and log analysis – schnell und effizient • Share incident information – Kette: Implementierung ‐> Entscheidung ‐> Kenntnis ‐> Informationen 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 18 Datenbank-Sicherheit Sicherheit als Projekt 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 19 Datenbank-Sicherheit Motivation • Warum überhaupt? – Vermeidung von Datenverlust/‐diebstahl (data breach) – Einhaltung regulativer Vorgaben (compliance) • Pros – Vermögenswerte schützen – Vermeidung von Folgekosten und Imageverlust • Cons – Lizenzkosten, Planungs‐ und Entwicklungskosten (TCO statt ROI !) – Storage‐ und CPU‐Auswirkungen 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 20 Datenbank-Sicherheit Massnahmen • Präventiv – Schutzbedarf ermitteln – Security Konzept erstellen und umsetzen – Compliance regelmässig prüfen Daten‐ charakteristik Risiko • Detektiv – Auditing und Monitoring • Reaktiv Klientel Datenfluss – prompt und situationsgerecht 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 21 Datenbank-Sicherheit Security Projekte • Konzepte + Technik + Prozesse – „separation of duties“ – ganzheitlich – von Anfang an integraler Bestandteil Konzeption • ROI schwer ermittelbar • In jedem Fall Teamarbeit – – – – Entwicklung (DB‐)Administration Monitoring/Operations Geschäftsleitung 1.1 ‐ 03/2011 Technik Database Consult GmbH ‐ Jachenau Prozesse 22 Datenbank-Sicherheit Security Projekte • Welche Daten und Datenströme gibt es? • Welche Bedrohungen existieren? • Wie hoch sind die Risiken? – Gewichtung • Welche Gesetze/Regeln? – intern / extern • Welche Maßnahmen sollen ergriffen werden? – Balance Offenheit – Schutz 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 23 Datenbank-Sicherheit Prinzipien Separation of Duties Reconstruction of Events Least Privilege need-to know Accountability Authenticated – Users – Identified Security steht und fällt mit identifizierbaren Benutzern 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 24 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau Datenbank-Sicherheit Security Universum 25 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau Datenbank-Sicherheit Security Universum 26 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau Datenbank-Sicherheit Security Universum 27 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau Datenbank-Sicherheit Security Universum 28 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau Datenbank-Sicherheit Security Universum 29 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau Datenbank-Sicherheit Security Universum 30 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau Datenbank-Sicherheit Massnahmen 31 Datenbank-Sicherheit Regeln, Standards, Werkzeuge 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 32 Datenbank-Sicherheit Regulatorien • Interne Vorgaben • Gesetze – externe Vorgaben – Branchen, nationale Regeln, gebunden an Firmengrösse – u.a. Sarbanes Oxley, PCI DSS • Nicht immer mit präzisen technishen (DB‐)Vorgaben • Best Practise Kompendien erleichtern Umsetzung – Database Security Technical Implementation Guide (STIG) von Defense Informtion Systems Agency (DISA) für DoD (allgemein und Oracle‐spezifisch) – Center For Internet Security – Benchmark for Oracle 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 33 Datenbank-Sicherheit Hardening • sichere Konfiguration eines Systems – Minimierung von Risiken • sichere Codebasis – Patching • Große Zahl von Einzelmaßnahmen • Ausarbeitung einer "Hardening Guideline" • Setzen einer "Configuration Baseline" 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 34 Datenbank-Sicherheit STIG‐Publikationen • Ausschnitt: • Oracle 11 Database Security Checklist Version 8 Release 1.8 • Generic Database STIG, Version 8, Release 1 • Generic Database Security Checklist, Version 8, Release 1.6 • http://iase.disa.mil/stigs/index.html 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 35 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau Datenbank-Sicherheit STIG – Ausschnitt 36 Datenbank-Sicherheit STIG – Ausschnitt Checks/Fixes können auch detaillierte SQL‐Anweisungen enthalten 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 37 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau Datenbank-Sicherheit CIS Oracle Benchmarks 38 Datenbank-Sicherheit Secure By Default • Option beim Anlegen einer DB mit DBCA in 11gR1 • Mit DBCA automatisch in 11gR2 • Beim manuellen Anlegen einer DB fehlt: – audit_trail = DB (Standard: NONE) – Diverse Standard Audit‐Optionen • Skript $ORACLE_HOME/rdbms/admin/secconf.sql • Weitere Features: Benutzer per Default gesperrt, besserer Passwort‐Hash, … 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 39 • Artikel in Oracle Technology Network von Arup Nanda • Vorgehensweise für Härtung von Datenbanken in verschiedenen Phasen • http://www.oracle.com/technetwork/articles/index‐ 087388.html 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 40 Datenbank-Sicherheit Project Lockdown Datenbank-Sicherheit Patches • Patches – beheben Fehler und/oder Sicherheitslücken – werden einzeln (one‐off) oder in Patch Sets verteilt • Funktionale Patches – problemlos akzeptiert durch „Leidensdruck“ • Sicherheitspatches – problematisch, weil keine „spürbare“ Fehlfunktionen – „unnötiges“ Herunterfahren von abhängigen Softwarekomponenten – quartalsweise publiziert 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 41 Datenbank-Sicherheit Sicherheitspatches • publiziert als Patchset dienstags am oder nach dem 15. der Monate Januar, April, Juli, Oktober • als „Critical Patch Update“ (CPU) – nur sicherheitsrelevante Fixes, kumulativ • oder „Patch Set Update“ (PSU) – sicherheitsrelevante und wichtige funktionale Fixes – Performance‐neutral, kumulativ, erhöht Release Nummer • Eindeutige Strategie gefordert – nach dem Wechsel auf PSU kein zurück auf CPU 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 42 Datenbank-Sicherheit Automatisierte Prüfungen • Vulnerability Assessment Tools/Scanners (VAT) – darunter auch Oracle‐taugliche http://www.databasesecurity.com/oracle‐vatools.htm – u.a. AppDetective, AppSentry, Guardium, NGSSQuirrel – prüfen Software, Misconfiguration, Misuse – Aussen‐ und Innenprüfungen, Diff‐Reports – produzieren Security Report mit Empfehlungen und „Lockdown Script“ • Anlegen von „Baselines“ durch Change Tracking Tools – Digests auf Prüfelementen über VAT 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 43 1.1 ‐ 03/2011 Datenbank-Sicherheit NGSSQuirrel Database Consult GmbH ‐ Jachenau 44 Datenbank-Sicherheit Auf den Punkt gebracht • Verstehen der eigenen Datencharakteristik und Kategorisierung der eigenen Systeme • Verstehen der Bedrohungszenarien und ihrer Relevanz für die eigenen Gesamtsysteme • Sichtung allgemein anerkannter Standards zur Konfiguration und Kontrolle • Konzeption eigener Security Policies auf dieser Basis • Referenzinstallation und –konfiguration • Automatisierte Prüfungen zur Kontrolle 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 45 Datenbank-Sicherheit Danke für‘s Zuhören www.database‐consult.de 1.1 ‐ 03/2011 Database Consult GmbH ‐ Jachenau 46
