In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Datenbank

Oracle Datenbank Security Lösungen

Werbung 
Oracle Datenbank Security Lösungen
Und was kommt nach Heartbleed und ShellShock?
Ein kritischer Überblick über die Security Produkte rund um die
Oracle Datenbank
Datenbanken sind unsere Welt
www.dbmasters.at
Themenübersicht
●
●
●
●
Herausforderungen im Security Bereich im letzten Jahr
Security Features von Oracle – was gibt es und wofür ist es
Decken die Oracle Security Features die Herausforderungen ab?
Was fehlt noch, damit man sich „sicher“ fühlen kann?
Oracle Datenbank Security Lösungen
Datenbanken sind unsere Welt
www.dbmasters.at
Herausforderungen im Security Bereich im letzten Jahr
● 7. April 2014: Heartbleed – OpenSSL
– Oracle reagiert erstmalig am 18. April und braucht bis zum
3. Juli um für alle Produkte Patches bereit zu stellen
● 24. September 2014: ShellShock – Bash ist verwundbar
– Erste Patches am 27. September, finale Patches erst 15. Dez
● 15. Oktober 2014: Poodle – SSLV3
– Erste Patches Ende 2014, aktuell fehlen für 20 Produkte die Patches
● 28. Jan 2015: Ghost – eine Lücke im Glibc
– Ist Oracle nicht einmal eine Meldung wert, RHat Patches übernommen
Details finden Sie auf unserer Homepage
Oracle Datenbank Security Lösungen
Datenbanken sind unsere Welt
www.dbmasters.at
Herausforderungen im Security Bereich in den letzten
drei Monaten (seit Mitte Nov 2014)
● Adobe Flash & Co: mehrfach ZeroDay Lücken, über 40 Security Leaks im Flash
● Microsoft
–
–
–
–
●
●
●
●
●
Google enthüllt 3 Windows ZeroDay Lücken, die 90 Tage lang nicht behoben wurden
Hintertür in Microsoft Active Directory entdeckt
Windows Lücke in Kerberos und TLS – Security Patch fehlerhaft
Exploit für eine Lücke in Windows und IE Versionen der letzten 18 Jahre
Sicherheitslücke in NTP und OpenVPN
27 Jahre alte Sicherheitslücke in X11 geschlossen
Google entdeckt 30 Sicherheitslücken in Java
Poodle beißt die Load Balancer von Cisco , F5 und A10 Networks
Große Hackerangriffe
– US Krankenkasse Anthem bestohlen, US Außenministerium, Sony Entertainment, usw.
Oracle Datenbank Security Lösungen
Datenbanken sind unsere Welt
www.dbmasters.at
USA schafft eine neue Behörde gegen Hackerangriffe
● Quelle: Washington Post vom 10. Feb 2015
● Auslöser
– Hackerangriff auf Sony Pictures
– Davor gab es
Angriffe auf das Computer Netz des Weißen Hauses
Angriffe auf das US Außenministerium
Angriffe auf US Krankenkassen
Fast schon unzählbare Anzahl von gestohlenen Personen und
Kreditkarteninformationen
Mehrere Großbanken (2012)
Oracle Datenbank Security Lösungen
Datenbanken sind unsere Welt
www.dbmasters.at
Kreditkarten Informationen von Tim Cook (Apple)
● Laut Presseinformationen vom 11. Feb 2015 gibt es folgende Aussage von
Tim Cook, CEO von Apple:
Cook bekräftigte sein Bekenntnis zu strikterem Datenschutz. So wolle der Konzern
bei seinem Bezahldienst Apple Pay ganz bewusst nicht wissen, wer wo was kauft. Er
glaube, dass die Menschen mit der Zeit gegen eine breit angelegte Erfassung und
Auswertung ihrer Daten rebellieren werden, sagte der Apple-Chef. Zudem solle das
kontaktlose Bezahlen per Handy mehr Sicherheit bieten. „Bei Apple Pay geben wir
dem Händler nie ihre Kreditkarten-Nummer.“
Ihm selbst seien die Kreditkarten-Informationen drei Mal gestohlen
worden, sagte Cook.
Oracle Datenbank Security Lösungen
Datenbanken sind unsere Welt
www.dbmasters.at
Security Produkte und Features von Oracle
für Oracle Datenbanken und Cloud Control 12c
● Audit Vault und Database Firewall
– Analysiert den SQL Net Verkehr zwischen Client und Datenbank
● Oracle Datenbank Features
–
–
–
–
–
Password Security / External Identification
Data Redaction ab Oracle 12c
TCPS Connects mit TLS benötigen im SQLNET.ORA: SSL_VERSION=1.0
Advanced Networking Option: Verschlüsselung
Database Vault, Label Security, Data Masking
● HTTPS / SSL für Kommunikation OEM/Agent
– Siehe Instructions to Mitigate the SSL v3.0 Vulnerability (aka "Poodle Attack") in
Oracle Enterprise Manager Grid / Cloud Control (Doc ID 1938799.1)
Oracle Datenbank Security Lösungen
Datenbanken sind unsere Welt
www.dbmasters.at
Security Features von Oracle für Operating Systeme
● Oracle Enterprise Linux
– Wenn RedHat Security Patches bereitstellt, werden diese übernommen (mit 1-2
Tagen Verzögerung)
– Sollten Security Leaks im Unbreakable Kernel gefunden werden, muss Oracle
diese selbst beheben
● Solaris
– Laut National Vulnerability Database gibt es in Solaris 10+11 ca. 150 bekannte
Security Leaks, von denen ca. 50 als High Risk eingestuft sind.
– Aktuelle Security patches können mit „pkg install|update solaris-11-cpu“
eingespielt werden.
● Es gibt eine „3rd Party Software in Oracle Product“ Vulnability Liste
http://www.oracle.com/technetwork/topics/security/thirdparty-patch-map-1482893.html
Oracle Datenbank Security Lösungen
Datenbanken sind unsere Welt
www.dbmasters.at
Schützen die Oracle Features vor den letzten
Vulnabilities?
● Die Antwort ist schlicht und ergreifend: Nein
● Oracle braucht im Schnitt 1-2 Wochen für die ersten Patches und selbst nach
2-3 Monaten sind noch nicht für alle Produkte Patches vorhanden
● Für viele Themen wie für den TLS Einsatz statt SSL gibt es keinen Patch
sondern nur sehr komplexe Anleitungen (Beispiel Poodle und Enterprise
Manager), statt einfach einen Patch heraus zu bringen, der das Problem löst.
● Damit TCPS Verbindungen zur Datenbank mit TLS geschützt werden, muss
man sowohl am Client als auch am Server im SQLNET.ORA einen Eintrag
machen – auch hier die Frage: Warum Oracle den nicht als „Default“ mit
einem Sicherheitsupdate ausliefert
Oracle Datenbank Security Lösungen
Datenbanken sind unsere Welt
www.dbmasters.at
Wovor schützen die Oracle Security Features?
● Database Firewall schützt vor SQL Injektion
● Advanced Security Option wird hauptsächlich zum Verschlüsseln der Daten in
den Datenbank Files verwendet, es kann aber auch zum Verschlüsseln der
Datenübertragung genutzt werden.
● Data Masking anonymisiert die Daten für Test- und Schulungsdatenbanken
● Data Redaction anonymisiert die Daten transparent, abhängig von Regeln für
bestimmte Applikationen oder Benutzer (Call Center darf nicht alles sehen).
● Database Vault verhindert den unberechtigten Zugriff auf Daten innerhalb
der Datenbank (auch als SYSDBA darf man die Daten nicht mehr sehen)
● Label Security verhindert ebenfalls die Möglichkeit, Daten ohne Berechtigung
zu sehen
Oracle Datenbank Security Lösungen
Datenbanken sind unsere Welt
www.dbmasters.at
Conclusio
● Die Oracle Security Features schützen die Daten innerhalb der Datenbank
und im Filesystem – ein Schutz vor dem Angriff auf den Host und somit
indirekt auf die Daten bieten diese nicht.
● Die Database Firewall bietet eine Schutz, sofern die Kommunikation über
SQL*Net läuft, alles andere wird nicht abgedeckt – hier bieten andere
Anbieter wie Imperva SecureSphere mehr Funktionalität.
● Zusätzlich treffen einige der Themen wie Heartbleed und Poodle auch direkt
Teile der Features (TCPS, HTTPS Kommunikation,…)
Oracle Datenbank Security Lösungen
Datenbanken sind unsere Welt
www.dbmasters.at
Schauen wir uns ein typisches Environment an
Praktisch jede Firma nutzt
Was bräuchte man zusätzlich?
● Firewalls
● AntiVirus Software
● VPN/Remotezugang für
Mitarbeiter
● WAF – Web Application Firewall
– Verhindert unberechtigte
Zugriffe/Ausnutzung von
Vulnabilities
● DBF – Database Firewall
– Schützt die Daten vor SQL
Injection und vielem mehr
● Schutz gegen Security Leaks in
Produkten (OS, Web Inhalte, Mail
Lösungen) und Malware
Oracle Datenbank Security Lösungen
Datenbanken sind unsere Welt
www.dbmasters.at
Ein passendes Zitat
“Es gibt zwei Arten von Firmen: Solche die gehackt wurden und
die, die noch gehackt werden!”
Mit diesem Zitat auf einer Sicherheitskonferenz im März 2012
deutete der frühere FBI-Direktor Robert Mueller bereits an,
wovor viele Unternehmen noch ihre Augen verschließen. Denn
einen hundertprozentigen Schutz vor Hackerangriffen oder
Cyberattacken gibt es nicht.
Oracle Datenbank Security Lösungen
Datenbanken sind unsere Welt
www.dbmasters.at
Leben wir auf einer Insel der Seligen?
Analyse für www.dbmasters.at am 8. Feb 16:00
● Angriffsversuche der letzten 24 Stunden
● Aktuell: durchschnittlich 15-20 Angriffe / Tag
● Auswertung der Angriffe seit Installation am
9. Oktober 2014 ( 4 Monate)
– Über 1500 Angriffsversuche
Oracle Datenbank Security Lösungen
Datenbanken sind unsere Welt
www.dbmasters.at
Einige der Angriffe waren wirklich penetrant
Beispiel ShellShock
● Teilweise über 100 Versuche / Tag!
● Das wird nur als EIN Angriff gewertet…
Oracle Datenbank Security Lösungen
Datenbanken sind unsere Welt
www.dbmasters.at
Zusammenfassung
● Security hat in vielen Unternehmen leider immer noch nicht den Stellenwert
den sie haben sollte
● Es gibt faktisch niemanden – hier sind auch wir als Privatpersonen gemeint –
die nicht täglich angegriffen werden.
– Schon 2009 gab es eine Analyse zu dem Thema
– Kaspersky Labs hat 2013 die durch Malware
infizierten Systeme grafisch aufbereitet.
Infektionsrate in %
Österreich: 42%
USA nur 38% !!
Oracle Datenbank Security Lösungen
Datenbanken sind unsere Welt
www.dbmasters.at
Q&A
Wir helfen Ihnen bei der Analyse Ihrer Security Anforderungen mit
Schwerpunkt auf die Oracle Datenbank und Web Application Landschaft
Oracle Datenbank Security Lösungen
Datenbanken sind unsere Welt
www.dbmasters.at
Zugehörige Unterlagen
Banner Content
Banner Content
DB520 Oracle Security
DB520 Oracle Security
Oracle Database 11g – Database Administrator
Oracle Database 11g – Database Administrator
Systemadministrator Oracle und Microsoft Datenbanken
Systemadministrator Oracle und Microsoft Datenbanken
Datenbank-Design Wahlpflichtangebot für das WS
Datenbank-Design Wahlpflichtangebot für das WS
Wir entwickeln und betreiben in Hamburg eine webbasierte
Wir entwickeln und betreiben in Hamburg eine webbasierte
alle datenbanken: mysql, oracle, as/400, sql server, informix
alle datenbanken: mysql, oracle, as/400, sql server, informix
SOA-SPEZIALIST (M/W)
SOA-SPEZIALIST (M/W)
White paper
White paper
01155, 20.12.2010
01155, 20.12.2010
Datenbankprogrammierung (Oracle)
Datenbankprogrammierung (Oracle)
SYSTEMADMINISTRATOR DATENBANKEN (m/w)
SYSTEMADMINISTRATOR DATENBANKEN (m/w)
Herunterladen
Werbung