Oracle Datenbank Verschlüsselung allgemein und Oracle Key Vault

Transkript

1

2 Oracle Datenbank Verschlüsselung allgemein und Oracle Key Vault Wolfgang Thiem Leitender Systemberater STCC Süd DB Security Day

3 Oracle Datenbankverschlüsselung Keine Sicherheit ohne Verschlüsselung Security Day

4 Agenda Einleitung Datentransfer über das Netzwerk Daten in der Datenbank Backups Dump-/Exportdateien Keymanagement Security Day

5 Verschlüsseln = Grundpfeiler jeder Sicherheitsinfrastruktur Starke Unterstützung zur Abwehr von Neugierigen Mitarbeitern, die ihre Befugnisse absichtlich oder versehentlich überschreiten Scriptkiddies, die ohne nennenswertes IT Hintergrundwissen mit im Internet gefundenen graphischen Werkzeugen in IT Systeme eindringen 'Hobbyhackern', die aus 'sportlichem' Ehrgeiz in IT Systeme eindringen Kleinkriminellen Organisiertem Verbrechen Jeder dieser Fälle stellt die Integrität des gesamten IT Systems in Frage Abgesehen vom möglichen Imageschaden kann das unter Umständen dazu führen, dass das gesamte System validiert und neu aufgesetzt werden muss!

6 Agenda Einleitung Datentransfer über das Netzwerk Daten in der Datenbank Backups Dump-/Exportdateien Keymanagement Security Day

7 Daten verschlüsselt übertragen Seit Ende Juni 2013 in ALLEN Versionen und Editionen der Datenbank kostenlos verfügbar, sofern diese das technisch unterstützen Schutz vor Informationsverlust und vor Veränderung von Oracle Daten im Transfer Vom Server zum Client Vom Client zum Server Von Server zu Server KEINE Unterstützung durch CPUs wie SPARC T4, T5,... Nativ oder über SSL

8 Daten verschlüsselt übertragen - Wie? SQLNET.ORA sqlnet.encryption_server sqlnet.encryption_types_server sqlnet.crypto_checksum_server sqlnet.crypto_checksum_types_server = required = AES128 = required = SHA384 sqlnet.encryption_client sqlnet.encryption_types_client sqlnet.crypto_checksum_client sqlnet.crypto_checksum_types_client = required = AES128 = required = SHA384

9 Daten verschlüsselt übertragen - Ergebnis Vorher... Nachher...

10 SSL - wer kann, der kann Deutlich aufwändiger, deshalb weniger im Einsatz Eventuell zusätzliche Kosten für Zertifikate Verbindungsaufbau langsamer Je nach Architektur sind auch die Benutzer Accounts anzupassen Implementieren Zertifikate für Client und Server bereitstellen Auf der Server UND der Client Seite Auto-open Wallet anlegen und Zertifikate importieren SQLNET.ORA anpassen LISTENER.ORA (Server) und TNSNAMES.ORA (Client) anpassen

11 Agenda Einleitung Datentransfer über das Netzwerk Daten in der Datenbank Backups Dump-/Exportdateien Keymanagement Security Day

12 Arbeiten mit DBMS_CRYPTO Anwendungen / Trigger rufen das API auf Package stellt Prozeduren und Funktionen zur Verfügung Zum Verschlüsseln und Entschlüsseln Zum Arbeiten mit Prüfsummen Flexibel auch zum Ver- / Entschlüsseln einzelner Werte gemäß Zugriffsbefugnis Kein automatisches Schlüsselmanagement

13 Verschlüsselt speichern mit Oracle Advanced Security Transparent Data Encryption Schutz vor unbefugtem Lesen der Daten Es geht NICHT darum, das Lesen oder Ändern über die SQL- Schnittstelle zu unterbinden Es geht um Verschlüsselung auf der Platte, im Backup, im Dump-File-Set Schutz vor Insidern Schutz zum Beispiel bei entsorgten Platten Schutz zum Beispiel beim Verlust auf dem Transport ins Schließfach

14 Transparent Data Encryption (TDE) Anwendung SQL- Schnittstelle entschlüsselt Daten Netzwerk- Verschlüsselung Daten werden verschlüsselt auf die Platte geschrieben Daten sind verschlüsselt im Backup Verschlüsseln von Tabellenspalten Unterstützte Datentypen CHAR, NCHAR VARCHAR2, NVARCHAR2 NUMBER, BINARY_DOUBLE, BINARY_FLOAT DATE, TIMESTAMP, INTERVAL... RAW Übernimmt das Key Management Einige Einschränkungen Foreign Key Spalten Transportable Tablespace...

15 Tabellenspalten verschlüsseln CREATE TABLE kunden (name VARCHAR2(30), id NUMBER ENCRYPT USING 'AES192' IDENTIFIED BY einpasswort NO SALT) / ALTER TABLE produkte MODIFY (...) / 18

16 TDE - Tablespace-Verschlüsselung Tablespaces beim ersten Anlegen als verschlüsselt deklarieren Tablespaces nicht nachträglich zu ver- oder entschlüsseln Transport vorhandener Daten in verschlüsselte Tablespaces mit DATA PUMP, CTAS, ALTER TABLE... MOVE oder ONLINE REDEFINITION Oracle Support stellt zum Beispiel für Oracle Peoplesoft Enterprise, Hyperion EPM und andere Anwendungen Skripte zur Online Migration bereit (Doc ID ) CREATE TABLESPACE sicheristsicher DATAFILE '$ORACLE_BASE/dbdata/orcl/oddtde.dbf' SIZE 20G ENCRYPTION USING 'AES128' DEFAULT STORAGE (encrypt);

17 Hinweise: Tablespace-Verschlüsselung KEINERLEI funktionale Einschränkungen Unterstützt zum Beispiel sämtliche Segment-Typen Unterstützt zum Beispiel INDEX RANGE SCANs und FOREIGN KEYs Verschlüsselung wirksam auch für REDO-Einträge, UNDO und TEMPORARY SEGMENTE System- und Storageadministratoren haben keinen Zugriff auf mit TDE verschlüsselte Daten Fundamentaler Unterschied zur Verschlüsselung von Storagesystemen durch das BS oder Hardware! Masterkey änderbar Tablespace Key ist nicht änderbar

18 LOB-Verschlüsselung mit TDE Speicherung in einem verschlüsselten Tablespace ODER Verwendung von SecureFiles CREATE TABLE tabelle (region VARCHAR2(20), a BLOB) LOB(a) STORE AS SECUREFILE ( ENCRYPT USING 'AES128')

19 Zertifizierung von Anwendungen Oracle E-Business Suite, JD Edwards, PeopleSoft, Siebel, Fusion Applications... SAP ASO TDE ist von SAP zertifiziert Detaillierte Informationen zur Umsetzung SAP Note Netzwerkverschlüsselung ist von der SAP zertifiziert Detaillierte Informationen: SAP Note

20 Agenda Einleitung Datentransfer über das Netzwerk Daten in der Datenbank Backups Dump-/Exportdateien Keymanagement Security Day

21 Backups verschlüsseln mit RMAN Nur verfügbar mit Oracle Advanced Security Unverschlüsseltes Backup kann in die falschen Hände geraten RMAN> SET ENCRYPTION IDENTIFIED BY <password> ON FOR ALL TABLESPACES; RMAN> BACKUP DATABASE; Nutzt TDE wallet Automatisches Entschlüsseln bei Restore Restore benötigt Backup Wallet Passwort für Wallet

22 Agenda Einleitung Datentransfer über das Netzwerk Daten in der Datenbank Backups Dump-/Exportdateien Keymanagement Security Day

23 Data Pump-Verschlüsselung Nur verfügbar mit Oracle Advanced Security Steuerung über Parameter ENCRYPTION ALL / DATA_ONLY / ENCRYPTED_COLUMNS_ONLY / METADATA_ONLY / NONE ENCRYPTION_ALGORITHM AES128 / AES192 / AES256 ENCRYPTION_MODE PASSWORD / TRANSPARENT / DUAL ENCRYPTION_PASSWORD expdp scott/tiger encryption=all... directory=dmpdir...

24 Agenda Einleitung Datentransfer über das Netzwerk Daten in der Datenbank Backups Dump-/Exportdateien Keymanagement Security Day

25 TDE Keymanagement Überblick Master Key verschlüsselt Tabellen- /Tablespace-Schlüssel Master Key im PKCS#12 Wallet / Keystore Tabellen- / Tablespaceschlüssel verschlüsselt Daten

26 Funktionstrennung & Aufgabenverteilung Nach jedem STARTUP ALTER SYSTEM SET WALLET OPEN IDENTIFIED BY "einpasswort" -- Oracle Database 11g ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN IDENTIFIED BY einpasswort -- Oracle Database 12c Alternativ: Erzeugen eines (lokalen) Auto Open Wallet

27 Oracle Key Vault HSM und Wallet / Keystore Repository Security Day

28 Agenda Einleitung Installation und Konfiguration Security Day Einsatz als Repository Einsatz als HSM für TDE Hochverfügbarkeit und Backup Nachvollziehbarkeit und Berichte Schlussbemerkungen 32

29 Oracle Key Vault HSM für Oracle Advanced Security Transparent Data Encryption (TDE) Wallet Repository für Wallets / Keystores der Oracle Datenbank Wallets / Keystores der Oracle Middleware Java Keystores (JKS) Java Cryptography Extension Keystores (JCEKS) SSH Key Files Kerberos Keytabs 33

30 Wallet (Repository) oder HSM - Vor- und Nachteile Wallet + Lokal verfügbar - unabhängig von der Netzwerkverbindung - Relativ leicht zu kopieren / stehlen - Kann versehentlich gelöscht werden HSM + Schützt vor unberechtigtem Kopieren und Diebstahl des Wallets + Trennt das Speichern von Daten und Schlüsseln + Erlaubt gemeinsamen Zugriff auf die Schlüssel + Ermöglicht das Konsolidieren von Schlüsseln - Abhängig von der Netzwerkverbindung 34

31 Agenda Einleitung Installation und Konfiguration Security Day Einsatz als Repository Einsatz als HSM für TDE Hochverfügbarkeit und Backup Nachvollziehbarkeit und Berichte Schlussbemerkungen 35

32 Installation Installation als Software Appliance vom ISO Image X86-64bit Rechner Mindestens 4GB RAM und 500GB Speicherplatz Bestandteile der Installation Oracle Linux Oracle Datenbank Enterprise Edition Virtual Private Database (VPD) Oracle Advanced Security Transparent Data Encryption (TDE) Oracle Database Vault (DV) Oracle Key Vault Management Console Kein Bestandteil darf während oder nach der Installation eigenmächtig geändert, sondern nur im vorgegebenen Umfang konfiguriert werden 36

33 Konfiguration Während der Installation wird angegeben IP Adresse des Oracle Key Vault Einmalpasswort für das erste Einloggen in der Konsole Nach dem ersten Einloggen in der Konsole werden Rollen sowie ein Notfallpasswort eingerichtet Das Notfallpasswort wird benötigt zum Recovery und falls der Systemadministrator sein Passwort verliert Rollen können mehrfach vergeben werden Eine Person kann eine Rolle oder mehrere Rollen wahrnehmen 37

34 OKV Rollen System Administrator Starten / Stoppen des OKV, Backup / Recovery, Hochverfügbarkeit verwalten,... Key Administrator Zugriff auf Wallets, Schlüssel,... Audit Manager Verwalten des Audit Trails des OKV Root User Bei Bedarf zum Ausführen von Skripten,... Support User Bei Bedarf zum Einloggen über SSH 38

35 Agenda Einleitung Installation und Konfiguration Security Day Einsatz als Repository Einsatz als HSM für TDE Hochverfügbarkeit und Backup Nachvollziehbarkeit und Berichte Schlussbemerkungen 39

36 Vorbemerkungen Unterstützte Systeme werden Endpoints genannt Zur Zeit werden Endpoints mit folgenden Betriebssystemen unterstützt Linux X86-64 Versionen 5 und 6 Solaris Versionen 10 und 11 Endpoints können auf 2 Weisen eingerichtet werden self-enrollment In der Regel für Test- oder Demosysteme administrator initiated enrollment In der Regel für Produktionssysteme 40

37 OKV - Endpoint einrichten 41

38 OKV - Virtual Wallet einrichten 42

39 Datenbankserver einrichten okvclient.jar Verzeichnis okvutil wird angelegt Desktop]$ java -jar okvclient.jar d /oracle/app/oracle/product/okvutil -v Detected JAVA_HOME: /usr/lib/jvm/java openjdk x86_64/jre Enter new Key Vault endpoint password (RETURN for auto-login): Confirm new Key Vault endpoint password: Oracle Key Vault endpoint software installed successfully. 43

40 Wallets im OKV Repository sichern./okvutil upload -l "/oracle/app/oracle/product/11.2.0/dbhome_1/network/admin" -t wallet -g "JKwallet" Enter source wallet password: Enter Oracle Key Vault endpoint password: Upload succeeded rm $ORACLE_HOME/network/admin/ewallet.p12./okvutil download -l "$ORACLE_HOME/network/admin" -t wallet -g JKwallet Enter new wallet password (RETURN for auto-login): Enter Oracle Key Vault endpoint password: Download succeeded 44

41 Virtual Wallet im OKV 45

42 Agenda Einleitung Installation und Konfiguration Security Day Einsatz als Repository Einsatz als HSM für TDE Hochverfügbarkeit und Backup Nachvollziehbarkeit und Berichte Schlussbemerkungen 46

43 OKV als HSM für TDE = direct connection Betriebssystemrestriktionen gelten auch für direct connection Datenbankrestriktionen Oracle 11g Release 2 Oracle 12c OKV kann beim ersten Einrichten oder auch nachträglich als HSM eingesetzt werden Datenbankserver muss in OKV ebenfalls wie oben beschrieben als Endpoint eingerichtet werden 47

44 Wie ging das noch? Wallet für Oracle ASO TDE? Datenbank SQLNET.ORA ENCRYPTION_WALLET_LOCATION=(SOURCE= (METHOD=FILE)(METHOD_DATA=(DIRECTORY =$ORACLE_HOME/network/admin/tdewallet))) SQL ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY "DOAG.mai2015 "; CREATE TABLESPACE sicheristsicher DATAFILE '/home/oracle/dateiname.dbf' SIZE 100G ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT); 48

45 direct connection einrichten und nutzen Datenbank SQLNET.ORA ENCRYPTION_WALLET_LOCATION=(SOURCE= (METHOD=HSM)) SQL (wie gehabt) ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY "DOAG.mai2015"; CREATE TABLESPACE sicheristsicher DATAFILE '/home/oracle/dateiname.dbf' SIZE 100G ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT); Datenbankserver Das ist bereits bekannt okvclient.jar vom Oracle Key Vault herunterladen und entpacken Verzeichnis okvutil mit der benötigten Software wird angelegt Das muss zusätzlich passieren root.sh aus dem Verzeichnis okvutil/bin ausführen Verzeichnis mit der Software zum Zugriff auf PKCS#11 kompatible HSMs wird angelegt 49

46 Agenda Einleitung Installation und Konfiguration Security Day Einsatz als Repository Einsatz als HSM für TDE Hochverfügbarkeit und Backup Nachvollziehbarkeit und Berichte Schlussbemerkungen 51

47 Und was ist, wenn... OKV ausfällt oder die Netzwerkverbindung unterbrochen ist? OKV kann einmal gespiegelt werden Für Produktivumgebungen unerlässlich Das Standby-System ist passiv OKV komplett verloren geht? OKV verfügt über ein eigenes Backupsystem Durchführung über ein zeitlich zu steuerndes Job System Auch 'spontane' Backups sind möglich Backups sind logische Kopien der in OKV gespeicherten Informationen Lokal maximal ein logisches Backup Remote mehrere Versionen Backup Server muss über SCP ansprechbar sein 52

48 Agenda Einleitung Installation und Konfiguration Security Day Einsatz als Repository Einsatz als HSM für TDE Hochverfügbarkeit und Backup Nachvollziehbarkeit und Berichte Schlussbemerkungen 53

49 Irgendjemand fragt bestimmt mal nach OKV verfügt über ein eigenes Berichtssystem Bei Schlüsseln sind zum Beispiel Informationen verfügbar über Datum des Anlegens Datum des letzten Wechsels Verwendung... OKV verfügt über ein eigenes Auditsystem Wer hat wann auf welche Objekte wie zugegriffen? OKV verfügt über ein eigenes Alertsystem Benachrichtigungen zum Beispiel, wenn ein Schlüssel erneuert oder ein Passwort geändert werden muss 54

50 Informationen zu einem TDE Masterkey 55

51 Agenda Einleitung Installation und Konfiguration Security Day Einsatz als Repository Einsatz als HSM für TDE Hochverfügbarkeit und Backup Nachvollziehbarkeit und Berichte Schlussbemerkungen 56

52 Höchste Sicherheit durch Schutz auf allen Ebenen PRÄVENTION Verschlüsseln DETEKTION Aktivitäten überwachen ADMINISTRATION Schlüssel und Wallets / Keystores verwalten Redigieren und Maskieren Auditieren und Berichten Sensible Daten finden Privilegierte Benutzer kontrollieren Database Firewall Konfigurationen verwalten 57

53 Oracle Database Security - Informationsmaterial Datenblätter Whitepaper Webcasts Fallstudien Veranstaltungen Neuigkeiten 58

54 Informationen in deutscher Sprache DBA Community APEX Community Security Community 59

55

56