Verschlüsseln? Aber sicher!

Transkript

1 Verschlüsseln? Aber sicher! Wie bekomme ich meine DB etwas sicherer

2 Ziele des Vortrags Kurzer Überblick über verschiedene Möglichkeiten Datendateien und Netzwerkverkehr in Oracle zu verschlüsseln Demonstrationen der Einrichtung Kein Anspruch auf Vollständigkeit Achtung: Lizenzen können notwendig sein

3 Agenda VORSTELLUNG ARVATO SYSTEMS SQL*NET VERSCHLÜSSELN WALLET I TDE TRANSPARENT WALLET II DATA ENCRYPTION

4 Bertelsmann auf einen Blick 17,2 Mrd. Euro Umsatz 2,6 Mrd. Euro Operating EBITDA 1,2 Mrd. Euro Konzernergebnis Mitarbeiter 50 Länder Stand

5 Arvato ist ein international agierendes Dienstleistungsunternehmen 3,8 Mrd. Umsatz Mitarbeiter > 40 Länder ~200 Standorte Stand

6 Arvato Systems Empowering digital leaders! International agierender IT-Spezialist, auf Digital Transformation Solutions spezialisiert! Einzigartige Kombination aus Branchenwissen und herstellerübergreifendem Technologie-Know-how! Innovative IT-Lösungen, digitale Prozesse sowie Betrieb und Betreuung von Systemen! Kompetenzthemen: Cloud Computing, CRM, Enterprise Information Management (BPM, ECM ), Omni-Channel- und E- Commerce sowie IT-Outsourcing und Infrastructure Services! Know-how: viele starke Technologien und Partner, darunter Microsoft und SAP Lösungen Langjährige Erfahrung bei Digitaler Transformation IT-Lösungen für Handel, Medien, Utilities und Healthcare Breite Kompetenzen Stand Mio. Umsatz Mitarbeiter 6

7 Das bin ich Markus Böhmer DBA seit 1999 und Version 8 (noch ohne i) War mal in den Bereichen Solaris und Netzwerk engagiert Oracle DBA Certified Professional Mag Exadata und Securitythemen Ist privat in der Katastrophe zu Hause

8 Agenda VORSTELLUNG ARVATO SYSTEMS SQL*NET VERSCHLÜSSELN WALLET I TDE TRANSPARENT WALLET II DATA ENCRYPTION

9 SQL*Net Verschlüsselung I Voraussetzungen Native Verschlüsselung Verschlüsselung einrichten und prüfen TCPS / TLS

10 SQL*Net Verschlüsselung II LIZENZ Vor Edward Snowden: Advanced Security Nach Edward Snowden: Kostenfrei Note: Network encryption (native network encryption and SSL/TLS) and strong authentication services (Kerberos, PKI, and RADIUS) are no longer part of Oracle Advanced Security and are available in all licensed editions of all supported releases of Oracle Database. Quelle: Oracle Database Licensing Information User Manual

11 SQL*Net Verschlüsselung III NATIVE VERSCHLÜSSELUNG In allen OCI/JDBC Clients integriert Sehr leicht einzurichten Maximal vier Parameter auf Server- oder Clientseite notwendig Verschiedene Algorithmen für Verschlüsselung und Prüfsummen stehen zur Verfügung

12 SQL*Net Verschlüsselung IV PARAMETER UND KONFIGDATEIEN sqlnet.ora in $ORACLE_HOME/network/admin oder $TNS_ADMIN Parameter Default Parameter auf Serverseite sqlnet.encryption_server accepted sqlnet.encryption_types_server alle sqlnet.crypto_checksum_server accepted sqlnet.crypto_checksum_types_server alle Parameter auf Clientseite sqlnet.encryption_client accepted sqlnet.encryption_types_client alle sqlnet.crypto_checksum_client accepted sqlnet.crypto_checksum_types_client alle encryption_[server client] & checksum_[server client] Parameterwert Was macht es? accepted Ich muss nicht verschlüsseln, aber wenn mein Gegenüber mag, dann verschlüssele ich. rejected Verschlüsseln ist für Leute, die etwas zu verbergen haben, ich mag nur unverschlüsselte Verbindungen requested Ich bevorzuge Verschlüsselung, aber wenn es nicht anders geht, mache ich es auch im Klartext required Unverschlüsselte Verbindungen sind sowas von Wer nicht verschlüsselt, darf nicht mit mir reden

13 SQL*Net Verschlüsselung V VERSCHLÜSSELUNGS- UND PRÜFSUMMENALGORITHMEN (AUSWAHL) encryption_types_[server client] Parameterwert Oracle Version Was/Wo/Wie? 3des ,12.1,12.2,18.1 triple DES with a three-key (168-bit) option aes ,12.1,12.2,18.1 AES (128-bit key size) aes ,12.1,12.2,18.1 AES (256-bit key size) ARIA ARIA (256-bit key size) (Südkorea) SEED SEED (128-bit key size) (Südkorea) GOST GOST (256-bit key size) (Russland) checksum_types_[server client] Parameterwert Oracle Version Was/Wo/Wie? SHA ,12.1,12.2,18.1 SHA-1: Secure Hash Algorithm MD5 11.2,12.1,12.2,18.1 MD5: Message Digest 5 SHA ,12.2,18.1 SHA-2 using 256 bits with the hashing algorithm. SHA ,12.2,18.1 SHA-2 using 384 bits with the hashing algorithm. SHA ,12.2,18.1 SHA-2 using 512 bits with the hashing algorithm.

14 SQL*Net Verschlüsselung VI SQLNET.ORA BEISPIEL # sqlnet.ora Network Configuration File: /opt/oracle/product/18c/dbhomexe/network/admin/sqlnet.ora # Generated by Oracle configuration tools. NAMES.DIRECTORY_PATH= (TNSNAMES, EZCONNECT) sqlnet.encryption_server=required sqlnet.encryption_types_server=(aes256,aes128) sqlnet.crypto_checksum_server=required sqlnet.crypto_checksum_types_server = (SHA512) #sqlnet.encryption_client=rejected #sqlnet.encryption_types_client=(aes192)

15 SQL*Net Verschlüsselung VII IST DIE VERBINDUNG WIRKLICH VERSCHLÜSSELT? SQL> select network_service_banner from v$session_connect_info where sid IN ( select sid from v$session where username = 'SYS'and osuser='oracle') order by sid; NETWORK_SERVICE_BANNER Oracle Bequeath NT Protocol Adapter for Linux: Version Production Authentication service for Linux: Version Production SHA512 Crypto-checksumming service adapter for Linux: Version Produ ction AES256 Encryption service adapter for Linux: Version Production Crypto-checksumming service for Linux: Version Production Encryption service for Linux: Version Production 6 Zeilen ausgewahlt. SQL>

16 SQL*Net Verschlüsselung VIII TCPS/TLS VERSCHLÜSSELUNG In allen OCI/JDBC Clients integriert Zertifikat notwendig (von CA oder Self-Signed) Wallet notwendig MOS Note: (für Self-Signed Certificate) Zertifikate müssen vor Ablauf ausgetauscht werden Client Authentizität kann so geprüft werden

17 Agenda VORSTELLUNG ARVATO SYSTEMS SQL*NET VERSCHLÜSSELN WALLET I TDE TRANSPARENT WALLET II DATA ENCRYPTION

18 Wallet I Was ist ein Wallet? Wallet konfigurieren/standard Location Wallet erstellen Wallet Status prüfen Wallet öffnen Autologin/Local Autologin Wallet erstellen Wallet Merge

19 Wallet II WAS IST EIN WALLET? Ein Oracle Wallet ist ein PKCS12 Container und dient zur Speicherung von: Zugangsdaten Zertifikaten Encryption Keys Kann im Dateisystem oder ASM gespeichert werden

20 Wallet III WALLET KONFIGURIEREN Parameter ENCRYPTION_WALLET_LOCATION in sqlnet.ora ENCRYPTION_WALLET_LOCATION=(SOURCE=(METHOD=FILE)(METHOD_DATA=(DIRECTORY=+DATAGROUP1/XE/wallet))) oder: ENCRYPTION_WALLET_LOCATION=(SOURCE=(METHOD=FILE)(METHOD_DATA=(DIRECTORY=/u01/datenbanken/XE/wallet))) STANDARD LOCATION Parameter ENCRYPTION_WALLET_LOCATION ist nicht gesetzt! $ORACLE_HOME/admin/SID/wallet Hier: /opt/oracle/product/18c/dbhomexe/admin/xe/wallet

21 Wallet IV PARAMETER WALLET_ROOT Parameter WALLET_ROOT in spfile: SQL> show parameter wallet_root NAME TYPE VALUE wallet_root string /u01/datenbanken/xe/wallet DB legt Unterverzeichnisse für Wallets unterhalb wallet_root an für PDBs. /u01/datenbanken/xe/wallet/tde /u01/datenbanken/xe/wallet/tls /u01/datenbanken/xe/wallet/3fd1c95b48205d0fe053c5a0e40aef8c/tde /u01/datenbanken/xe/wallet/3fd1c95b48205d0fe053c5a0e40aef8c/tls Weitere Infos in der Oracle Dokumentation hier

22 Wallet V WALLET ERSTELLEN Verzeichnis erstellen An DB anmelden Wallet mit ADMINISTER KEY MANAGEMENT Kommando erstellen Alternative Oracle Tool: orapki [oracle@doagmachine XE]$ mkdir -p /opt/oracle/product/18c/dbhomexe/admin/xe/wallet [oracle@doagmachine XE]$ splus SQL*Plus: Release Production on Fri Nov 16 15:29: Version Copyright (c) 1982, 2018, Oracle. All rights reserved. Verbunden mit: Oracle Database 18c Express Edition Release Production Version SQL> ADMINISTER KEY MANAGEMENT CREATE KEYSTORE '/opt/oracle/product/18c/dbhomexe/admin/xe/wallet' IDENTIFIED BY "blabla123"; Keystore geandert.

23 Wallet VI WALLET STATUS PRÜFEN UND ÖFFNEN SQL> select * from v$encryption_wallet where con_id=1; WRL_TYPE WRL_PARAMETER STATUS WALLET_TYPE WALLET_OR KEYSTORE FULLY_BAC CON_ID FILE /opt/oracle/product/18c/dbhomexe/admin/xe/wallet CLOSED UNKNOWN SINGLE NONE UNDEFINED 1 SQL> ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN IDENTIFIED BY "blabla123"; Keystore geandert. SQL>

24 Wallet VII AUTOLOGIN WALLET ERSTELLEN SQL> ADMINISTER KEY MANAGEMENT CREATE AUTO_LOGIN KEYSTORE FROM KEYSTORE '/opt/oracle/product/18c/dbhomexe/admin/xe/wallet' IDENTIFIED BY "blabla123"; 2 Keystore geandert. SQL>!ls -l /opt/oracle/product/18c/dbhomexe/admin/xe/wallet insgesamt 8 -rw oracle oinstall Nov 15:46 cwallet.sso -rw oracle oinstall Nov 15:29 ewallet.p12

25 Agenda VORSTELLUNG ARVATO SYSTEMS SQL*NET VERSCHLÜSSELN WALLET I TDE TRANSPARENT WALLET II DATA ENCRYPTION

26 TDE I Was ist TDE / Voraussetzungen Masterkey und Tablespace Keys Masterkey für CDB und PDB? Spalten verschlüsseln Tablespace verschlüsseln (bei create und online)

27 TDE II WAS IST TDE TDE - Transparent Data Encryption Verschlüsselung von: Spalten Tablespaces Backups Lizenz der Advanced Security Option notwendig Jeder an der DB angemeldete Benutzer kann verschlüsselte Daten lesen und schreiben

28 TDE III MASTER KEY UND DATA ENCRYPTION KEYS Masterkey liegt außerhalb der DB in einem Wallet Data encryption keys liegen innerhalb der DB und sind mit dem Masterkey verschlüsselt Wallets sollten separat von der verschlüsselten Datenbank gesichert werden CDB und PDBs haben eigene Masterkeys Oracle TDE Whitepaper gibt es hier

29 TDE IV MASTER KEY FÜR CDB SQL> show con_id; CON_ID SQL> select key_id, con_id from v$encryption_keys; Es wurden keine Zeilen ausgewahlt SQL> ADMINISTER KEY MANAGEMENT SET KEY FORCE KEYSTORE IDENTIFIED BY "blabla123" with backup; Keystore geandert. SQL> select key_id, con_id from v$encryption_keys; KEY_ID CON_ID Aealsv14zE+/v05Fph+XAEMAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 1 SQL>

30 TDE V MASTER KEY FÜR PDB ANLEGEN SQL> ADMINISTER KEY MANAGEMENT SET KEYSTORE close; Keystore geandert. SQL> ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN IDENTIFIED BY "blabla123" CONTAINER=all; Keystore geandert. SQL> alter session set container=mbdoag1; Session wurde geandert. SQL> ADMINISTER KEY MANAGEMENT SET KEY USING TAG 'PDB_MBDOAG1' IDENTIFIED BY "blabla123" WITH BACKUP; Keystore geandert. SQL> select key_id from v$encryption_keys; KEY_ID AakWDPRWIE/6v0vyGT0uWWAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA SQL>

31 TDE VI SPALTEN VERSCHLÜSSELN SQL> CREATE TABLE mb.blabla1 ( michkannmanlesen varchar2(200), michkannniemandlesen varchar2(200) ENCRYPT USING 'AES256' ) tablespace mbdata; Tabelle wurde erstellt. SQL> insert into mb.blabla1 values ('ICH BIN LESBAR', 'ICH BIN NICHT LESBAR'); commit; 1 Zeile wurde erstellt. SQL> Transaktion mit COMMIT abgeschlossen. strings mbdata.dbf [oracle@doagmachine mbdoag1]$ strings mbdata.dbf } {z MBDATA AAAAAAAA ICH BIN LESBARD4^ [oracle@doagmachine mbdoag1]$

32 TDE VII TABLESPACE VERSCHLÜSSELN BEI ERSTELLUNG SQL> create bigfile tablespace mbdata2 datafile '/home/oracle/app/dbfiles/xe/mbdoag1/mbdata2.dbf' size 20M ENCRYPTION USING 'AES256' ENCRYPT; 2 Tablespace wurde angelegt. TABLESPACE ONLINE VERSCHLÜSSELN SQL> alter tablespace mbdata encryption online using 'AES256' encrypt FILE_NAME_CONVERT=('mbdata','mbdata_enc'); Tablespace wurde geandert. TABLESPACE OFFLINE VERSCHLÜSSELN SQL> ALTER TABLESPACE mbdata OFFLINE; Tablespace wurde geandert. SQL> ALTER TABLESPACE mbdata ENCRYPTION OFFLINE ENCRYPT; Tablespace wurde geandert. SQL> ALTER TABLESPACE mbdata ONLINE; Tablespace wurde geandert.

33 Agenda VORSTELLUNG ARVATO SYSTEMS SQL*NET VERSCHLÜSSELN WALLET I TDE TRANSPARENT WALLET II DATA ENCRYPTION

34 Wallet VIII WALLET MERGE SQL> ADMINISTER KEY MANAGEMENT CREATE KEYSTORE '/home/oracle/walletbackup' IDENTIFIED BY "blabla123"; Keystore geandert. SQL> ADMINISTER KEY MANAGEMENT MERGE KEYSTORE '/opt/oracle/product/18c/dbhomexe/admin/xe/wallet' IDENTIFIED BY "blabla123" INTO EXISTING KEYSTORE '/home/oracle/walletbackup' IDENTIFIED BY "blabla123" WITH BACKUP; 2 Keystore geandert. SQL>

35 Links DOKUMENTATIONEN ZU TDE Using Transparent Data Encryption Encryp{on and Redac{on in Oracle Database 12c with Oracle Advanced Security Master Note For Transparent Data Encryp{on ( TDE ) (Doc ID )

36 Ihr Kontakt Arvato Systems Markus Böhmer Systems Engineer Oracle Database An der Autobahn Gütersloh IT.arvato.com

37 Vielen Dank für Ihre Aufmerksamkeit!