Datenbank Sicherheit Standards, Prozesse, Werkzeuge

Transkript

1 SIG Security 3. März 2011 Datenbank Sicherheit Standards, Prozesse, Werkzeuge Dr. Günter Unbescheid Database Consult GmbH

2 Database Consult GmbH Gegründet 1996 Kompetenzen rund um ORACLE Tätigkeitsbereiche Systemanalysen, Tuning, Installation, Konfiguration Security und Identity Management Expertisen/Gutachten Support, Troubleshooting, DBA Aufgaben Datenmodellierung und design Programmierung: SQL, PL/SQL, Java, JSP, ADF, BC4J Workshops (in house) Database Consult GmbH Jachenau 2

3 Database Consult GmbH Kundenprojekte im Bereich Security (letzte 3 Jahre): Security Konzept Datenbank Personifizierte DBA Accounts, Auditing, Single Sign On Single Sign On für Webapplikationen Zusammenführung diverser User Datenquellen per Oracle Virtual Directory Authentifizierung per Oracle Access Manager Personifizierte und zentrale DB Benutzerverwaltung Nutzung von Kerberos und Enterprise Usern (OID, OVD,AD) Globale Rollen und Enterprise Rollen Database Consult GmbH Jachenau 3

4 Themen Einführende Gedanken zum Thema... Fakten zur Bedrohungslage Sicherheit als Projekt Regeln, Standards, Werkzeuge Database Consult GmbH Jachenau 4

5 Einführende Gedanken zum Thema Database Consult GmbH Jachenau 5

6 Bäume statt Wald? Single Sign On Authentication DAC Databsase Vault VPD Secure Files Auditing Wallets Authorisation FGA Application Context Audit Vault Enterprise Users Roles CRL Shared Schema SSL Object Privs Labels Global Roles System Privs Network Data Encryption RLS password policies TDE Enterprise Roles Proxy Authentication MAC certificates Database Consult GmbH Jachenau 6

7 Oracle Dokumentation zum Thema Manual Seiten Inhalt Oracle Database 2 Day + Security Guide 124 Klicken im OEM Oracle Database Security Guide 436 Standard Features, VPD, Oracle Database Advanced Security Administrator s Guide Oracle Database Enterpirse User Security Administrator s Guide Oracle Database Label Security Administrator s Guide Oracle Database Vault Administrator s Guide Diverse Manuals zu Audit Vault 300 Advanced Security Option 182 Enterprise User Security 294 Label Security 360 Database Vault 1696 Seiten ohne Audit Vault! Database Consult GmbH Jachenau 7

8 Annäherung... Cryptography is a branch of mathematics,...(it) is perfect. Security,... involves people,... (it) is a process, not a product (Bruce Schneier, Secrets & Lies) Database Consult GmbH Jachenau 8

9 Nur Kosten?! Auch Nutzen?! Neue Funktionalität?? Längere Projektlaufzeiten Security Neue Fehlerquellen Höhere Komplexität Performance?? Neue Technologien Interessante Fortbildungen Manager Techniker Database Consult GmbH Jachenau 9

10 Annäherung... Die Frage ist nicht, ob wir uns Sicherheit leisten können, sondern die durch Ausfälle und Kompromittierungen entstehenden Schäden. Sicherheit ist mehr als Datenverschlüsselung und das Einspielen von Patches Database Consult GmbH Jachenau 10

11 Thematisches Umfeld Database Consult GmbH Jachenau 11

12 3 Säulen Vertraulichkeit ist die Eigenschaft einer Nachricht, nur für einen beschränkten Empfängerkreis vorgesehen zu sein. Verfügbarkeit ist die Uptime pro Zeiteinheit (in Prozent), sofern die Antwortzeit eine bestimmte Kenngröße nicht überschreitet. Integrität ist die vollständige sowie unveränderte Übermittlung von Daten an den Empfänger Database Consult GmbH Jachenau 12

13 Publizierte Fakten zur Bedrohungslage Database Consult GmbH Jachenau 13

14 Trends und Risiken DB Trends mehr Systeme mehr Daten neue Datenklassen DBA Trends weniger Administratoren externe Dienstleister Security Anforderungen Schutzbedarf per Risikoanalyse Konzentration auf exponierte Systeme Zugriffskontexte Datensensibilität Schutzbedarf Datenfluss Database Consult GmbH Jachenau 14

15 Bekanntmachungen Privacy Rights Clearinghouse Chronologie der Verstösse, allgemeine Informationen breach (2010) DATA BREACH INVESTIGATIONS REPORT Verizon in Zusammenarbeit mit United States Secret Service (USSS) Gemeinsamkeiten/Gruppierungen/Statistiken Data Breach Blog (SC Magazine), u.v.m. Database Consult GmbH Jachenau 15

16 Verizon Report Database Consult GmbH Jachenau 16

17 Verizon Empfehlungen Restrict and monitor privileged users Gefahr durch Insider, Logging hoch privilegierter Ben. Watch for minor policy violations Implement measures to thwart stolen credentials effektive und starke Authentifizierungen Monitor and filter egress network traffic auswärts gewandter Netzverkehr Database Consult GmbH Jachenau 17

18 Verizon Empfehlungen Change your approach to event monitoring and log analysis schnell und effizient Share incident information Kette: Implementierung > Entscheidung > Kenntnis > Informationen Database Consult GmbH Jachenau 18

19 Sicherheit als Projekt Database Consult GmbH Jachenau 19

20 Motivation Warum überhaupt? Vermeidung von Datenverlust/ diebstahl (data breach) Einhaltung regulativer Vorgaben (compliance) Pros Vermögenswerte schützen Vermeidung von Folgekosten und Imageverlust Cons Lizenzkosten, Planungs und Entwicklungskosten (TCO statt ROI!) Storage und CPU Auswirkungen Database Consult GmbH Jachenau 20

21 Massnahmen Präventiv Schutzbedarf ermitteln Security Konzept erstellen und umsetzen Compliance regelmässig prüfen Detektiv Auditing und Monitoring Reaktiv prompt und situationsgerecht Klientel Datencharakteristik Risiko Datenfluss Database Consult GmbH Jachenau 21

22 Security Projekte Konzepte + Technik + Prozesse separation of duties ganzheitlich von Anfang an integraler Bestandteil ROI schwer ermittelbar In jedem Fall Teamarbeit Entwicklung (DB )Administration Monitoring/Operations Geschäftsleitung Technik Konzeption Prozesse Database Consult GmbH Jachenau 22

23 Security Projekte Welche Daten und Datenströme gibt es? Welche Bedrohungen existieren? Wie hoch sind die Risiken? Gewichtung Welche Gesetze/Regeln? intern / extern Welche Maßnahmen sollen ergriffen werden? Balance Offenheit Schutz Database Consult GmbH Jachenau 23

24 Prinzipien Separation of Duties Least Privilege need-to know Reconstruction of Events Accountability Authenticated Users Identified Security steht und fällt mit identifizierbaren Benutzern Database Consult GmbH Jachenau 24

25 Security Universum Database Consult GmbH Jachenau 25

26 Security Universum Database Consult GmbH Jachenau 26

27 Security Universum Database Consult GmbH Jachenau 27

28 Security Universum Database Consult GmbH Jachenau 28

29 Security Universum Database Consult GmbH Jachenau 29

30 Security Universum Database Consult GmbH Jachenau 30

31 Massnahmen Database Consult GmbH Jachenau 31

32 Regeln, Standards, Werkzeuge Database Consult GmbH Jachenau 32

33 Regulatorien Interne Vorgaben Gesetze externe Vorgaben Branchen, nationale Regeln, gebunden an Firmengrösse u.a. Sarbanes Oxley, PCI DSS Nicht immer mit präzisen technishen (DB )Vorgaben Best Practise Kompendien erleichtern Umsetzung Database Security Technical Implementation Guide (STIG) von Defense Informtion Systems Agency (DISA) für DoD (allgemein und Oracle spezifisch) Center For Internet Security Benchmark for Oracle Database Consult GmbH Jachenau 33

34 Hardening sichere Konfiguration eines Systems Minimierung von Risiken sichere Codebasis Patching Große Zahl von Einzelmaßnahmen Ausarbeitung einer "Hardening Guideline" Setzen einer "Configuration Baseline" Database Consult GmbH Jachenau 34

35 STIG Publikationen Ausschnitt: Oracle 11 Database Security Checklist Version 8 Release 1.8 Generic Database STIG, Version 8, Release 1 Generic Database Security Checklist, Version 8, Release Database Consult GmbH Jachenau 35

36 STIG Ausschnitt Database Consult GmbH Jachenau 36

37 STIG Ausschnitt Checks/Fixes können auch detaillierte SQL Anweisungen enthalten Database Consult GmbH Jachenau 37

38 CIS Oracle Benchmarks Database Consult GmbH Jachenau 38

39 Secure By Default Option beim Anlegen einer DB mit DBCA in 11gR1 Mit DBCA automatisch in 11gR2 Beim manuellen Anlegen einer DB fehlt: audit_trail = DB (Standard: NONE) Diverse Standard Audit Optionen Skript $ORACLE_HOME/rdbms/admin/secconf.sql Weitere Features: Benutzer per Default gesperrt, besserer Passwort Hash, Database Consult GmbH Jachenau 39

40 Project Lockdown Artikel in Oracle Technology Network von Arup Nanda Vorgehensweise für Härtung von Datenbanken in verschiedenen Phasen html Database Consult GmbH Jachenau 40

41 Patches Patches beheben Fehler und/oder Sicherheitslücken werden einzeln (one off) oder in Patch Sets verteilt Funktionale Patches problemlos akzeptiert durch Leidensdruck Sicherheitspatches problematisch, weil keine spürbare Fehlfunktionen unnötiges Herunterfahren von abhängigen Softwarekomponenten quartalsweise publiziert Database Consult GmbH Jachenau 41

42 Sicherheitspatches publiziert als Patchset dienstags am oder nach dem 15. der Monate Januar, April, Juli, Oktober als Critical Patch Update (CPU) nur sicherheitsrelevante Fixes, kumulativ oder Patch Set Update (PSU) sicherheitsrelevante und wichtige funktionale Fixes Performance neutral, kumulativ, erhöht Release Nummer Eindeutige Strategie gefordert nach dem Wechsel auf PSU kein zurück auf CPU Database Consult GmbH Jachenau 42

43 Automatisierte Prüfungen Vulnerability Assessment Tools/Scanners (VAT) darunter auch Oracle taugliche vatools.htm u.a. AppDetective, AppSentry, Guardium, NGSSQuirrel prüfen Software, Misconfiguration, Misuse Aussen und Innenprüfungen, Diff Reports produzieren Security Report mit Empfehlungen und Lockdown Script Anlegen von Baselines durch Change Tracking Tools Digests auf Prüfelementen über VAT Database Consult GmbH Jachenau 43

44 NGSSQuirrel Database Consult GmbH Jachenau 44

45 Auf den Punkt gebracht Verstehen der eigenen Datencharakteristik und Kategorisierung der eigenen Systeme Verstehen der Bedrohungszenarien und ihrer Relevanz für die eigenen Gesamtsysteme Sichtung allgemein anerkannter Standards zur Konfiguration und Kontrolle Konzeption eigener Security Policies auf dieser Basis Referenzinstallation und konfiguration Automatisierte Prüfungen zur Kontrolle Database Consult GmbH Jachenau 45

46 Danke für s Zuhören consult.de Database Consult GmbH Jachenau 46