Oracle Whitepaper Juni Oracle Database 11g: Kosteneffektive Lösungen für Sicherheit und Richtlinienkonformität

Transkript

1 Oracle Whitepaper Juni 2009 Oracle Database 11g: Kosteneffektive Lösungen für Sicherheit und Richtlinienkonformität

2 Schutz vertraulicher Informationen Informationen wie Betriebsgeheimnisse, Finanzdaten und persönliche Daten aller Art sind zum Ziel ausgefeilter Angriffe geworden, und zwar von beiden Seiten der Firewall. Die meisten Unternehmen setzen zwar seit langem Firewalls sowie Technologien zur Erkennung von Angriffen und Abwehr von Spam ein, der Datenschutz erfordert heutzutage jedoch eine DiD-Strategie (Defense-in-Depth), die auch die Einhaltung gesetzlicher Richtlinien umfasst. Mit 30 Jahren Erfahrung im Bereich der Datenbanksicherheit bietet die Oracle Database Defense-in-Depth-Sicherheitskontrollen, die Unternehmen einen transparenten Datenschutz ermöglichen. Durch die Nutzung dieser Kontrollen sind Unternehmen in der Lage, ihre Daten zu schützen und die Einhaltung von Richtlinien kosteneffektiv und nachhaltig durchzusetzen. Sicherheitsfaktoren Technischer Fortschritt hat das Internet und die Globalisierung der Märkte möglich gemacht und so dazu beigetragen, dass Unternehmen Kosten reduzieren und ihre Produktivität drastisch steigern konnten. Gleichzeitig ist er jedoch auch der Grund, warum Angriffe auf Daten nun von jedem Ort der Welt gestartet werden können. Geschäftsmotive wie Datenkonsolidierung, Globalisierung, richtige Sourcing-Strategien und Cloud Computing werden für die Reduzierung von Kosten immer wichtiger. Diese Anforderungen können jedoch ohne angemessene Sicherheitskontrollen und innovative Sicherheitslösungen nicht erfüllt werden. Die Herausforderung besteht nicht allein darin, Daten sicher zu machen, sondern dabei die Skalierbarkeit, Leistung und Verfügbarkeit von Anwendungen nicht zu beeinträchtigen. 1

3 Abb. 1: Globale Sicherheit im Unternehmen Der Schutz vor versehentlichem und absichtlichem Datenverlust durch Insider erfordert die Anwendung von zwei Prinzipien: einerseits das Need-to-Know-Prinzip, andererseits das Prinzip Vertrauen ist gut, Kontrolle ist besser. Mehrere Länder, einschließlich den USA und Japan, haben bereits Gesetze zur internen Kontrolle von Finanzdaten erlassen. Darüber hinaus werden immer häufiger Gesetze zum Datenschutz erlassen, die eine Verschlüsselung personenbezogener Daten fordern. So haben in den USA mehr als 40 Staaten bereits Gesetze zur Benachrichtigung bei Datenschutzverletzungen eingeführt. Gleichzeitig fordern Brancheninitiativen wie der Datensicherheitsstandard der Payment Card Industry (PCI) die Beschränkung des Zugriffs auf Kreditkarteninformationen. DiD-Sicherheit (Defense-in-Depth) Die DiD-Datensicherheit beinhaltet einen ganzheitlichen Ansatz im Bereich des Datenschutzes. Um diesen umzusetzen muss der gesamte Lebenszyklus der Daten berücksichtigt werden: wo sich die Daten befinden, welche Anwendungen auf sie zugreifen und wer unter welchen Bedingungen auf die Daten zugreift. Gleichzeitig muss sichergestellt werden, dass Systeme ordnungsgemäß konfiguriert werden und auch bleiben. Die drei Schlüsselelemente für diesen Ansatz sind Datenverschlüsselung und - maskierung, Zugriffskontrolle und Überwachung: 2

4 Abb. 2: Defense-in-Depth Verschlüsselung und Maskierung sind wichtig für den Schutz der Daten außerhalb der Zugriffskontrolle der Datenbank. Festplattendaten, die sich unterhalb der Datenbank- und Anwendungsschichten befinden, Daten in Test- und Entwicklungsumgebungen, Daten, die über das Netzwerk übertragen werden und Daten auf Backupmedien benötigen einen Schutz, den nur Verschlüsselung und Maskierung bieten können. Ausrangierte Festplatten und Administratorberechtigungen für Betriebssysteme ermöglichen den ungehinderten Zugriff auf vertrauliche Daten unter Umgehung der Authentifizierungs- und Zugriffskontrollregeln innerhalb der Datenbanken. Wenn Produktionsdaten für Test- und Entwicklungszwecke in andere Abteilungen verschoben werden, bedeutet dies häufig, dass Personen ohne dringenden Grund vertrauliche Daten einsehen können. Zweifellos sind Daten jedoch beim Transport über das Internet am meisten gefährdet, Ziel unbefugter Zugriffe zu werden. Zugriffskontrollen, die über die Anwendungsebene hinausgehen, sind inzwischen unerlässlich, damit Unternehmen die Vorteile von Datenkonsolidierung, Datenauslagerung und Cloud Computing nutzen können. In der Vergangenheit wurden Anwendungen im Hinblick auf die Anpassung an Internetanforderungen entwickelt und mit rollenbasierten Zugriffsrechten versehen. Heute jedoch erfordern Richtlinien und Gesetze zum Datenschutz eine Beschränkung des Zugriffs auf Anwendungsdaten, sogar für Datenbankadministratoren und speziell für Adhoc-Tools, mit deren Hilfe Anwendungen umgangen werden können. 3

5 Verschlüsselung und Zugriffskontrolle sind zwar die Hauptkomponenten für den Datenschutz. Aber auch das beste Sicherheitssystem ist anfällig, wenn kein entsprechendes Überwachungssystem vorhanden ist. So wie Videokameras akustische Alarmsysteme im Privat- und Geschäftsbereich ergänzen, komplettiert das Überwachungssystem die Verschlüsselungs-, Maskierungs- und Zugriffskontrollsysteme, indem es Antworten auf die Fragen wer, was und wann bietet. DiD-Sicherheitslösung von Oracle Oracle stellt umfassende und transparente DiD-Lösungen bereit, die den Herausforderungen gerecht werden, vor denen die heutige globale Wirtschaftswelt im Hinblick auf Geschäftsmodelle und angesichts der Komplexität des regulatorischen Umfelds steht. Abb. 3: DiD-Lösung von Oracle 4

6 Verschlüsselung und Maskierung Oracle Advanced Security bietet Transparenz bei der Verschlüsselung von gespeicherten Daten und Daten im Transfer. Oracle Secure Backup ist eine Backup-Band-Lösung zur Verschlüsselung von Daten in Datenbanken und Dateisystemen. Oracle Data Masking macht Produktionsdaten unkenntlich, bevor diese für Tests oder an Partner weitergegeben werden. Zugriffskontrolle Oracle Database Vault verhindert den Zugriff durch den DBA oder andere privilegierte Benutzer und ermöglicht die Echtzeitkontrolle von Datenbankaktivitäten. Oracle Label Security bietet Zugriffskontrolle durch Datenklassifizierung. Überwachung Das Configuration Management des Oracle Enterprise Managers prüft die Datenbank und das Dateisystem auf sicherheitsrelevante Konfigurationseinstellungen. Oracle Audit Vault konsolidiert Audit-Daten von mehreren Servern, ermöglicht die Verfolgung von Benutzeraktivitäten und erstellt Berichte und Warnmeldungen zu auffälligen Aktivitäten. Oracle Total Recall stellt Informationen zum Änderungsverlauf sensibler Daten bereit. Verschlüsselung und Maskierung Transparente Datenverschlüsselung Oracle bietet zuverlässige Verschlüsselungslösungen zum Schutz sensibler Daten vor unbefugtem Zugriff auf Betriebssystemebene und zum Schutz vor Datendiebstahl von 5

7 Hardware oder Backupmedien. Oracle Transparent Data Encryption (TDE) erfüllt Datenschutz- und PCI-Anforderungen durch die Verschlüsselung personenbezogener Daten wie Sozialversicherungs- und Kreditkartennummern. Abb. 4: Verschlüsselung und starke Authentifizierung mit Oracle Oracle unterstützt die transparente Verschlüsselung spezieller Spalten mit vertraulichen Daten durch die TDE-Spaltenverschlüsselung und kompletter Anwendungen über die TDE-Tablespace-Verschlüsselung. Mithilfe von Oracle Enterprise Manager können Spalten schnell und problemlos verschlüsselt oder komplett verschlüsselte Tablespaces zur Speicherung aller Anwendungstabellen erstellt werden. TDE ist für bestehende Anwendungen vollkommen transparent, sodass keine Datenbanktrigger, Ansichten oder andere Anwendungskomponenten geändert werden müssen. Die Datenverschlüsselung beim Schreiben auf Festplatte erfolgt transparent, ebenso wie die Datenentschlüsselung, wenn sich ein Benutzer der Anwendung erfolgreich authentifiziert und alle Autorisierungsprüfungen bestanden hat. Vorhandene Datenbank-Backuproutinen funktionieren weiterhin, wobei die Daten beim Backup verschlüsselt bleiben. Zur Verschlüsselung kompletter Datenbanksicherungen auf Festplatte kann TDE in Verbindung mit Oracle RMAN verwendet werden. Die TDE-Spaltenverschlüsselung und die TDE-Tablespace-Verschlüsselung wurden beide für die Verwendung mit Siebel-, PeopleSoft- und Oracle E-Business Suite-Anwendungen zertifiziert. Oracle Database 11g unterstützt darüber hinaus die externe Speicherung des TDE- Master-Verschlüsselungsschlüssels auf einem HSM-Gerät (Hardware Security Module) 6

8 über die branchenübliche PKCS#11-Schnittstelle. Auf diese Weise kann der TDE-Master- Schlüssel noch besser gesichert werden. Verschlüsselung während der Datenübertragung Oracle Advanced Security ist eine einfach zu implementierende Lösung zum Schutz von Datenübertragungen an die und von der Oracle Database. Sie bietet eine SSL/TLSbasierte Verschlüsselung und die native Netzwerkverschlüsselung für Unternehmen ohne PKI-Infrastruktur. Die Oracle Database kann so konfiguriert werden, dass sie Verbindungen von Clients ohne Datenverschlüsselung ablehnt oder aber optional unverschlüsselte Verbindungen zulässt, um die für die Bereitstellung erforderliche Flexibilität zu gewährleisten. Die Konfiguration der Netzwerksicherheit wird mithilfe des Oracle Network Configuration-Verwaltungstools erleichtert, das Unternehmen die problemlose Bereitstellung der Netzwerkverschlüsselung ohne weitere Anwendungsänderungen ermöglicht. Schutz für Backup-Bänder Der Verlust oder Diebstahl von Bändern ist häufig der Grund, warum sensible Daten verloren gehen. Oracle Secure Backup verschlüsselt Bänder und ermöglicht die zentrale Verwaltung von Backup-Bändern der kompletten Oracle Umgebung. Zudem schützt die Lösung die Oracle Datenbank und die vorhandenen UNIX-, Linux-, Windows- und NAS- Dateisystemdaten (Network Attached Storage). Oracle Secure Backup kann über Recovery Manager (RMAN) in die Oracle Datenbank integriert werden und unterstützt die Versionen Oracle9i bis Oracle Database 11g. Durch die optimierte Integration erfolgt die Sicherung schneller und mit geringerer CPU-Auslastung als mit vergleichbaren Medienverwaltungs-Programmen. Oracle Data Masking Oracle Data Masking unterstützt Unternehmen bei der Einhaltung des Datenschutzes und anderer schutzrechtlicher Bestimmungen. Oracle Data Masking bietet die Möglichkeit, vertrauliche Daten wie Kreditkarten- oder Sozialversicherungsnummern durch realistische, aber nicht echte Werte zu ersetzen. Auf diese Weise können Produktionsdaten sicher für Entwicklungs- und Testzwecke verwendet oder an externe 7

9 Partner für andere produktionsfremde Zwecke weitergeleitet werden. Oracle Data Masking verwendet eine Bibliothek mit Vorlagen und Formatierungsregeln, die die konsistente Datenumwandlung unterstützt, um die referenzielle Integrität der Anwendungen nicht zu beeinflussen. Abb. 5: Oracle Data Masking Zugriffskontrolle Die Oracle Database bietet leistungsstarke Funktionen, mit denen Benutzern und Rollen Berechtigungen für Datenbankobjekte gewährt und entzogen werden können. Angesichts der neuen Bedrohungen und Herausforderungen erwarten Kunden heute eine Aufgabentrennung selbst für Administratoren, eine Echtzeit-Zugriffskontrolle, die bestimmt, wer welche Aufgaben in Datenbanken ausführen darf, und die Möglichkeit, derartige Lösungen für vorhandene Anwendungen einzusetzen. Kontrolle privilegierter Benutzer Die Position von IT-, Datenbank- und Anwendungsadministratoren erfordert höchste Vertrauenswürdigkeit. Die Einhaltung gesetzlicher Vorschriften, Outsourcing, Konsolidierung von Anwendungen und zunehmende Bedenken im Hinblick auf interne Bedrohungen haben jedoch dazu geführt, dass starke Zugriffskontrollen für sensible Anwendungsdaten schon fast eine zwingende Anforderung darstellen. Oracle Database Vault bietet Unternehmen die Möglichkeit, privilegierten Benutzern den Zugriff auf Anwendungsdaten zu verwehren, indem sensible Tabellen- oder Anwendungsdaten in 8

10 ein Realm überführt werden. Administratoren können weiterhin ihre gewohnten Aufgaben wie Leistungsoptimierung und Datenbankverwaltung ausführen, die sensiblen Daten jedoch nicht mehr einsehen oder ändern. Zugriffskontrolle in Echtzeit Abb. 6: Kontrolle privilegierter Benutzer Oracle Database Vault ermöglicht eine erhebliche Steigerung der Sicherheit, indem eingeschränkt wird, wann, wo und wie bestimmte Personen auf Datenbanken und Anwendungen zugreifen dürfen. Faktoren wie IP-Adresse, Tageszeit und Authentifizierungsmethode können flexibel verwendet und angepasst werden, um die Zugriffskontrolle ohne Änderungen an der Anwendung einzusetzen. Der Zugriff kann z. B. auf eine spezifische Middle Tier beschränkt werden, indem ein vertrauenswürdiger Pfad zu den Anwendungsdaten erstellt und die Verwendung von Adhoc-Tools verhindert wird. Oracle Database Vault ermöglicht zudem die Aktivierung zusätzlicher Sicherheitsrichtlinien für zahlreiche SQL-Befehle. Abb. 7: Zugriffskontrolle in Echtzeit 9

11 Funktionstrennung Oracle Database Vault bietet direkt einsatzbereite Sicherheitsfunktionen für drei separate Zuständigkeitsbereiche: Administration, Kontoverwaltung und alltägliche Aktivitäten der Datenbankverwaltung. Oracle Database Vault kann verhindern, dass ein DBA einen neuen Benutzer erstellt, wenn ihm hierfür keine ausreichende Berechtigung erteilt wurde. Unternehmen mit begrenzten Ressourcen können mehrere Konten erstellen und dennoch die von der von Database Vault bereitgestellte Funktionstrennung nutzen. Oracle Database Vault ist für Oracle 9i Release 2, Oracle Database 10g Release 2 und Oracle Database 11g verfügbar. Für zahlreiche Anwendungen wie E-Business Suite, PeopleSoft und Siebel sind Standardrichtlinien vorhanden. Sicherheit durch Datenklassifizierung Herkömmliche Datenbankberechtigungen zum Auswählen, Einfügen, Aktualisieren und Löschen gehen nicht weiter als bis zur Objektebene. Einem Benutzer kann z. B. die Auswahlberechtigung für eine Kundentabelle zugewiesen, aber der Zugriff auf die einzelnen Zeilen der Kundentabelle verwehrt werden, sodass ein Vertriebsmitarbeiter nur auf die Kundendaten seiner Region zugreifen kann. Oracle Label Security schützt Daten, indem es jeder Zeile einen Datenkennsatz zuweist. Damit ein Benutzer auf eine durch Datenkennsatz geschützte Zeile zugreifen kann, muss er über den entsprechenden Benutzerkennsatz verfügen. Je nach Unternehmensrichtlinie können mit Oracle Label Security Richtlinien erstellt werden, die die Zugriffskontrolle auf der Grundlage von Hierarchien, Gruppen oder einer optionalen Aufteilung (Compartments) regeln. Unternehmen mit hohen Datensicherheitsanforderungen nutzen Label Security, um den Zugang zu vertraulichen und hoch sensiblen Daten, die in derselben Anwendungstabelle gespeichert sind, in Compartments aufzuteilen: ein Schema, das als Multilevel Security (MLS) bekannt ist. Andere Unternehmen können mithilfe von Datenkennsätzen Daten je nach Anforderungen, z. B. Mandantenfähigkeit, Hosting, Software-as-a-Service und andere Sicherheitsanforderungen, in entsprechende Compartments aufteilen. 10

12 Abb. 8: Zugriffskontrolle in Echtzeit Richtlinien dienen als logische Container für Daten- und Benutzerkennsätze, Durchsetzungs-Einstellungen und geschützte Objekte. Benutzerkennsätze können für die Bereitstellung im Unternehmen mit Oracle Identity Management zentral verwaltet werden. Datenkennsätze können Anwendungstabellen zudem als verborgene Spalten angehängt werden, sodass vorhandene Anweisungen zum Aktualisieren und Einfügen weiterhin ohne Änderungen funktionieren. Label Security bietet zahlreiche Optionen zur Durchsetzung der Zugriffskontrolle bei Auswahl- und Aktualisierungs-Vorgängen und ist mit gängigen Anwendungsbenutzermodellen kompatibel. Benutzerkennsätze können zudem innerhalb der Oracle Database Vault-Befehlsregeln als Faktoren verwendet werden. Mit dieser leistungsstarken Funktion geht das Label Security-Konzept über die traditionelle Zugriffskontrolle auf Zeilenebene hinaus und erweitert diese bis auf Datenbank- und Anwendungsebene. Die Aufgabentrennung kann z. B. unter Berücksichtigung des Administrator-Benutzerkennsatzes innerhalb einer Database Vault-Regel angepasst werden. Oracle Label Security bietet die Möglichkeit der Integration mit vorhandenen Anwendungen wie beispielsweise Oracle E-Business Suite. 11

13 Überwachung Configuration Management Pack für Compliance Die Konfigurationsverwaltung ist eine wichtige Komponente im täglichen IT-Betrieb jedes Unternehmens. Oracle Configuration Management Pack unterstützt als Herzstück von Oracle Enterprise Manager die Verwaltung von Konfigurationen und die Automatisierung von IT-Prozessen. Eine zentrale Komponente dieser Lösung ist die Configuration Change Console, die autorisierte bzw. nicht autorisierte Konfigurationsänderungen automatisch erkennt, bewertet und erfasst und so Kosten und Risiken senkt. Compliance-Bewertungen Die proaktive Bewertung der Einhaltung von Vorschriften in den Bereichen Sicherheit, Konfiguration und Speicherung sorgt dafür, dass potenzielle Sicherheitslücken und Bereiche erkannt werden, in denen Best Practices nicht eingehalten werden. Oracle Configuration Management Pack enthält mehr als 200 integrierte Richtlinienprüfungen und bietet Administratoren die Möglichkeit, eigene benutzerdefinierte Richtlinien zu definieren. Oracle Enterprise Manager verfolgt Verstöße gegen diese Richtlinien auf ähnliche Art und Weise, wie Leistungsmetriken verfolgt werden. Benachrichtigungsregeln können zugewiesen und Gegenmaßnahmen bei Verstößen angewendet werden. Wenn z. B. Benutzername oder Kennwort einer Datenbank bekannt geworden sind oder auf dem Anwendungsserver ein offener Port erkannt wird, kann eine Gegenmaßnahme definiert werden, um das Konto automatisch zu deaktivieren und den Port zu schließen. Diese proaktive Form der Richtliniendurchsetzung wird durch Berichte zur Einhaltung von Vorschriften ergänzt. Die Berichte enthalten eine Compliance-Bewertung der Zielobjekte. Compliance-Bewertungen können über eine gewisse Zeitspanne dargestellt und Verstöße und Auswirkungen im Hinblick auf die jeweiligen Ziele im Detail angezeigt werden. Die Integration in Ticketing-Lösungen ermöglicht es, dass Informationen zu Richtlinienverstößen automatisch an ein Ticketing-System gesendet und Tickets bei Vorfällen nicht manuell erstellt werden müssen. Mithilfe des Compliance Dashboard erhalten Administratoren schnell einen Überblick, inwiefern ihre Systeme Best Practices 12

14 im Bereich der Sicherheit umsetzen, und können die entsprechenden Daten im Detail anzeigen. Darüber hinaus besteht die Möglichkeit, mithilfe historischer Trends den Fortschritt bei der Umsetzung von Compliance-Forderungen zu verfolgen. Abb. 9: Konfigurationsprüfung Überwachung von Benutzeraktivitäten Um gesetzliche Vorschriften wie Sarbanes-Oxley (SOX), Payment Card Industry (PCI) und regionale Datenschutzrichtlinien einzuhalten, müssen Unternehmen nicht nur sensible Informationen schützen, sondern auch den Zugriff auf vertrauliche Daten auf die Einhaltung dieser Vorschriften und auf mögliche Bedrohungen hin überwachen. Untersuchungen zu Datenschutzverletzungen haben ergeben, dass es durch die entsprechende Überprüfung möglich gewesen wäre, Probleme frühzeitig zu erkennen und deren finanzielle Auswirkungen einzudämmen. Die Überprüfung von privilegierten Benutzern und Benutzern mit Verwaltungsberechtigungen ist ein wesentlicher Teil der DiD-Strategie. Die Verwendung von Audit-Daten für die Datensicherheit erfolgt jedoch nach wie vor zum großen Teil manuell, wobei für die IT-Sicherheit zuständige Mitarbeiter und Auditoren große Datenmengen von verschiedenen Standorten sichten müssen. Oracle Audit Vault senkt Kosten und Aufwand für die Einhaltung gesetzlicher Vorschriften und unterstützt Sie bei der Erkennung unberechtigter Aktivitäten, indem Audit-Daten transparent erfasst und konsolidiert werden. Sie erhalten wertvolle Informationen darüber, wer welche Daten wie 13

15 und wann geändert hat, auch wenn es sich dabei um privilegierte Benutzer mit direktem Datenbankzugriff handelt. Abb. 10: Oracle Audit Vault Mit den Berichten, Warnmeldungen und zentralen Verwaltungsfunktionen für Prüfrichtlinien von Oracle Audit Vault werden die Risiken durch interne Bedrohungen und die Kosten für die Einhaltung gesetzlicher Vorschriften erheblich reduziert. Oracle Audit Vault nutzt die branchenführende Technologie für Datenbanksicherheit und Data- Warehousing von Oracle zur Verwaltung, Analyse, Speicherung und Archivierung großer Audit-Datenvolumen. Oracle Audit Vault bietet für das gesamte Unternehmen standardisierte Auswertungsberichte für privilegierte Benutzer, Kontenverwaltung, Rollen und Privilegien, Objekt- und Systemverwaltung. Zudem können parametergestützte Berichte definiert werden, die beispielsweise Benutzeraktivitäten über mehrere Systeme hinweg und für bestimmte Zeiträume, z. B. Wochenenden, anzeigen. Oracle Audit Vault zeichnet sich durch ein offenes Audit-Warehouse-Schema aus, auf das über Oracle BI Publisher oder Berichterstellungstools von Drittanbietern zugegriffen werden kann. Die Warnmeldungen von Oracle Audit Vault mindern Risiken und schützen vor internen Bedrohungen, indem sie über alle verdächtigen Aktivitäten im gesamten Unternehmen 14

16 proaktiv informieren. Oracle Audit Vault ermöglicht die kontinuierliche Überwachung eingehender Audit-Daten und gleicht diese mit den festgelegten Warnbedingungen ab. Warnmeldungen können für jedes prüfbare Datenbankereignis eingerichtet werden, beispielsweise für Systemereignisse wie Änderungen an Anwendungstabellen, Rollenberechtigungen oder für die Erstellung privilegierter Benutzer in sensiblen Systemen. Abb. 11: Berichterstellung mit Oracle Audit Vault Oracle Audit Vault ermöglicht die Erfassung von Datenbank-Audit-Daten aus Oracle9i und höheren Versionen sowie aus den Datenbankversionen SQL Server 2000 und 2005, Sybase ASE und IBM DB2 8.2 und 9.5. Datenhistorie und Archivierung Die Einhaltung von Richtlinien und Vorgaben wie SOX, HIPAA und BASEL II umfasst auch die Archivierung historischer Daten. Darüber hinaus erkennen Unternehmen zunehmend, dass historische Daten einen wichtigen Beitrag zur Bewertung von Markttrends und Kundenverhalten leisten. Unternehmen benötigen eine effiziente Methode für die langfristige Archivierung von Daten, die ohne das Umschreiben von Anwendungen, externe oder selbstentwickelte Softwarelösungen und zusätzlichen Administrationsaufwand auskommt. Die in Oracle Database 11g integrierte Total Recall-Lösung wird diesen Anforderungen gerecht, indem sie die vollständige und sichere Archivierung und Verwaltung all Ihrer historischen Daten ermöglicht. Total Recall bietet in Verbindung mit der zugrunde liegenden Flashback Data 15

17 Archive-Technologie eine transparente, sichere und effiziente Verfolgung von Änderungen an Datenbanktabellen, ohne dass hierfür spezielle Schnittstellen oder Anwendungsänderungen erforderlich wären. Schlussfolgerung Transparente Sicherheitslösungen sind im heutigen globalen Wirtschaftsumfeld entscheidend, da Änderungen am vorhandenen Anwendungscode kostenintensiv und kompliziert sind. Die Einhaltung von Vorschriften und die Minimierung von internen Bedrohungen erfordern leistungsstarke Sicherheitslösungen für Anwendungsdaten. Die Datenbanksicherheitsprodukte von Oracle sind auf Transparenz ausgerichtet, minimieren die Auswirkungen auf vorhandene Anwendungen und erfüllen gleichzeitig die Anforderungen zahlreicher gesetzlicher Vorschriften. Die Datenbanksicherheitsprodukte von Oracle bieten Defense-in-Depth-Sicherheit unter Berücksichtigung der drei Sicherheitsschichten: Verschlüsselung und Maskierung, Zugriffskontrolle und Überwachung. Oracle Advanced Security TDE ist nach wie vor die branchenführende Verschlüsselungslösung und bietet unter Einhaltung gesetzlicher Vorschriften wie PCI eine elegante Lösung zum Schutz vertraulicher Daten. Oracle Database 11g bietet eine vollständige Tablespace-Verschlüsselung und eine Integration mit Hardware- Sicherheitsmodulen, unterstützt die Verschlüsselung kompletter Anwendungen und die zentrale Speicherung von TDE-Master-Verschlüsselungsschlüsseln. Oracle Data Masking ermöglicht Testern, Entwicklern und Partnern den Zugriff auf dieselben Produktionsdaten, nachdem sensible Daten unkenntlich gemacht wurden. Oracle Database Vault erfüllt auf transparente Weise die Anforderungen von SOX, PCI, HIPAA und vielen anderen gesetzlichen Vorschriften. Die Realms in Oracle Database Vault verhindern den Zugriff auf sensible Finanzdaten oder vertrauliche Informationen in Anwendungen selbst für den DBA. Die Datenklassifizierungskennsätze von Oracle Label Security sorgen automatisch für Datensicherheit unter Berücksichtigung der Datensensibilität der Zeile selbst. 16

18 Oracle Enterprise Manager Configuration Management Pack überprüft durchgehend alle Hosts und Datenbanken auf Verstöße gegen Sicherheits- und Konfigurations-Best- Practices und erleichtert so in erheblichem Maß die Arbeit des Sicherheitsadministrators. Oracle Audit Vault verwandelt Audit-Daten in eine wichtige Sicherheitsressource, indem wichtige Audit-Informationen zur Datenbankaktivität transparent konsolidiert und gesichert werden. Die Berichte, Warnmeldungen und Richtlinien von Oracle Audit Vault erleichtern die Aufgaben der mit der Sicherheit und der Einhaltung von Vorgaben betrauten Mitarbeiter. Der Schutz von Daten vor geschickten Angriffsversuchen stellt eine erhebliche Herausforderung dar. Die DiD-Sicherheitstechnologie von Oracle mit ihren transparenten und leistungsstarken Lösungen erleichtert Ihnen diese Aufgabe. 17

19 Datenbanksicherheit mit Oracle Juni 2009 Autor: Oracle Co-Autoren: Oracle Corporation World Headquarters 500 Oracle Parkway Redwood Shores, CA USA Informationen weltweit: Tel.: Fax: oracle.com Copyright 2009, Oracle und/oder seine verbundenen Unternehmen. Alle Rechte vorbehalten. Der Inhalt dieses Dokuments dient lediglich zu Informationszwecken und kann ohne vorherige Ankündigung geändert werden. Die Richtigkeit dieses Dokuments kann nicht garantiert werden. Es unterliegt keinen Garantien oder Bedingungen, die mündlich gegeben wurden oder gesetzlich gegeben sind, einschließlich konkludenter Garantien oder Bedingungen hinsichtlich der Marktgängigkeit oder Eignung für einen bestimmten Zweck. Insbesondere schließen wir jegliche Haftung aus, die sich aus diesem Dokument ergeben könnte. Vertragliche Pflichten können weder direkt noch indirekt aus diesem Dokument abgeleitet werden. Dieses Dokument darf zu keinem Zweck und in keiner Weise, weder elektronisch noch mechanisch, ohne die vorherige schriftliche Genehmigung von Oracle vervielfältigt oder übertragen werden. Oracle ist eine eingetragene Marke der Oracle Corporation und/oder ihrer verbundenen Unternehmen. Andere Namen und Bezeichnungen können Marken ihrer jeweiligen Inhaber sein. 0109