Security im Oracle-Umfeld Übersicht, Strategien, Trends. SIG Database 19. Januar 2012 Dr. Günter Unbescheid Database Consult GmbH - Jachenau

Transkript

1 Übersicht, Strategien, Trends SIG Database 19. Januar 2012 Dr. Günter Unbescheid Database Consult GmbH - Jachenau

2 Database Consult GmbH Gegründet 1996 Kompetenzen im Umfeld von ORACLE-basierten Systemen Tätigkeitsbereiche Tuning, Installation, Konfiguration, Systemanalysen Security, Identity Management Expertisen/Gutachten Support, Troubleshooting, DBA-Aufgaben Datenbankdesign, Datenmodellierung und design Maßgeschneiderte Workshops

3 Agenda Einführung Best Practises / Empfehlungen Instrumenarium Methoden der Authentifizierung Methoden der Authorisierung Verschlüsselung Fazit und Ausblick

4 Bedrohungsszenarien, Schutzkonzepte, Standards, Praktiken EINFÜHRUNG IN DAS THEMA 4

5 Unterschiedliche Wahrnehmungen Welche Kosten?! Welcher Nutzen?! Neue Funktionalität?? Längere Projektlaufzeiten!! Security Neue Fehlerquellen Höhere Komplexität Performance?? Neue Technologien Interessante Fortbildungen Manager Techniker

6 Annäherung 1 Cryptography is a branch of mathematics,...(it) is perfect. Security,... involves people,... (it) is a process, not a product (Bruce Schneier, Secrets & Lies)

7 Annäherung 2 Wenn man den Kopf in den Sand steckt,... bleibt immer noch der Hintern zu sehen! (Japanisches Sprichwort)

8 Annäherung 3 Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und lagernden Systemen, welche die Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von Schäden und der Minimierung von Risiken. (Wikipedia)

9 3 Säulen Vertraulichkeit ist die Eigenschaft einer Nachricht, nur für einen beschränkten Empfängerkreis vorgesehen zu sein. Verfügbarkeit ist die Uptime pro Zeiteinheit (in Prozent), sofern die Antwortzeit eine bestimmte Kenngröße nicht überschreitet. Integrität ist die vollständige sowie unveränderte Übermittlung von Daten an den Empfänger

10 Annäherung 4 Die Frage ist nicht, ob wir uns Sicherheit leisten können, sondern die durch Ausfälle und Kompromittierungen entstehenden Schäden.

11 Trends und Risiken DB-Trends mehr Systeme mehr Daten neue Datenklassen DBA-Trends weniger Administratoren externe Dienstleister Security-Anforderungen Schutzbedarf per Risikoanalyse Konzentration auf exponierte Systeme Zugriffskontexte Datensensibilität Datenfluss Schutzbedarf

12 Instrumente der Sicherheit Tools Gesetze/Regularien Techniken Features Best Practises Empfehlungen Organisation

13 Motivation Warum überhaupt? Vermeidung von Datenverlust/-diebstahl (data breach) Einhaltung regulativer Vorgaben (compliance) Pros Vermögenswerte schützen Vermeidung von Folgekosten und Imageverlust Cons Lizenzkosten, Planungs- und Entwicklungskosten (TCO statt ROI!) Storage- und CPU-Auswirkungen

14 Bekanntmachungen, Reports, Regulatorien, Statistiken Empfehlungen / Best Practises 14

15 Regulatorien Interne Vorgaben Gesetze Branchen, nationale Regeln, gebunden an Firmengrösse u.a. Sarbanes Oxley, PCI DSS Nicht immer mit präzisen technishen (DB-)Vorgaben Best Practise Kompendien erleichtern Umsetzung Database Security Technical Implementation Guide (STIG) von Defense Informtion Systems Agency (DISA) für DoD (allgemein und Oracle-spezifisch) Center For Internet Security Benchmark for Oracle

16 Bekanntmachungen Privacy Rights Clearinghouse Chronologie der Verstösse, allgemeine Informationen (2010) DATA BREACH INVESTIGATIONS REPORT Verizon in Zusammenarbeit mit United States Secret Service (USSS) Gemeinsamkeiten/Gruppierungen/Statistiken Data Breach Blog (SC Magazine), u.v.m.

17 Verizon Report

18 Verizon Empfehlungen Restrict and monitor privileged users Gefahr durch Insider, Logging hoch privilegierter Ben. Watch for minor policy violations Implement measures to thwart stolen credentials effektive und starke Authentifizierungen Monitor and filter egress network traffic auswärts gewandter Netzverkehr

19 Verizon Empfehlungen Change your approach to event monitoring and log analysis schnell und effizient Share incident information Kette: Implementierung -> Entscheidung -> Kenntnis -> Informationen

20 STIG-Publikationen Ausschnitt: Oracle 11 Database Security Checklist Version 8 Release 1.8 Generic Database STIG, Version 8, Release 1 Generic Database Security Checklist, Version 8, Release 1.6

21 STIG Ausschnitt

22 STIG Ausschnitt Checks/Fixes können auch detaillierte SQL Anweisungen enthalten

23 CIS Oracle Benchmarks

24 Automatisierte Prüfungen Vulnerability Assessment Tools/Scanners (VAT) darunter auch Oracle-taugliche u.a. AppDetective, AppSentry, Guardium, NGSSQuirrel prüfen Software, Misconfiguration, Misuse Aussen- und Innenprüfungen, Diff-Reports produzieren Security Report mit Empfehlungen und Lockdown Script Anlegen von Baselines durch Change Tracking Tools Digests auf Prüfelementen über VAT

25 NGSSQuirrel

26 Auf den Punkt gebracht Verstehen der eigenen Datencharakteristik und Kategorisierung der eigenen Systeme Verstehen der Bedrohungszenarien und ihrer Relevanz für die eigenen Gesamtsysteme Sichtung allgemein anerkannter Standards zur Konfiguration und Kontrolle Konzeption eigener Security Policies auf dieser Basis Referenzinstallation und konfiguration Automatisierte Prüfungen zur Kontrolle

27 Massnahmen Präventiv Schutzbedarf ermitteln Security Konzept erstellen und umsetzen Compliance regelmässig prüfen Detektiv Auditing und Monitoring Reaktiv prompt und situationsgerecht Klientel Datencharakteristik Risiko Datenfluss

28 Security in Projekten Konzepte + Technik + Prozesse separation of duties ganzheitlich von Anfang an integraler Bestandteil ROI schwer ermittelbar In jedem Fall Teamarbeit Entwicklung (DB-)Administration Monitoring/Operations Geschäftsleitung Technik Konzeption Prozesse

29 Security in Projekten Welche Daten und Datenströme gibt es? Welche Bedrohungen existieren? Wie hoch sind die Risiken? Gewichtung Welche Gesetze/Regeln? intern / extern Welche Maßnahmen sollen ergriffen werden? Balance Offenheit Schutz

30 Prinzipien Authorisierung Kontrolle Separation of Duties Least Privilege need-to know Reconstruction of Events Accountability Authenticated Users Identified Security steht und fällt mit identifizierbaren Benutzern

31 Features und Techniken Instrumentarium 31

32 Security Universum

38 Massnahmen

39 Intern, Extern, Global Methoden der Authentifizierung 39

40 Password Files Notwendig für sysdba und sysoper connects, wenn User lokal nicht als Software-Owner angemeldet ist oder User sich über Remote-Verbindung einwählt Parameter remote_login_passwordfile NONE, EXCLUSIVE (pro DB) SHARED für alle DBs, Änderungen nicht möglich 11g: Case Sensitivity unterstützt Usage: orapwd file=<fname> entries=<users> force=<y/n> ignorecase=<y/n> nosysdba=<y/n>

41 External Password Store Nutzt Wallet als Speicher für User/Password kombinationen keine implizite Verschlüsselung des Netzverkehrs einfache und schnelle Implementierung, gut für Batch-Skripte Connect mit nur 1 Kombination pro Zieldb. mkstore -wrl /u01/app/oracle create (Passwort-Eingabe) ls -rw oracle oinstall 3512 Oct 2 17:58 ewallet.p12 -rw oracle oinstall 3589 Oct 2 17:58 cwallet.sso mkstore -wrl /u01/app/oracle -createcredential 'test10' 'guenter' 'manager1' Oracle Secret Store Tool : Version Production Copyright (c) 2004, 2009, Oracle and/or its affiliates. All rights reserved. Enter wallet password: Create credential oracle.security.client.connect_string1

42 External Password Store -- Anzeigen etc mkstore -wrl /u01/app/oracle -listcredential Oracle Secret Store Tool : Version Production Copyright (c) 2004, 2009, Oracle and/or its affiliates. All rights reserved. Enter wallet password: List credential (index: connect_string username) 1: test10 guenter -- sqlnet.ora (Client-Seite) WALLET_LOCATION = (SOURCE = (METHOD = FILE) (METHOD_DATA = (DIRECTORY = C:\oracle\product) ) ) SQLNET.WALLET_OVERRIDE = TRUE SSL_CLIENT_AUTHENTICATION = FALSE SSL_VERSION = 0

43 Authentifizierungsvarianten

44 Enterprise Benutzer

45 Systemprivilegien, Objektprivilegien, Rollen Methoden der Authorisierung 45

46 Oracle Berechtigungskonzepte Systemprivilegien Objektprivilegien Rollen Profile 46

47 Systemprivilegien Wer darf was? Mehr als 200 Systemprivilegien vorhanden Grundregeln: Anwendungsnutzer benötigen sehr wenige Systemprivilegien. Entwickler bzw. Feature Owner haben oft sehr umfangreiche Systemprivilegien. 47

48 Objektprivilegien Entscheiden über Zugriff auf Objekte in nicht-eigenen Schemata Feine Granularität möglich (teilweise auf Spaltenebene) 48

49 Rollen Fassen System- und Objektprivilegien sowie andere Rollen zusammen Werden zugewiesen wie Systemprivilegien Sind dynamisch, d.h. können an- und abgeschaltet werden (SET ROLE) Können passwortgeschützt werden Sind nicht für Entwicklung von DB-Objekten (Views, Prozeduren usw.) geeignet 49

50 Spezielle Rollen (1) EXP_FULL_DATABASE, IMP_FULL_DATABASE Notwendig für klassischen Export/Import beim Behandeln von Objekten außerhalb des eigenen Schemas DATAPUMP_EXP_FULL_DATABASE, DATAPUMP_IMP_FULL_DATABASE Gleiches für Data Pump Export/Import RECOVERY_CATALOG_OWNER Besitzer eines RMAN-Katalogs 50

51 Weitergabe von Rechten GRANT WITH GRANT OPTION Für Objektprivilegien Grant-Kette wird aufgezeichnet (Spalte grantor in dba_tab_privs) Beim Revoke: Abschneiden der Kette Herausforderung für Export/Import-Migrationen GRANT WITH ADMIN OPTION Für Systemprivilegien und Rollen Nur der Zustand wird aufgezeichnet Beim Revoke: Entziehen des Privilegs nur für den genannten Benutzer 51

52 "Kapselung" Erstellen eines PL/SQL-Objektes notwendige Programmlogik Authorisierung des ausführenden über Execute-Privileg Basisprivilegien liegen beim Owner (definer's right) Basisprivilegien können auch beim Aufrufenden liegen (invoker's right)

53 Verschlüsselung 53

54 Instrumentarium "Advanced Security Option" Netzverkehr (sqlnet.ora) Transparend Data Encryption implizite Methode Daten in Tablespaces (ab 11g) Spaltendaten Backups über rman Explizit per DBMS_CRYPTO (Applikation)

55 Transparent Data Encryption Transparente Verschlüsselung von Daten auf Spaltenoder Tablespace-Ebene Entschlüsselung beim Zugriff auf Server-Seite Schützt die Daten auf Serverebene: Datendateien, Sicherungen, Basiert auf Schlüsseln (Master Encryption Key), die außerhalb der DB gespeichert sind Aktivierung der Schlüssel per Passwort oder automatisch 55

56 Transparent Data Encryption Bestandteil der Advanced Security Option (Enterprise Edition) Im Gegensatz zur programmierten Verschlüsselung (dbms_crypto) transparenter Einsatz möglich Zwei Ansätze Spaltenverschlüsselung (ab 10gR2) Tablespace-Verschlüsselung (ab 11gR1) Ab 11gR2: Unified Master Encryption Key für Spalten- und Tablespace-Verschlüsselung 56

57 Master Encryption Key Speicherung im Oracle Wallet oder Hardware Security Module (HSM) Wallet: Standardspeicherort $ORACLE_BASE/admin/<db_unique_name>/wallet Alternativer Speicherort über ENCRYPTION_WALLET_LOCATION in sqlnet.ora Auto-Login-Wallet möglich 57

58 Spaltenverschlüsselung Zusatz ENCRYPT bei Spaltendefinition verschlüsselt die Spaltenwerte mit AES192 inkl. Salt SALT bedeutet, dass der Klartext zunächst modifiziert und dann verschlüsselt wird Falls die Spalte indiziert werden soll, darf kein Salt verwendet werden ENCRYPT NO SALT 58

59 Spaltenverschlüsselung Alternative Algorithmen/Schlüssellängen: AES128, AES 256 3DES168 ENCRYPT USING '3DES168' Sicherstellung der Integrität über SHA-1 20 Bytes extra pro verschlüsseltem Wert Kann optional eingespart werden ENCRYPT 'NOMAC' 59

60 Fazit 60

61 Fazit Sicherheit kostet Lizenzen, Ausbildung, Planung, Umsetzung, Überwachung Situationsgerechte Bedarfsanalyse zur Kostenoptimierung Ganzheitliche Lösungen anstreben Aufstellen eines Maßnahmenkatalogs für neue Projekte und SW-Einkäufe Kompromisse gehören zum Alltag Die Kenntnis der Schwachstellen treibt den Monitoring-Bedarf

62 Danke für s Zuhören