Sebastian Solbach. Senior Sales Consultant Server Technology Competence Center Stuttgart.

Transkript

1 1

2 Sebastian Solbach Senior Sales Consultant Server Technology Competence Center Stuttgart Oracle Database 10g Release 2 Security 2

3 Oracle 25 Plus Years of Database Security Leadership Oracle Audit Vault Project Data Vault Database CC Security Eval #18 Transparent Data Encryption VPD Column Sec Policies Fine Grained Auditing (9i) 1 st Database Common Criteria (EAL4) Oracle Label Security ( ) Virtual Private Database (1998) Enterprise User Security (8i) Database Encryption API Kerberos Support (8i) Support for PKI Radius Authentication Network Encryption (Oracle7) Oracle Advanced Security introduced First Orange Book B1 evaluation (1993) Trusted Oracle7 MLS DB Government customer Security Certifications Common Criteria and FIPS Evaluations 3

4 Authentication, Authorization, Accountability Who are you? What can you access? What can you do? Applications What did you do? Databases User Management Employees, Business partners, DBAs, Developers, System Admins, etc Roles & Responsibilities Authentication & Authorization Applications & Databases Qualified & Regulated environments Production, Dev & Test environments Internal, B2B & Internet systems InfoSec & Regulatory Compliance Personal & Health Information Intellectual Capital Financial Information Accountability Enhanced Auditing Real-time Alerting Monitoring and Reporting Security and Privacy Policy, Standards and Procedures Internet Database Security Middle Tier Application Server Identity Management Application Integration Database User Provisioning Strong Authentication Network Security Database Administrators Database Auditing Media Protection Warehouses Row Level Security Controls Internal & External Business Applications Development and testing environments Backups 4

5 Network Security Pain Points Verschlüsselung sollte nicht nur für das Internet sondern auch fürs Intranet verfügbar sein. Installation von Netzwerk-Verschlüsselung kann sehr aufwändig und zeitintensiv sein. D E M O N S T R A T I O N Network Encryption 5

6 Network Security Encrypting Information In Transit Einfachste Einstellung in sqlnet.ora: SQLNET.ENCRYPTION_SERVER=REQUIRED Network Security Oracle bietet Netzwerk Verschlüsselungs Technologien schon seit mehreren Jahren Einfache Konfiguration und Installation ohne Zertifikate Verschlüsselt die Kommunikation mit der Datenbank: AES RSA RC4 (40-, 56-, 128-, 256-bit keys) DES (40-, 56-bit) and 3DES (2- and 3-key) Diffie-Hellman key exchange Daten Integrität mit Checksummen SHA-1 and MD5 Automatically detects modifications, replays, missing packets 6

7 Network Encryption Business Benefit Innere Bedrohungen Einhaltung von Geschäftsvorschriften Einfach aufzusetzten Transparent für die Applikationen Keine Zertifikate benötigt 7

8 Stored Data Encryption DBMS_CRYPTO (DBMS_OBFUSCATION_TOOLKIT 9i) Verschlüsselungsalgorithmen :DES, 3DES, 3DES_2KEY, AES RC4 Checksummenalgorithmus : MD5, SHA1 Schlüsselgenerierung, -management und recovery muß durch die Applikation durchgeführt werden Transparent Data Encryption Customer Pain Points Harddisks Keine vorschriftsmäßige Entsorgung kaputter oder ausgetauschter Festplatten Backup media Transportverlust Falsche, unsichere Lagerung Entwendung 8

9 Media Protection Transparent Data Encryption Daten werden automatisch entschlüsselt bei SQL Zugiff Daten werden automatisch verschlüsselt bei SQL Zugriff Verschlüsselung sensibler Daten in den Backup Files TDE Master Key Wallet password is separate from System or DBA password No access to wallet Regular DBA starts up Database Security DBA opens wallet containing master key 9

10 Table Specific Column Keys Master key stored in PKCS#12 wallet Column keys encrypted by master key Security DBA opens wallet containing master key Column keys encrypt data in columns D E M O N S T R A T I O N Transparent Data Encryption (TDE) 10

11 Verwendung von TDE Create a Wallet and generate Master Key alter system set key identified by e3car61 Open the Wallet alter system set wallet open identified by e3car61 Encrypting Columns Encrypting a column in an existing table alter table credit_rating modify (person_id encrypt) Create a new table with an encrypted column create table orders ( order_id number (12), customer_id number(12), credit_card varchar2(16) encrypt); 11

12 Transparent Data Encryption Business Benefits Einhaltung von Geschäftsvorschriften Datenträger Sicherung Austausch von Festplatten Backup tapes Niedrige Implementierungskosten Keine Trigger oder Views notwendig Transparent für bestehendes SQL Minimale Applikationsänderungen Unterstützung von Indices Oracle Advanced Security Netzwerk Verschlüsselung und Integrität U.a. AES & PKI FIPS140-1 level 2 Strong Authentication Kerberos, SSL, biometrics, tokens, RADIUS Transparent Data Encryption Enterprise User Security Enterprise User Management DB Schema unabhängige Benutzer GUI Tools (Enterprise Security Manager etc.) DB Links, Virtuel Private Database, Label Security Directory Integration 12

13 User Management Customer Pain Points Individuelle Benutzer Accounts in einer Vielzahl von Datenbanken Bei einem Wechsel eines Mitarbeiters müssen die entsprechenden Accounts entfernt oder deaktiviert werden Dezentralisierung vom Benutzer- Management User Management Enterprise User Security Vereinfachtes Login X509v3 Zertifikatie über SSL (8i) Ein Passwort für Benutzer (9i) Kerberos Tickets (10g) Mehrere Benutzer können sich ein Schema teilen Weniger Schemas managen Keine Notwendigkeit Benutzer in der Datenbank anzulegen Passwort Management Komplexitätsregeln für Passwörter werden vom Identity Management Directory verwaltet Database kennt Benutzer Account Stati im OID (10gR2) 13

14 Enterprise Users Username Password DB Single Infrastructure Enterprise User Security SSL DB OID Kerberos/ Windows DB Users/ Roles D E M O N S T R A T I O N EUS 14

15 Step By Step Guide EUS 1. Configure Oracle home for directory usage 2. Register the database in the directory 3. Create Global Schema 4. Configure User-Schema Mappings 5. Create Enterprise User Enterprise Roles Enterprise user werden im Directory gespeichert und verwaltet - nicht in der DB Enterprise roles (Container von global roles in der DB) werden im Directory verwaltet Administratoren weisen Enterprise roles den Enterprise users zu global role employee Sales OID enterprise role clerk global role user HR 15

16 Enterprise User Management Business Benefits Einhaltung von Geschäftsvorschriften Bessere Kontrolle bei der Provisionierung von Benutzer- Accounts Zentrale Stelle zum Einrichten und Löschen von Datenbank Benutzern über mehrere Datenbank Instanzen hinweg Zentrale Authorisationspunkt über mehrere Instanzen Unterstützung von PKI, Kerberos & Username/Password Authentifizierung Grenzen der traditionellen Rechteverwaltung Zugriffskontrolle erfolgt auf Tabellenebene Grant select, insert, update, delete on table Kein Datenbank-Rollen-Konzept für Zeilen Create database role HR Grant Select, Update Assign role to row Applikations Table 16

17 Access Controls Oracle Virtual Private Database SELECT * FROM HR HR Data; DATA_TAB SELECT * FROM HR HR Data; Verbindet die Sicherheitsprinzipien mit den eigentlichen Geschäftsprozessen Server erzwingt die Sicherheitsrichtlinien unabhängig vom Zugriffspfad auf die Daten Eingeführt mit Oracle8i Strong & Flexible Access Controls VPD Select store_id, revenue (enforce) Store ID AX703 B789C JFS845 SF78SD Revenue Department Finance Engineering Legal HR X OK X X Die VPD Policy greift NUR wenn die Revenue Spalte im SQL referenziert wird 17

18 Strong & Flexible Access Controls VPD Select store_id, revenue (enforce) Store ID AX703 B789C JFS845 SF78SD Revenue Department Finance Engineering Legal HR OK OK OK OK Die VPD Policy greift NUR wenn die Revenute Spalte im SQL referenziert wird. Es werden aber ALLE Zeilen zurückgegeben, lediglich die Revenue Spalte wird genulled, wenn die Spalte nicht der VPD Policy entspricht. Application Table Strong & Flexible Access Controls OLS Oracle Label Security User Sensitivity Level = Sensitive Store ID Revenue Department Sensitivity Label AX703 B789C JFS845 SF78SD Finance Engineering Legal HR Sensitive Highly Sensitive Confidential Public OK X OK OK 18

19 Strong & Flexible Access Controls Secure Application Role Secure Application Roles sind traditinelle Datenbankrollen verknüpft mit einer Policy Policy sind PL/SQL und in der Oracle Database gespeicher Benutzer muss die Policy aufrufen um die Rolle aktivieren zu können Die Policy führt das Oracle set role Kommando durch SQL> SQL set role HR NOT Allowed SQL> execute hr_access Allowed Database Auditing Basierend auf System event, Statements, Privilegien und/oder Zugriff Sys Auditing Konditioniertes Auditing 19

20 Fine grained Auditing Audit Policy Not Audited... WHERE SALARY > AUDIT COLUMN = SALARY SELECT NAME, ADDRESS FROM EMP Audit Records SELECT NAME, SALARY FROM EMP WHERE NAME=LELLISON EMPLOYEES SELECT NAME, SALARY FROM EMP WHERE NAME = LELLISON, <timestamp>, <username>, etc. Database Auditing Fine Grained Auditing eingeführt mit Oracle9i Audit policies sind mit Tabellen verknüpft und in der Datenbank gespeichert Policy werden aufgerufen (Audit Kondition gestestet) wenn auf die Tabelle resp. Spalte zugegriffen wird. Unterstütz auch für nur Select Operationen Fine Grained Auditing in Oracle 10g Erweiterte Unterstützung für insert, update & delete Verbesserter Zugriff auf die Ergebnisse der Audits 20

21 Database Auditing Enterprise Security Advisor (ESA) Enterprise Manager Configuration Pack Component Untersucht die Konfiguration auf bekannte Sicherheitslücken Patch management advisor 21

22 Auditing Was fehlt? Audit Informationen sind über viele Datenbanken verteilt Für eine klaren Überblick müssen die verschiedenen Audit Daten konsolidiert werden Diese Auditdaten sollten sehr sorgfätig behandelt werden Nur dann wirklich wertvoll, wenn man generelle Reports ziehen kann Audit Information Audit Information Audit Information Oracle Audit Vault A Specialized Warehouse for Audit Data Konsolidierte Audit Lösung Geschütztes Schema verhindert, dass der DBA Einsicht in die Audit Daten hat Trennung von Kontrolle / definierten Rollen Gehärtete Konfiguration Unterstützung mehrerer Audit Sourcen Generelle Audit Reports Management von Audit policy 22

23 Oracle Audit Vault A Specialized Warehouse for Audit Data Enterprise Audit Sources 3 rd Party Audit Sources Oracle App Svr Oracle Applications Oracle Database 9i R2 Oracle Database 10g g R2 Oracle Database 10g R1 Audit Warehouse Enterprise Database Audit Settings Pre-defined Roles For Separation of Duty Protected Schema Security Feature Data Mining Partitioning Customer Reports (custom) Partner Reports Oracle Audit Vault Console/Reporting Oracle Data Vault Financials OE GL HR PER BEN Other Applications OLTP OLAP Risks and Liabilities: SOX, HIPAA, SB1386 Intellectual Property 23

24 Project Data Vault Solutions DBA greift auf HR Daten zu Compliance & Schutz vor Insidern HR führt nicht authorisierte Operation während den Geschäftszeiten druch Factors based access control Select * from HR.emp DBA Create procedure 3PM Saturday HR DBA Factors HR Realm HR HR DBA greift auf Finanzdaten zu Eliminiert Security Risiken bei Server Konsolidierungen HR DBA Select * from fin.orders Fin Realm Fin Oracle Data Vault Schutz von sensiblen Informationen Data Vault führt neue und sehr mächtige Security Konzepte ein: Realms Einfache Möglichkeit Benutzer mit mächtigen DBA Privilegien am Zugriff auf sensible Daten zu hindern Trennung von Zuständigkeiten Anlegen von HR dba oder Financials dba Factors erweitern die Zugriffskontrolle von Rollen und Benutzer Rules kontrollieren den Datenbankzugriff basierend auf Factors in deisem Zusammenhang Kontrollierter Zugriff basierend auf Tageszeit, IP Addresse, Location,. 24

25 Realms Technology Map Oracle Security Oracle Database 10g Release 2 Transparent Data Encryption Regulatory Compliance Protect Privacy Internal threat Database Consolidation Configuration And Audit Network Encryption Strong Authentication Label Security Virtual Private Database Enterprise User Security Fine Grained Auditing EM Enterprise Security Advisor 25

26 Weitere Informationen: Oracle Security White Papers OTN (Oracle Technology Network) Oracle Database 10g R2 Security Oracle Virtual Private Database. Oracle By Example (OTN) Restricting Data Access Using Virtual Private Database Oracle Identity Management Q & A 26