Oracle Database Security Verringerung der Angriffsfläche

Transkript

1 Oracle Database Security Verringerung der Angriffsfläche Norman Sibbing ORACLE Deutschland B.V. & Co. KG DOAG Security Day, 17. März 2016

2 Grundsätzlich Sensibilisierung aller Mitarbeiter (von der Pforte bis zum Manager) Bedrohungen darstellen Verhaltensregeln vermitteln Patchen, Patchen, Patchen (auch wenn es schmerzt) Desktops und Server Standardisierung (gehärtete Systeme) Rollen und Privilegien kontrollieren Übersicht und Disziplin behalten Budget und Zeit

3 Angriffsflächen

4 Risiko Vereinfachtes Architektur Diagramm Database Web Browser Application Storage

5 Risiko Netzwerk Database Web Browser Application Storage Attacker

6 Risiko Personen und Rollen App Users Network Admins DBAs Storage Admins Developers OS Admins IT Support IT Engineering

7 Risiko Schadsoftware Malware APT Storage Admins App Users Network Admins DBAs Developers OS Admins IT Support APT IT Engineering Malware

8 Verringerung des Risikos

9 Physikalischer Zugriffschutz Die richtige Maßnahme App Users Network Admins DBAs Storage Admins Network Encryption Database Encryption IT Support Developers IT Engineering OS Admins

10 Physikalischer und logischer Zugriffsschutz Die richtige Maßnahme App Users Data Redaction Network Admins Database Vault DBAs Storage Admins Developers Network Encryption Database Encryption OS Admins Data Masking IT Support IT Engineering

11 Schutz vor SQL-Injections Die richtige Maßnahme App Users SELECT * from stock where catalog-no='' union select cardno from Orders--' Database Firewall Attacker

12 Verringerte Angriffsflächen Wo es Sinn macht Malware App Users Data Redaction Attacker Network Admins Database Vault APT DBAs Storage Admins Network Encryption Database Firewall Database Encryption Data Masking Developers OS Admins IT Support APT IT Engineering Malware

13 Oracle Database Security Innovation Oracle8i Oracle7 (ca. 1993) Oracle Database 9i Key Vault Conditional Auditing Real Application Security Data Redaction Privilege Analysis Audit Vault and Database Firewall Data Masking and Subsetting Database Vault Transparent Data Encryption Secure Configuration Scanning Fine Grained Auditing Label Security Strong authentication Virtual Private Database Database Encryption API Network Encryption Database Auditing Oracle Database 10g Oracle Database 11g Oracle Database 12c

14 Oracle Database 12c Security Neu: Unified und Conditional Auditing Neue SOD Rollen (SYSBACKUP, SYSDG, SYSKM) FIPS Modus nutzt validierte RSA MES 4.X kryptographische Bibliothek Oracle Database 12c ( ), Oracle Database (Windows und Linux) Transparent Data Encryption TLS/SSL, Native Network Encryption, DBMS_CRYPTO Package SHA-512 für DB-Kennwort und DBMS_CRYPTO Enterprise Manager 13.1 STIG Compliance Framework

15 Detection is much more important than prevention... everything we know about complex systems tells us that we cannot find and fix every vulnerability. Bruce Schneier, Secrets and Lies, 2004, Kapitel 24

16 Die amerikanischen Unternehmen merken es, wenn sie angegriffen werden - die deutschen nicht.* *Computerwoche, März 2012

17 Das neue Auditing unified auditing Unified Audit Trail Policies steuern das Auditing, nicht Initialisierungsparameter AUDSYS ist Eigentümer des Audit Trail Nur eine Read-Only Audit Tabelle im Tablespace SYSAUX Management über dbms_audit_mgmt Package Zugriff auf den Audit Trail nur mit AUDADMIN und/oder AUDVIEWER Rollen Unterstützt RMAN, Data Pump und Direct Path Loader Bessere Performance (Queue Mode)

18 Funktionen trennen, Aufgaben verteilen, least privilege Wichtige Verwaltungstätigkeiten ohne SYSDBA SYSKM SYSDG Wallet Administration im Kontext von ASO (TDE) Oracle Data Guard Administration mit Data Guard Broker oder DGMGRL SYSDBA SYSBACKUP Backup mit RMAN

19 TDE Algorithmen und Schlüssellänge Tablespace Encryption Unterstützte Algorithmen: AES256, AES192, AES128, 3DES168 Operating Mode: Cipher Feedback (CFB) Column Encryption Unterstützte Algorithmen : AES256, AES192, AES128, 3DES168 Operating Mode: Cipher Block Chaining (CBC) TDE Master Key Column und Tablespace Schlüssel mit AES256, CBC mode verschlüsselt Oracle Wallet (.p12) Standard-Verschlüsselung mit 3DES168, CBC mode; Optional mit AES256, CBC mode

20 Database Vault (DV) Installation, Patchen, Ein- und Auschalten Im 12c Release in jeder Installation technisch verankert Nachträgliche Konfiguration mit dem DBCA oder auf der Kommandozeile Ein- und ausschaltbar, sofern die Privilegien IN DER DATENBANK dazu vorliegen Kein entfernen von DV durchs Relinken möglich DV_PATCH_ADMIN Recht zum Einspielen von Patches Unterschiedliche Datenbanken aus einem ORACLE_HOME können mit oder ohne DV (unterschiedlich) konfiguriert werden Verwaltung über Cloud Control oder Kommandozeile (PLSQL Packages)

21 Datenbank-Sicherheit in der Oracle Cloud

22 Verschlüsselung ist der Standard Alle Oracle Cloud Datenbanken sind standardmäßig verschlüsselt Das gilt auch für die Standard Edition Neuer Datenbank Parameter encrypt_new_tablespace (Default AES 128) ALWAYS : Alle neuen Tablespaces werden verschlüsselt. On Premises und Cloud Datenbanken CLOUD_ONLY: Nur Datenbanken als Datenbank Cloud Service werden Verschlüsselt DDL: Verschlüsselung muss explizit angeben werden Backups in die Oracle Storage Cloud sind standardmäßig verschlüsselt Das gilt auch für die Standard Edition Backups auf lokalem Storage sind nur in der Enterprise Edition verschlüsselt

23 Aktivieren von Database Vault Ab der Database Cloud Service High Performance Enterprise Edition Anlegen der Database Vault Benutzer Database Vault Administrator (z.b. c##dbv_owner_root) Database Account Manager (z.b. c##dbv_acctmgr_root) Konfiguration der Datenbank BEGIN DVSYS.CONFIGURE_DV ( dvowner_uname => 'c##dbv_owner_root', dvacctmgr_uname => 'c##dbv_acctmgr_root'); END; Aktivierung von Database Vault durch den Database Vault Administrator EXEC DBMS_MACADM.ENABLE_DV;

24 Zusammenfassung Verfügbarkeit Steuerung App Users Daten logischer Developers Zugriffsschutz OS Admins DBAs IT Engineering physikalischer Zugriffsschutz Network Admins Sichere Konfiguration IT Support Storage Admins Nachweisbarkeit

25 Weitere Informationen Oracle Database 12c Security Guide Oracle Database 11g Security Guide Oracle Database Security Securing Oracle Database 12c ebook: A Technical Primer

26 Copyright 2016 Oracle and/or its affiliates. All rights reserved.

27

28