DBSAT DIE ORACLE DATENBANK BZGL. PII DATEN ANALYSIEREN

Ähnliche Dokumente
Oracle Database Security Assessment: Das Werkzeug zur Erkennung von Sicherheits- und Datenschutzrisiken

SQLcl Quo vadis SQL*Plus? Das neue SQL*Plus in der Praxis. Gunther Pippèrr GPI Consult München

Neues von Grid Control. Ralf Durben Oracle Deutschland B.V. & Co. KG Business Unit Datenbank DBTec

Sensitive Daten in der Oracle Datenbank

Red Attack - Die Katastrophe in der Datenbank

Oracle Essential Support Tools im Exadata Umfeld. Stefan Panek, DOAG Konferenz 2017

WebForms ohne Oracle Application Server

Performance Tools. für alle Editionen

Domain Creation. DOAG 2013 Andreas Chatziantoniou - Foxglove-IT BV Thorsten Wussow Slix GmbH

Oracle Enterprise Manager 12c Database Express (EM Express)

Lösungen für mögliche Probleme

Oracle9i Designer. Rainer Willems. Page 1. Leitender Systemberater Server Technology Competence Center Frankfurt Oracle Deutschland GmbH

Application Express (APEX) Carsten Czarski Business Unit Database. ORACLE Deutschland B.V. & Co KG

APEX Office Print - Einfach Druck machen! Daniel Hochleitner Freelance APEX Developer, FOEX GmbH

TOra - Toolkit for Oracle

Daniela Reiner. Stuttgart,

Oracle SOA Suite: Total Quality T-Systems

APEX OOS TOOLS & HELFER

Oracle 10g Einführung

Oracle Audit Vault. Sven Vetter Principal Consultant, Partner DOAG, Stuttgart, Jan. 2008


DOAG Demo Kino: Advisors, Monitoring Werkzeuge in der Datenbank Ulrike Schwinn Business Unit Database Oracle Deutschland B.V.

<Insert Picture Here> Kerberos Geheimnisse in der Oracle Datenbank Welt

Microsoft Azure für Java Entwickler

Oracle 9i Einführung Performance Tuning

Copyright 2012, Oracle and/or its affiliates. All rights reserved.

Technote - Installation Webclient mit Anbindung an SQL

Haben Sie alle Risiken der IT auf dem Radar?

Graphen in Apex von Thomas Hernando.

DOAG Regionalgruppe NRW

Vorteile einer Tool gestützten Modernisierung von Forms und Reports

ITIL: Configuration, Change & Release Management

P R O D U K T D A T E N B L A T T

Oracle Backup und Recovery mit RMAN

Wie sehen Ihre Testdaten aus? Anonymisierung mit Oracle Data Masking. Dirk Braunecker, CGI Deutschland DOAG Konferenz,

Datenbank auf neuen Server kopieren

Installationsanleitung. Apparo Fast Edit. Version 3.1

Installationsanleitung. Apparo Fast Edit. Version 3.0.7

1.1 Datenbankprogramm Oracle für MCIS MDA

IBM Cognos Analtics. mayato Servceangebot zum Upgrade // ÖFFENTLICH

Neue Wege zur Oracle-Migration

Oracle Golden Gate. Seminarunterlage. Version vom

OXO³ technische Aspekte der Oracle EMEA internen BI Implementierung

Zukunft der Oracle Applikationsentwicklung: BC4J & XML

Oracle Performance Analyse Erweiterte Möglichkeiten mit Statistiken und Wartezeiten

Exadata Patching - reloaded. Stefan Panek, DOAG Exaday2016

NEUIGKEITEN SAS 9.4 ARCHITEKTUR PHILLIP MANSCHEK

SAS Metadatenmanagement Reporting und Analyse

Einsatz von APEX 2.2 / 3.0. codework Software GmbH. Sabine Drescher-Gude. bei der DOAG. DOAG SIG Development Kassel

B) Klassenbibliotheken Turtle und Util (GPanel, Console) installieren Ein Unterverzeichnis classes auf der Festplatte erstellen, z.b.

<Insert Picture Here> Oracle Datenbank Einführung Ulrike Schwinn

Oracle Audit Vault nach einem Jahr

Neue Features Oracle Database 12.2 Wann denn endlich?

SAP Analytics für KMU. Oktober 2017

RMAN Recovery Katalog: Wozu ist der da und soll ich ihn benutzen?

Lösungen für mögliche Probleme

Auch nach so vielen Jahren: Was Sie schon immer über Forms/Reports 11g wissen sollten

Oracle Cloud Control. Seminarunterlage. Version vom

2 Anlegen und Konfigurieren von Datenbanken 35

Schnelleinstieg, Installation und Einrichtung System Concept DMS

Schnelleinstieg, Installation und Einrichtung System Concept DMS

B) Klassenbibliotheken Turtle und Util (GPanel, Console) installieren Ein Unterverzeichnis classes auf der Festplatte erstellen, z.b.

Windows Azure für Java Architekten. Holger Sirtl Microsoft Deutschland GmbH

Reporting Lösungen für APEX wähle Deine Waffen weise

ZAPP-Installation unter Windows-7. Lösung Smart Metering

Continuous Delivery mit Orcas

Topal Payroll braucht mindestens SQL Server (Express) Version 2014

Web Application Security: SQL-injection, Cross Site Scripting -- w3af

Typo 3 installieren. Schritt 1: Download von Typo3

Datenbanken. Produkte Dienstleistungen Referenzen

DOAG HC ApEx Workshop. OPITZ CONSULTING GmbH 2009 Seite 1

Neues zur Oracle Lizenzierung (Michael Paege, OPITZ CONSULTING Hamburg, DOAG Competence Center Lizenzen)

Schick statt altbacken Oberflächen-Modernisierung von Forms-Anwendungen

Norman Security Portal - Quickstart Guide

<HTML DB> Web Application Development

Darüber hinaus wird das Training dazu beitragen, das Verständnis für die neuen Möglichkeiten zu erlangen.

Inhaltsverzeichnis. Lutz Fröhlich. PostgreSQL 9. Praxisbuch für Administratoren und Entwickler. ISBN (Buch):

Produkt-Download für NX

SAP Integration von Business Objects am Beispiel von SAP Student Lifecycle Management. Anke Noßmann Syncwork AG

OPENService Dokumentation. Oracle 10.2 Client Installation (Benutzerdefiniert ohne Patch)

<Insert Picture Here> Integration von MOS Patch Empfehlungen im Enterprise Manager

Copyright 2014, Oracle and/or its affiliates. All rights reserved.

Mobile Analytics mit Oracle BI

ASV-BW. ASV-BW Update-Installation

Oracle 10g Einführung

Configuration Management mit Verbosy OSDC Eric Lippmann

Oracle Backup und Recovery

Konfiguration von WNA in Oracle Access Manager 11g

APEX 5.0 DOAG Mai 2014

Oracle Business Intelligence (OBIEE) 12c Ein erster Einblick in die neue Reporting-Engine von Oracle

Powershell DSC Oliver Ryf

RMAN Duplicate. von. dbtotal.de. Jaroslav Dutov.

Vivendi TEST-Datenbanken erstellen

Whitepaper. Produkt: combit Relationship Manager. HowTo: Microsoft SQL Server Datenbank verschlüsseln. combit GmbH Untere Laube Konstanz

SE2 - also ich möchte das nicht.

OraChk die Vorsorgeuntersuchung für die Datenbank

O-BIEE Einführung mit Beispielen aus der Praxis

TimeMachine. Installation und Konfiguration. Version 1.4. Stand Dokument: install.odt. Berger EDV Service Tulbeckstr.

Oracle Backup und Recovery mit RMAN

Schlafen Sie gut!? - Autodesk Vault System Überwachung

Transkript:

DOAG SIG Security 27.06.2018 Personenbezogene Daten in der Datenbank erkennen DBSAT DIE ORACLE DATENBANK BZGL. PII DATEN ANALYSIEREN Seite 1

GPI Consult Gunther Pippèrr gunther@pipperr.de Mein Blog https://www.pipperr.de/dokuwiki/ Bergweg 14-37216 Witzenhausen/Roßbach Freiberuflicher Oracle Datenbank Experte - Ich unterstütze Sie gerne in ihren Projekten. Seite 2

APEX Meetup Gruppe Kassel https://www.meetup.com/de-de/oracle-apex-kassel/ Seite 3

Agenda 1 Aufgabe 2 Idee 3 Praxis Beispiel 4 Erweitern und Konfigurieren 5 Fazit Seite 4

Die Aufgabe Personenbezogene Daten schützen, aber. Wo in meiner Umgebung werden Personen bezogene Daten (PII) gespeichert? PII Personally Identifiable Information Seite 5

Ein Ansatz Über das Data Dictionary Inhalte in einer Datenbank erkennen / erahnen / erraten Oft werden Datenbank Objekte (Tabellen) so benannt, wie die Business Entitäten, die das Objekte später enthält Gelegentlich werden Kommentare auf Tabellen und Spalten mit Hinweise auf die Bedeutung hinterlegt In der Theorie jedenfalls Seite 6

Die Annahme Eine Tabelle die PERSONEN heißt, könnte mit hoher Wahrscheinlichkeit Personen-bezogene Daten enthalten Eine Spalte die EMAIL heißt, könnte mit hoher Wahrscheinlichkeit tatsächlich eine E-Mail enthalten Kommentare, wie Kreditkarten Nummer in Feld ZAHLWEGKID, weist evtl. auf schützenswerte Daten hin In der Theorie jedenfalls Seite 7

Die Analyse Ein Scanner sucht nach bestimmten Mustern im Data Dictionary aller Datenbanken im Unternehmen DD Scanner Report Person Vertrag Bank Suchmuster Seite 8

Bewertung Sehr Schnell Vorteil Einfach umzusetzen Keine komplexe Software notwendig Geschätzt wird eine hohe Treffer-Quote erreicht Nachteil Gewisse False Positive Rate wahrscheinlich ( wie Spalten mit dem Namen Position ) Optimierung auf die eigene Umgebung notwendig Keine echte Analyse auf den eigentlichen Daten Seite 9

Werkzeuge für diese Aufgabe Selber bauen Eigene Skripte entwickeln Kommerzielle Scannerlösungen Wie die Lösungen von Herrn Kornbrust Red Database Security - GDPRSuite Die Oracle Lösung DBSAT Metadaten Handling einführen Oracle Sensitive Data Discovery ( Bestandteil des Database Masking and Subsetting Packs ) Oracle Enterprise Metadata Management OEMM Seite 10

Die Oracle Lösung - DBSAT Ein Datenbank Scanner von Oracle Kommandozeilen Werkzeug Besteht aus 3 Elementen: Collect => Skript für SQL*Plus für Security Frage Stellungen Report => Reporting Werkzeug mit Python (ab 2.6) Discover => DD Scanner auf Java Basis für PII Data Frei verwendbar für alle Kunden mit gültigen Support Vertrag Seite 11

DBSAT Zwei Teilbereiche DB Security Sicherheits-Analyse der Datenbank Umgebung Analyse mit fest hinlegten SQL Abfragen per SQL*Plus Analyse der DB Umgebung (z.b. der Listener) nur bei Linux/Unix möglich! Erzeugt übersichtliche Berichte und Hinweise zu Sicherheitsthemen der DB DB Sensible Daten Suche im Data Dictionary mit Hilfe von Mustern nach interessanten, schützenwerten, persönlichen Daten Speicherorten Frei definierbare Pattern werden für die Suche eingesetzt Seite 12

Demo Analyse einer DB auf PII Data Installation Testlauf Collector Konfiguration Pattern Fein Tuning Start der Analyse Bericht auswerten Seite 13

Download (1) Herunterladen über => Oracle Database Security Assessment Tool (DBSAT) (Doc ID 2138254.1) Kostenlos für alle Oracle Kunden mit Zugang zum Oracle Support Portal mit aktuellen Support Vertrag Security => MD5 Hash der Datei ist dort hinterlegt! Immer genau auch prüfen Seite 14

Download (2) Integrity Check durchführen! Seite 15

Voraussetzungen Installation von Python Version 2 (>= 2.6 ) für die Reporter Komponente Java Runtime Environment (JRE) ab 1.6 für die Discoverer Komponente zip und unzip Kommando Unter Windows einfach die mit der DB gelieferten Version unter $ORACLE_HOME/bin verwenden, wird mit gesetzten Oracle Home automatisch erkannt Seite 16

Installation (1) Software auspacken Seite 17

Installation (2) Umgebung (ORACLE_HOME und JAVA_HOME) setzen und starten set-item -path ENV:ORACLE_HOME -value C:\oracle\products\12.1.0.2\dbhome_1\ set-item -path env:java_home -value "C:\Program Files\Java\jre1.8.0_144".\dbsat.bat Database Security Assessment Tool version 2.0.1 (December 2017) Usage: dbsat collect [ -n ] <database_connect_string> <output_file> dbsat report [ -a ] [ -n ] [ -x <section> ] <input_file> dbsat discover [ -n ] -c <config_file> <output_file> Options: -a Run the reports for all the database accounts -n No encryption for output -x Specify sections to exclude from report (may be repeated for multiple sections) -c Configuration file used for discoverer Seite 18

Sicherheitsüberlegungen Das Tool über das Betriebssystem schützen! Ein perfekter Ort um Schadcode zu hinterlegen, eine Manipulation der Dateien wird von der Software nicht selbstständig erkannt ABER => Im Bericht des Reporters wird ein andere HASH angezeigt! Ein schöner Platz für ein Easter Egg Seite 19

Datenbank User für die Analyse Einen User für die Analyse anlegen Seite 20

Ein erster Aufruf bzgl. der DB Sicherheit Datenbank Daten einsammeln.\dbsat collect secdba@oragpi collect_27_06_2018_db_gpi => SQL*Plus Script wird abgearbeitet Report erstellen.\dbsat report collect_27_06_2018_db_gpi Seite 21

Security Bericht auswerten (1) Auf die Checksum im Bericht achten Oracle Database Security Assessment Tool (DBSAT) (Doc ID 2138254.1) Seite 22

Security Bericht auswerten (2) Auf die Referenzen im Bericht achten CIS Liste - Siehe => https://www.cisecurity.org/benchmark/oracle_database/ Seite 23

Discover Konfiguration für die PII Data Analyse Datei dbsat.config erstellen/anpassen Kopie von sample_dbsat.config erstellen und anpassen Datenbank Verbindung konfigurieren Seite 24

Fein Tuning Pattern File anpassen Pattern Datei sensitive_en.ini anpassen [EMAIL] COL_NAME_PATTERN = EMAIL MAIL COL_COMMENT_PATTERN = EMAIL MAIL SENSITIVE_CATEGORY = PII Regulärer Ausdruck Kategorie im Bericht [PHONE] COL_NAME_PATTERN = PHONE ^TEL ^CELL MOBILE ((WORK OFFICE CONTACT).*(NUM NO NBR)) COL_COMMENT_PATTERN = Phone Telephone Cellphone Mobile N Work N Office N Contact N SENSITIVE_CATEGORY = PII Seite 25

Analyse Aufruf des Werkzeuges dbsat Seite 26

Auswertung Seite 27

Exclude Liste anlegen Falls zu viel gefunden wird Ausnahme-Datei erstellen Ignore ini Datei anlegen - ignore_tables.ini Parameter Datei anpassen - dbsat.config Seite 28

Deutsche Pattern Datei Inoffizielle Version über den Oracle Vertrieb erhältlich Ansprechpartnerin Justyna Biernat justyna.biernat@oracle.com DBSAT Tool EMEA Produkt Manager, Herr Pedro Lopes Seite 29

Integration in Audit Vault Erzeugte CSV Daten in Audit Valut integrieren Norman Sibbing fragen.-) Zum Beispiel die Spalten aus dem Bericht erweitert auditieren Stichwort Fine grained auditing Seite 30

Diskussion Hilft das bei der DSGVO? Wie halten Sie es mit Metadaten Handling in Ihrem Unternehmen? Konnten Sie schon Erfahrungen mit dbsat sammeln? Werden Sie das Tool einsetzen? Seite 31

Fazit Pro: Einfach und komfortabel im Einsatz ohne Installationsaufwand Kostenlos für Kunden mit gültigen Oracle Support Vertrag Einheitlich alle Oracle Datenbanken überwachen Übersichtliches Reporting der wichtigsten Grundvoraussetzungen Analyse des DD mit regulären Ausdrücken erweiterbar Contra: Standard Sicherheitsregeln nicht als Pattern hinterlegt, Standard Regeln nicht einfach zu erweitern Seite 32

Mehr Siehe Webinar => http://www.doag.org/go/newsletter/180620/cw_link1 Blog: => https://www.pipperr.de/dokuwiki/doku.php?id=dba:oracle_db sat Wieder mal eine andere Skript Library https://github.com/gpipperr/orapowershell Bildmaterial : https://pixabay.com Seite 33

Fragen Fragen zu DBSAT? Seite 34

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback