SIG Security 3. März 2011 Datenbank Sicherheit Standards, Prozesse, Werkzeuge Dr. Günter Unbescheid Database Consult GmbH
Database Consult GmbH Gegründet 1996 Kompetenzen rund um ORACLE Tätigkeitsbereiche Systemanalysen, Tuning, Installation, Konfiguration Security und Identity Management Expertisen/Gutachten Support, Troubleshooting, DBA Aufgaben Datenmodellierung und design Programmierung: SQL, PL/SQL, Java, JSP, ADF, BC4J Workshops (in house) Database Consult GmbH Jachenau 2
Database Consult GmbH Kundenprojekte im Bereich Security (letzte 3 Jahre): Security Konzept Datenbank Personifizierte DBA Accounts, Auditing, Single Sign On Single Sign On für Webapplikationen Zusammenführung diverser User Datenquellen per Oracle Virtual Directory Authentifizierung per Oracle Access Manager Personifizierte und zentrale DB Benutzerverwaltung Nutzung von Kerberos und Enterprise Usern (OID, OVD,AD) Globale Rollen und Enterprise Rollen Database Consult GmbH Jachenau 3
Themen Einführende Gedanken zum Thema... Fakten zur Bedrohungslage Sicherheit als Projekt Regeln, Standards, Werkzeuge Database Consult GmbH Jachenau 4
Einführende Gedanken zum Thema Database Consult GmbH Jachenau 5
Bäume statt Wald? Single Sign On Authentication DAC Databsase Vault VPD Secure Files Auditing Wallets Authorisation FGA Application Context Audit Vault Enterprise Users Roles CRL Shared Schema SSL Object Privs Labels Global Roles System Privs Network Data Encryption RLS password policies TDE Enterprise Roles Proxy Authentication MAC certificates Database Consult GmbH Jachenau 6
Oracle Dokumentation zum Thema Manual Seiten Inhalt Oracle Database 2 Day + Security Guide 124 Klicken im OEM Oracle Database Security Guide 436 Standard Features, VPD, Oracle Database Advanced Security Administrator s Guide Oracle Database Enterpirse User Security Administrator s Guide Oracle Database Label Security Administrator s Guide Oracle Database Vault Administrator s Guide Diverse Manuals zu Audit Vault 300 Advanced Security Option 182 Enterprise User Security 294 Label Security 360 Database Vault 1696 Seiten ohne Audit Vault! Database Consult GmbH Jachenau 7
Annäherung... Cryptography is a branch of mathematics,...(it) is perfect. Security,... involves people,... (it) is a process, not a product (Bruce Schneier, Secrets & Lies) Database Consult GmbH Jachenau 8
Nur Kosten?! Auch Nutzen?! Neue Funktionalität?? Längere Projektlaufzeiten Security Neue Fehlerquellen Höhere Komplexität Performance?? Neue Technologien Interessante Fortbildungen Manager Techniker Database Consult GmbH Jachenau 9
Annäherung... Die Frage ist nicht, ob wir uns Sicherheit leisten können, sondern die durch Ausfälle und Kompromittierungen entstehenden Schäden. Sicherheit ist mehr als Datenverschlüsselung und das Einspielen von Patches Database Consult GmbH Jachenau 10
Thematisches Umfeld Database Consult GmbH Jachenau 11
3 Säulen Vertraulichkeit ist die Eigenschaft einer Nachricht, nur für einen beschränkten Empfängerkreis vorgesehen zu sein. Verfügbarkeit ist die Uptime pro Zeiteinheit (in Prozent), sofern die Antwortzeit eine bestimmte Kenngröße nicht überschreitet. Integrität ist die vollständige sowie unveränderte Übermittlung von Daten an den Empfänger Database Consult GmbH Jachenau 12
Publizierte Fakten zur Bedrohungslage Database Consult GmbH Jachenau 13
Trends und Risiken DB Trends mehr Systeme mehr Daten neue Datenklassen DBA Trends weniger Administratoren externe Dienstleister Security Anforderungen Schutzbedarf per Risikoanalyse Konzentration auf exponierte Systeme Zugriffskontexte Datensensibilität Schutzbedarf Datenfluss Database Consult GmbH Jachenau 14
Bekanntmachungen Privacy Rights Clearinghouse Chronologie der Verstösse, allgemeine Informationen http://www.privacyrights.org/data breach (2010) DATA BREACH INVESTIGATIONS REPORT Verizon in Zusammenarbeit mit United States Secret Service (USSS) Gemeinsamkeiten/Gruppierungen/Statistiken www.verizonbusiness.com/resources/reports Data Breach Blog (SC Magazine), u.v.m. Database Consult GmbH Jachenau 15
Verizon Report Database Consult GmbH Jachenau 16
Verizon Empfehlungen Restrict and monitor privileged users Gefahr durch Insider, Logging hoch privilegierter Ben. Watch for minor policy violations Implement measures to thwart stolen credentials effektive und starke Authentifizierungen Monitor and filter egress network traffic auswärts gewandter Netzverkehr Database Consult GmbH Jachenau 17
Verizon Empfehlungen Change your approach to event monitoring and log analysis schnell und effizient Share incident information Kette: Implementierung > Entscheidung > Kenntnis > Informationen Database Consult GmbH Jachenau 18
Sicherheit als Projekt Database Consult GmbH Jachenau 19
Motivation Warum überhaupt? Vermeidung von Datenverlust/ diebstahl (data breach) Einhaltung regulativer Vorgaben (compliance) Pros Vermögenswerte schützen Vermeidung von Folgekosten und Imageverlust Cons Lizenzkosten, Planungs und Entwicklungskosten (TCO statt ROI!) Storage und CPU Auswirkungen Database Consult GmbH Jachenau 20
Massnahmen Präventiv Schutzbedarf ermitteln Security Konzept erstellen und umsetzen Compliance regelmässig prüfen Detektiv Auditing und Monitoring Reaktiv prompt und situationsgerecht Klientel Datencharakteristik Risiko Datenfluss Database Consult GmbH Jachenau 21
Security Projekte Konzepte + Technik + Prozesse separation of duties ganzheitlich von Anfang an integraler Bestandteil ROI schwer ermittelbar In jedem Fall Teamarbeit Entwicklung (DB )Administration Monitoring/Operations Geschäftsleitung Technik Konzeption Prozesse Database Consult GmbH Jachenau 22
Security Projekte Welche Daten und Datenströme gibt es? Welche Bedrohungen existieren? Wie hoch sind die Risiken? Gewichtung Welche Gesetze/Regeln? intern / extern Welche Maßnahmen sollen ergriffen werden? Balance Offenheit Schutz Database Consult GmbH Jachenau 23
Prinzipien Separation of Duties Least Privilege need-to know Reconstruction of Events Accountability Authenticated Users Identified Security steht und fällt mit identifizierbaren Benutzern Database Consult GmbH Jachenau 24
Security Universum Database Consult GmbH Jachenau 25
Security Universum Database Consult GmbH Jachenau 26
Security Universum Database Consult GmbH Jachenau 27
Security Universum Database Consult GmbH Jachenau 28
Security Universum Database Consult GmbH Jachenau 29
Security Universum Database Consult GmbH Jachenau 30
Massnahmen Database Consult GmbH Jachenau 31
Regeln, Standards, Werkzeuge Database Consult GmbH Jachenau 32
Regulatorien Interne Vorgaben Gesetze externe Vorgaben Branchen, nationale Regeln, gebunden an Firmengrösse u.a. Sarbanes Oxley, PCI DSS Nicht immer mit präzisen technishen (DB )Vorgaben Best Practise Kompendien erleichtern Umsetzung Database Security Technical Implementation Guide (STIG) von Defense Informtion Systems Agency (DISA) für DoD (allgemein und Oracle spezifisch) Center For Internet Security Benchmark for Oracle Database Consult GmbH Jachenau 33
Hardening sichere Konfiguration eines Systems Minimierung von Risiken sichere Codebasis Patching Große Zahl von Einzelmaßnahmen Ausarbeitung einer "Hardening Guideline" Setzen einer "Configuration Baseline" Database Consult GmbH Jachenau 34
STIG Publikationen Ausschnitt: Oracle 11 Database Security Checklist Version 8 Release 1.8 Generic Database STIG, Version 8, Release 1 Generic Database Security Checklist, Version 8, Release 1.6 http://iase.disa.mil/stigs/index.html Database Consult GmbH Jachenau 35
STIG Ausschnitt Database Consult GmbH Jachenau 36
STIG Ausschnitt Checks/Fixes können auch detaillierte SQL Anweisungen enthalten Database Consult GmbH Jachenau 37
CIS Oracle Benchmarks Database Consult GmbH Jachenau 38
Secure By Default Option beim Anlegen einer DB mit DBCA in 11gR1 Mit DBCA automatisch in 11gR2 Beim manuellen Anlegen einer DB fehlt: audit_trail = DB (Standard: NONE) Diverse Standard Audit Optionen Skript $ORACLE_HOME/rdbms/admin/secconf.sql Weitere Features: Benutzer per Default gesperrt, besserer Passwort Hash, Database Consult GmbH Jachenau 39
Project Lockdown Artikel in Oracle Technology Network von Arup Nanda Vorgehensweise für Härtung von Datenbanken in verschiedenen Phasen http://www.oracle.com/technetwork/articles/index 087388.html Database Consult GmbH Jachenau 40
Patches Patches beheben Fehler und/oder Sicherheitslücken werden einzeln (one off) oder in Patch Sets verteilt Funktionale Patches problemlos akzeptiert durch Leidensdruck Sicherheitspatches problematisch, weil keine spürbare Fehlfunktionen unnötiges Herunterfahren von abhängigen Softwarekomponenten quartalsweise publiziert Database Consult GmbH Jachenau 41
Sicherheitspatches publiziert als Patchset dienstags am oder nach dem 15. der Monate Januar, April, Juli, Oktober als Critical Patch Update (CPU) nur sicherheitsrelevante Fixes, kumulativ oder Patch Set Update (PSU) sicherheitsrelevante und wichtige funktionale Fixes Performance neutral, kumulativ, erhöht Release Nummer Eindeutige Strategie gefordert nach dem Wechsel auf PSU kein zurück auf CPU Database Consult GmbH Jachenau 42
Automatisierte Prüfungen Vulnerability Assessment Tools/Scanners (VAT) darunter auch Oracle taugliche http://www.databasesecurity.com/oracle vatools.htm u.a. AppDetective, AppSentry, Guardium, NGSSQuirrel prüfen Software, Misconfiguration, Misuse Aussen und Innenprüfungen, Diff Reports produzieren Security Report mit Empfehlungen und Lockdown Script Anlegen von Baselines durch Change Tracking Tools Digests auf Prüfelementen über VAT Database Consult GmbH Jachenau 43
NGSSQuirrel Database Consult GmbH Jachenau 44
Auf den Punkt gebracht Verstehen der eigenen Datencharakteristik und Kategorisierung der eigenen Systeme Verstehen der Bedrohungszenarien und ihrer Relevanz für die eigenen Gesamtsysteme Sichtung allgemein anerkannter Standards zur Konfiguration und Kontrolle Konzeption eigener Security Policies auf dieser Basis Referenzinstallation und konfiguration Automatisierte Prüfungen zur Kontrolle Database Consult GmbH Jachenau 45
Danke für s Zuhören www.database consult.de Database Consult GmbH Jachenau 46