Oracle Database Security Verringerung der Angriffsfläche

Ähnliche Dokumente
Oracle Database 18c Release 1 Neue Funktionalitäten zur Datenbank-Sicherheit

<Insert Picture Here> Verschlüsselung in der Datenbank

Public Cloud im eigenen Rechenzentrum

Sichere Testdaten mit Oracle Enterprise Manager

Geht Security in Oracle Database 12c eigentlich anders?

Zentrale Datenbank-Nutzerverwaltung

Oracle Database 11g: Administration Workshop I Neu

Symantec Backup Exec.cloud

Verschlüsselung ist leicht, Schlüsselmanagement nicht

Lutz Fröhlich. Oracle ng. mitp

Oracle Enterprise Manager 12c R4 ( )

Oracle Security. Seminarunterlage. Version vom

Wie sicher ist die Datenbank vorm Administrator?

Oracle Database 12c: Admin, Install and Upgrade Accelerated

Oracle XE Security. Wieviel Security bietet Oracle XE? Stefan Oehrli

Oracle Database 12c: Admin, Install and Upgrade Accelerated

Sichere Oracle-Datenbanken

Neues von Grid Control. Ralf Durben Oracle Deutschland B.V. & Co. KG Business Unit Datenbank DBTec

Verschlüsselung. Klaus Reimers ORDIX AG Köln. Verschlüsselung, encrypt, decrypt, dbms_obfuscation_toolkit, dbms_crypto, wallet, datapump, rman

IT Sicherheit aus der Cloud

Sebastian Solbach. Senior Sales Consultant Server Technology Competence Center Stuttgart.

Copyright 2014, Oracle and/or its affiliates. All rights reserved.

Verschlüsseln als Überlebensstrategie

Höhere Sicherheit für SAP-Daten durch Oracle Database Vault und Transparente Datenverschlüsselung

Datenverschlüsselung in Oracle Multitenant Umgebungen Claudia Hüffer Oracle Deutschland B.V. & Co. KG Hamburg

Monty Möckel. Andreas Reisinger ÜBER UNS. Senior Technology Consultant IT Services Cloud & Datacenter

Stefan Vogt Sales Engineer. Synchronized Security & XG Firewall

Oracle Real Application Security (RAS) in APEX5

Oracle Database 12c: Administration Workshop Ed 2

Oracle Virtual Private Database

RMAN Recovery Katalog: Wozu ist der da und soll ich ihn benutzen?

<Insert Picture Here> Überblick Oracle Recovery Manager

Sophos Mobile Control

Oracle TSDP. Transparent Sensitiv Data Protection. Stefan Oehrli

Oracle Database 12c: RAC Administration

Oracle JD Edwards EnterpriseOne Investment. Delivery. Proof. Oracle JD Edwards EnterpriseOne All You Need Without The Risk. CLOUD JDE and TRY IT

Oracle Backup und Recovery mit RMAN

CodeMeter. Ihr Führerschein zum Kryptographie-Experten. Rüdiger Kügler Professional Services

Data Dictionary for Oracle

Applica'on Performance Monitoring in der Oracle Cloud

NEUIGKEITEN SAS 9.4 ARCHITEKTUR PHILLIP MANSCHEK

Schützen Sie Ihre Daten und Prozesse auf einfache Art und Weise. Matthias Kaempfer April,

Veeam Availability Suite. Thomas Bartz System Engineer, Veeam Software

Agenda. Ausgangssituation (Beispiel) PaaS oder IaaS? Migrationspfade Deep Dives. IaaS via Azure Site Recovery PaaS via SQL Deployment Wizard

Sicherheit Konzepte für die Datenbanksicherheit. TOAD User Konferenz 2008 Dr. Günter Unbescheid Database Consult GmbH

Technischer Artikel Sichere Oracle-Datenbanken

A b s i c h e r n p r i v i l e g i e r t e r A c c o u n t s ( O n - p r e m i s e & C l o u d )

<Insert Picture Here> Security-Basics. Privilegien, Rollen, SQL und PL/SQL - inkl. 12c-Update. Carsten Czarski, ORACLE Deutschland B.V. Co.

Teil 1 Oracle 10g Neue Architektur und neue Features... 25

Oracle Database 12c Release 2 Neue Funktionalitäten zur Datenbank Sicherheit Norman Sibbing

Ora Education GmbH. Lehrgang: Oracle Application Server 10g R3: Administration

Hochverfügbarkeit - wie geht das?

McAfee Database Security

Oracle Snap Management Utility Snap mir eine. Marco Schwab, DOAG 2017,

Alles neu. Migration in eine frische Datenbank ohne Altlasten. Thomas Klughardt Senior Systems Consultant

Mobile Security: Sicherer Applikationszugriff für eine mobile Welt. Oracle Mobile and Social Access Management. Heike Jürgensen.

IT-Security durch das passende OS. Oracle Solaris 11.2.

Transkript:

Oracle Database Security Verringerung der Angriffsfläche Norman Sibbing ORACLE Deutschland B.V. & Co. KG DOAG Security Day, 17. März 2016

Grundsätzlich Sensibilisierung aller Mitarbeiter (von der Pforte bis zum Manager) Bedrohungen darstellen Verhaltensregeln vermitteln Patchen, Patchen, Patchen (auch wenn es schmerzt) Desktops und Server Standardisierung (gehärtete Systeme) Rollen und Privilegien kontrollieren Übersicht und Disziplin behalten Budget und Zeit

Angriffsflächen

Risiko Vereinfachtes Architektur Diagramm Database Web Browser Application Storage

Risiko Netzwerk Database Web Browser Application Storage Attacker

Risiko Personen und Rollen App Users Network Admins DBAs Storage Admins Developers OS Admins IT Support IT Engineering

Risiko Schadsoftware Malware APT Storage Admins App Users Network Admins DBAs Developers OS Admins IT Support APT IT Engineering Malware

Verringerung des Risikos

Physikalischer Zugriffschutz Die richtige Maßnahme App Users Network Admins DBAs Storage Admins Network Encryption Database Encryption IT Support Developers IT Engineering OS Admins

Physikalischer und logischer Zugriffsschutz Die richtige Maßnahme App Users Data Redaction Network Admins Database Vault DBAs Storage Admins Developers Network Encryption Database Encryption OS Admins Data Masking IT Support IT Engineering

Schutz vor SQL-Injections Die richtige Maßnahme App Users SELECT * from stock where catalog-no='' union select cardno from Orders--' Database Firewall Attacker

Verringerte Angriffsflächen Wo es Sinn macht Malware App Users Data Redaction Attacker Network Admins Database Vault APT DBAs Storage Admins Network Encryption Database Firewall Database Encryption Data Masking Developers OS Admins IT Support APT IT Engineering Malware

Oracle Database Security Innovation Oracle8i Oracle7 (ca. 1993) Oracle Database 9i Key Vault Conditional Auditing Real Application Security Data Redaction Privilege Analysis Audit Vault and Database Firewall Data Masking and Subsetting Database Vault Transparent Data Encryption Secure Configuration Scanning Fine Grained Auditing Label Security Strong authentication Virtual Private Database Database Encryption API Network Encryption Database Auditing Oracle Database 10g Oracle Database 11g Oracle Database 12c

Oracle Database 12c Security Neu: Unified und Conditional Auditing Neue SOD Rollen (SYSBACKUP, SYSDG, SYSKM) FIPS 140-2 Modus nutzt validierte RSA MES 4.X kryptographische Bibliothek Oracle Database 12c (12.1.0.2), Oracle Database 11.2.0.4 (Windows und Linux) Transparent Data Encryption TLS/SSL, Native Network Encryption, DBMS_CRYPTO Package SHA-512 für DB-Kennwort und DBMS_CRYPTO Enterprise Manager 13.1 STIG Compliance Framework

Detection is much more important than prevention... everything we know about complex systems tells us that we cannot find and fix every vulnerability. Bruce Schneier, Secrets and Lies, 2004, Kapitel 24

Die amerikanischen Unternehmen merken es, wenn sie angegriffen werden - die deutschen nicht.* *Computerwoche, März 2012

Das neue Auditing unified auditing Unified Audit Trail Policies steuern das Auditing, nicht Initialisierungsparameter AUDSYS ist Eigentümer des Audit Trail Nur eine Read-Only Audit Tabelle im Tablespace SYSAUX Management über dbms_audit_mgmt Package Zugriff auf den Audit Trail nur mit AUDADMIN und/oder AUDVIEWER Rollen Unterstützt RMAN, Data Pump und Direct Path Loader Bessere Performance (Queue Mode)

Funktionen trennen, Aufgaben verteilen, least privilege Wichtige Verwaltungstätigkeiten ohne SYSDBA SYSKM SYSDG Wallet Administration im Kontext von ASO (TDE) Oracle Data Guard Administration mit Data Guard Broker oder DGMGRL SYSDBA SYSBACKUP Backup mit RMAN

TDE Algorithmen und Schlüssellänge Tablespace Encryption Unterstützte Algorithmen: AES256, AES192, AES128, 3DES168 Operating Mode: Cipher Feedback (CFB) Column Encryption Unterstützte Algorithmen : AES256, AES192, AES128, 3DES168 Operating Mode: Cipher Block Chaining (CBC) TDE Master Key Column und Tablespace Schlüssel mit AES256, CBC mode verschlüsselt Oracle Wallet (.p12) Standard-Verschlüsselung mit 3DES168, CBC mode; Optional mit AES256, CBC mode

Database Vault (DV) Installation, Patchen, Ein- und Auschalten Im 12c Release in jeder Installation technisch verankert Nachträgliche Konfiguration mit dem DBCA oder auf der Kommandozeile Ein- und ausschaltbar, sofern die Privilegien IN DER DATENBANK dazu vorliegen Kein entfernen von DV durchs Relinken möglich DV_PATCH_ADMIN Recht zum Einspielen von Patches Unterschiedliche Datenbanken aus einem ORACLE_HOME können mit oder ohne DV (unterschiedlich) konfiguriert werden Verwaltung über Cloud Control oder Kommandozeile (PLSQL Packages)

Datenbank-Sicherheit in der Oracle Cloud

Verschlüsselung ist der Standard Alle Oracle Cloud Datenbanken sind standardmäßig verschlüsselt Das gilt auch für die Standard Edition Neuer Datenbank Parameter encrypt_new_tablespace (Default AES 128) ALWAYS : Alle neuen Tablespaces werden verschlüsselt. On Premises und Cloud Datenbanken CLOUD_ONLY: Nur Datenbanken als Datenbank Cloud Service werden Verschlüsselt DDL: Verschlüsselung muss explizit angeben werden Backups in die Oracle Storage Cloud sind standardmäßig verschlüsselt Das gilt auch für die Standard Edition Backups auf lokalem Storage sind nur in der Enterprise Edition verschlüsselt

Aktivieren von Database Vault Ab der Database Cloud Service High Performance Enterprise Edition Anlegen der Database Vault Benutzer Database Vault Administrator (z.b. c##dbv_owner_root) Database Account Manager (z.b. c##dbv_acctmgr_root) Konfiguration der Datenbank BEGIN DVSYS.CONFIGURE_DV ( dvowner_uname => 'c##dbv_owner_root', dvacctmgr_uname => 'c##dbv_acctmgr_root'); END; Aktivierung von Database Vault durch den Database Vault Administrator EXEC DBMS_MACADM.ENABLE_DV;

Zusammenfassung Verfügbarkeit Steuerung App Users Daten logischer Developers Zugriffsschutz OS Admins DBAs IT Engineering physikalischer Zugriffsschutz Network Admins Sichere Konfiguration IT Support Storage Admins Nachweisbarkeit

Weitere Informationen Oracle Database 12c Security Guide http://docs.oracle.com/database/121/tdpsg/toc.htm Oracle Database 11g Security Guide http://docs.oracle.com/cd/e11882_01/server.112/e10575/toc.htm Oracle Database Security http://www.oracle.com/us/products/database/security/overview/index.html Securing Oracle Database 12c ebook: A Technical Primer http://books.mcgraw-hill.com/ebookdownloads/oracle12csecurity

Copyright 2016 Oracle and/or its affiliates. All rights reserved.

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback