erfülle ich innerhalb einer Stunde Compliance- Anforderungen

Ähnliche Dokumente
Oracle Bare Metal Cloud Service

Zentrale Datenbank-Nutzerverwaltung

Neue Welten: Externe Daten mit APEX nutzen

Demo Kino: Der Herr der Wolken Die Gefährten

Immer in Bewegung bleiben Oracle Managed File Transfer

Oracle Data Visualization. Demo-Kino

Neues von Oracle Gut zu wissen

Sichere Testdaten mit Oracle Enterprise Manager

Migra?on VMWare basierender Datenbanken auf Knopfdruck

Informationen zur Oracle DB SE2

BPA Suite und SOA - vom fachlichen Prozessmodell zur Anwendung. Bernhard Fischer-Wasels Leitender Systemberater

SAFE HARBOR STATEMENT

WebLogic Server für Dummies

Automatisierter Java EE Entwicklungs-Lifecycle mit WebLogic Server 12c. Robin Müller-Bady Systemberater, Oracle Deutschland

<Insert Picture Here> Application Express: Stand der Dinge und Ausblick auf Version 5.0

<Insert Picture Here> Integration von MOS Patch Empfehlungen im Enterprise Manager

SAFE HARBOR STATEMENT

Modellierung der Business Architecture mit BPM 12c

<Insert Picture Here> Projekte erfolgreich führen mit den richtigen Entscheidungen

Warum Gesetze nicht programmiert werden sollten. Peer Meinhardt CRM Lösungsvertrieb öffentliche Auftraggeber. <Insert Picture Here>

Oracle E-Business Suite Überblick Report Manager

Copyright 2012, Oracle and/or its affiliates. All rights reserved.

Copyright 2012, Oracle and/or its affiliates. All rights reserved.

WebLogic Server im Zusammenspiel mit Real Application Cluster

<Insert Picture Here> SaaS mit Oracle CRM On Demand Heute und in Zukunft

1 Copyright 2012, Oracle and/or its affiliates. All rights reserved.

Business Process Management. Cloud und Mobile Computing. BPMday 2013 Köln, 13. November Enzo Favuzzi - Sales Manager WebCenter & BPM

+++ Bitte nutzen Sie die integrierte Audio-Funktion von WebEx (Menü Audio -> Integrated Voice Conference -> Start auswählen), um uns zu hören!!!.

Solaris Softwareupdates: do's and don'ts

Oracle Public Cloud Die Enterprise Cloud für geschäftskritische Anwendungen Carsten Ratzlaff

Neues von Oracle Gut zu wissen...

Wissenswertes für den Oracle DBA in der Cloud

The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into

Neues von Oracle. Gut zu wissen... Annett Thurm-Meyer. 17. August Senior Sales Consultant Business Analytics

1 Copyright 2011, Oracle and/or its affiliates. All rights reserved. Customer Presentation

Identity Propagation in Oracle Fusion Middleware

Copyright 2012, Oracle and/or its affiliates. All rights reserved.

SAM - QFS Diskarchivierung - eine Diskussion

Zuhause On-Premises und in der Cloud mit Identity Management

Copyright 2012, Oracle and/or its affiliates. All rights reserved.

Big Data Roadschow Realisierung Betriebsmodelle und Hardware. Big Data Roadshow im Oktober 2015

Patching und Provisioning von Linux-basierten Infrastrukturen

Dr. Jens Hündling Manager Sales Consulting Oracle, Potsdam. DOAG SIG BPM Frankfurt, 27. September 2011

<Insert Picture Here> 8. Business Intelligence & Data Warehouse Konferenz

Safe Harbor Statement

Disclaimer. Copyright 2014, Oracle and/or its affiliates. All rights reserved.

1Copyright 2013, Oracle and/or its affiliates. All rights reserved.

Oracle SQL Developer Data Modeling

<Insert Picture Here> Aufbau einer hochverfgbaren SOA Service Infrastruktur mit der SOA Suite 11g

Oracle Enterprise User Security 11g mit Server Chaining

Wer bin ich? Und wenn ja wo überall und wieviele

Copyright 2012, Oracle and/or its affiliates. All rights reserved.

WebLogic goes Security

Public Cloud im eigenen Rechenzentrum

ITK-Trends 2010: Hardware and Software. Engineered to work together. Rolf Kersten EMEA Hardware Product Marketing, Oracle

2011 Oracle Corporation Customer Presentation Version 5.2.2/

+++ Bitte nutzen Sie die integrierte Audio-Funktion von WebEx (Menü Audio -> Integrated Voice Conference -> Start auswählen), um uns zu hören!!!

Oracle Database 18c Release 1 Neue Funktionalitäten zur Datenbank-Sicherheit

1 Copyright 2011, Oracle and/or its affiliates. All rights reserved.

Identity & Access Management in Extranet Portal Projekten

Oracle Scorecard & Strategy Management (OSSM) Björn Ständer, Director Business Development BI Oracle Deutschland B.V. & Co. KG

Die Rolle von IT-Sicherheit bei der Digitalisierung

Der Oracle Mobile Cloud Service

Oracle Cloud Überblick

Copyright 2015, Oracle and/or its affiliates. All rights reserved.

Oracle Application Express 4.2.1

<Insert Picture Here> Kerberos Geheimnisse in der Oracle Datenbank Welt

Portal for ArcGIS - Eine Einführung

ist WebLogic Server leicht gemacht WAS WAS Volker Linz Sales Consultant Michael Fuhr Principal Sales Consultant November, 2015

Applica'on Performance Monitoring in der Oracle Cloud

Neues von Grid Control. Ralf Durben Oracle Deutschland B.V. & Co. KG Business Unit Datenbank DBTec

Kerberos Geheimnisse in der Oracle Datenbank Welt

i-net HelpDesk Erste Schritte

Schützen Sie Ihre Daten und Prozesse auf einfache Art und Weise. Matthias Kaempfer April,

WebLogic goes Security!

Nichttechnische Aspekte Hochverfügbarer Systeme

SODA. Die Datenbank als Document Store. Rainer Willems. Master Principal Sales Consultant Oracle Deutschland B.V. & Co. KG

<Insert Picture Here> Erste Schritte mit Oracle Forms 11gR1 und Oracle Reports 11g R1 Moderne Klassiker

Das ewige Thema: DBAs und Datenschutz. SIG Security 26. März 2014 Dr. Günter Unbescheid Database Consult GmbH Jachenau

Umfassende Sicherheit mit Oracle - von der Applikation bis zu den Daten -

Flexible und automatisierte Reaktionen auf Sicherheitsvorfälle

<Insert Picture Here> Mehr Sicherheit durch Enterprise SSO wie funktioniert das genau?

Planen, Prüfen Patchen! Neues zu Oracle Solaris 10 und Patchen mit CPUs

<Insert Picture Here>

Oracle Cloud Computing JAVA CLOUD SERVICE

Sophos Mobile Control

Active Directory reloaded in Windows Server 8

IT-Sicherheit im Gesundheitswesen aus Sicht der Hersteller

ORACLE CLOUD VERLEIHT ADF ANWENDUNGEN FLÜGEL. Andreas Koop CEO & Consultant Oracle Technologies

APIs gemanaged und kontrolliert

FreeIPA. Eine Einführung. Robert M. Albrecht. Presented by. Fedora Ambassador CC-BY-SA. Freitag, 20. Juli 12

Kostenoptimierte Cloud-Administration mit Solaris Container Technologie

Copyright 2013, Oracle and/or its affiliates. All rights reserved.

Cloud Control, Single Sign On in Active Directory Umfeld

Symantec Backup Exec.cloud

Oracle Application Express 5.1

Projekt: Vertrauenswürdige Verbindung Angriffsvektor Connection-Pool

{ Windows 2008: Spezielle Aufgaben }

Monty Möckel. Andreas Reisinger ÜBER UNS. Senior Technology Consultant IT Services Cloud & Datacenter

Transkript:

Wie erfülle ich innerhalb einer Stunde Compliance- Anforderungen Carsten Mützlitz DOAG SIG Security in Hamburg Copyright 2014 Oracle and/or its affiliates. All rights reserved. DOAG SIG Security in Hamburg

Safe Harbor Statement The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle s products remains at the sole discretion of Oracle. Copyright 2014 Oracle and/or its affiliates. All rights reserved. DOAG SIG Security in Hamburg 3

Kaum macht man es richtig, schon funktioniert s. Carsten Mützlitz, Master Principal Sales Consultant, Oracle Germany Copyright 2014 Oracle and/or its affiliates. All rights reserved. DOAG SIG Security in Hamburg 4

Kurze Einführung Schutz von Datenbanken Copyright 2014 Oracle and/or its affiliates. All rights reserved. DOAG SIG Security in Hamburg 5

Einführung in den Schutz von Datenbanken Vorbeugende (preventive) Sicherheit und aufspürende Kontrollen 11. Juni 2014 Copyright 2014 Oracle and/or its affiliates. All rights reserved. Sicherheitsworkshop für B.Braun in Melsungen 6

Oracle Maximum Security Architecture Core Components Advanced Security Data Redaction Users Database Vault Privilege Analysis Apps Alerts Database Firewall Events Data Masking Advanced Security TDE Database Vault Privileged User Controls Reports Policies Audit Vault Audit Data & Event Logs Databases OS & Storage Directories Custom 11. Juni 2014 Copyright 2014 Oracle and/or its affiliates. All rights reserved. Sicherheitsworkshop für B.Braun in Melsungen 7

Oracle Maximum Security Architecture Oracle empfohlene Best Practices Audit von sensiblen Aktivitäten Standard Audit Policies auf Basis Oracle Database 11g Angepasste Policies mit der Oracle Database 12c Überwachung von Konfigurationen und verhindern von Änderungen Überwachung von Konfiguration-Referenzen um Drifts zu vermeiden Konfiguration mittels Database Vault, um unautorisierte Änderungen zu verhindern durch interne User Alert von DB und Apps Änderungen mittels Audit Vault Alerts 11. Juni 2014 Copyright 2014 Oracle and/or its affiliates. All rights reserved. Sicherheitsworkshop für B.Braun in Melsungen 8

Oracle Maximum Security Architecture Oracle empfohlene Best Practices Oracle Emfehlungen für eine sichere Konfiguration folgen Expire and lock Default und nicht genutzte Accounts Password Komplexität und Account-Ablauf Policies erzwingen Zentralisierte Administration von DB Admin Accounts Enterprise User Security für DBA Accounts verwenden Personalisierte DBA Accounts keine Shared User verwenden Proxy Authentisierung für Verantwortlichkeiten nutzen Command line Proxy seit Oracle Database 10g Release 2 User Proxy Authentisierung für Anwendungszugriffe 11. Juni 2014 Copyright 2014 Oracle and/or its affiliates. All rights reserved. Sicherheitsworkshop für B.Braun in Melsungen 9

Gesetze, Regularien, externe Einflüße Compliance Copyright 2014 Oracle and/or its affiliates. All rights reserved. DOAG SIG Security in Hamburg 10

Es geht immer um mögliche Grundbedrohungen... Verlust der Vertraulichkeit - Netzverkehr abhören (sniffer attacks) - Knacken kryptographischer Schlüssel und Verfahren (code breaking/key recovery) - Angriffe auf Kennwörter (password guessing/ cracking) - Falsche Rechte-Konzept - Verarbeitungs-, Übertragungs- und Speicherfehler - Manipulation von Daten z. B. durch spoofing attacks: o o o ip spoofing (IP fälschen) DNS spoofing Web spoofing (Webseiten fälschen) Verlust der Integrität Mobile Computing Corporate Network INTERNET Teleworking Corporate Network Schlagwörter, die als Bedrohung eingestuft werden, sind: Hacker, Fremdpersonal, eigenes Personal, Fehler, Ausfälle, Fernwartung und Wirtschaftsspionage u.v.m. Verlust der Verfügbarkeit - Ausfall - Zerstörung - Unterbrechung von Diensten (denial of service) durch: oping of death oicmp attacks osyn flooding, etc. - Rechtsverbindlichkeit elektronisch abgeschlossener Verträge, wie z.b. Fax, EMail - Electronic Commerce - Gesetzesauflagen - Risiko-Früherkennung - Authentizitätscheck (Who) Verlust der Verbindlichkeit 11. Juni 2014 Copyright 2014 Oracle and/or its affiliates. All rights reserved. Sicherheitsworkshop für B.Braun in Melsungen

Welchen externen Einflüßen sind wir ausgesetzt? Compliance, Regularien, Gesetze, Business Anforderungen etc. Unternehmens- Organisation Basel II, Solvency II, KontraG, AktG, HGB, BilReG Rechnungslegung, Buchführung, Archivierung, Prüfung GoBS, GoB, HGB, GDPdU, IDW PS, Email- Archivierungsvorschr. Branchen- oder Größenspezifisch WpHG, BAFin, FdA, GMP, MARisk, EU- Vermittlerrichtlinie Rechtsgrundlagen Arbeitsrecht BetrVG: 80 (1+2), 87(6), BildschirmarbV Datensicherheit & Datenschutz 3, 9, 11 ff. BDSG Landesspezifische Gesetze 8.-EU-Richtlinie, SOX, APAG Compliance Bedrohungen Copyright 2014 Oracle and/or its affiliates. All rights reserved. DOAG SIG Security in Hamburg 12

Motivationslage der Unternehmungen Rechtliche Vorgaben und Entscheidungsspielräume Rechtliche Vorgaben für IT-Sicherheit durch... Gesetze Verträge Haftungsrisiken Eigeninteresse Entscheidungsspielräume Von Ihnen verlangte IT-Sicherheit Von Ihnen gewollte IT-Sicherheit Copyright 2014 Oracle and/or its affiliates. All rights reserved. DOAG SIG Security in Hamburg 13

Landesdatenschutzgesetz und Datenschutzverordnung Wir betrachten mal nur einen kleinen Ausschnitt Auschnitt LDSG 6 Abs. 2...... Für eine ordnungsgemäße Datenverarbeitung nach aktuellem Stand der Technik ist es zwingend notwendig, dass die administrativen Tätigkeiten nachvollziehbar sind. Das LDSG und die DSVO stellen hierfür konkrete Anforderungen. Bei jeder administrativen Tätigkeit muss stets der Ausführende ermittelt werden können......ermittlung von Risikofaktoren für den Missbrauch der Daten (bei sensibler Datenverarbeitung nach 11 Abs. 3 LDSG Risikoanalyse als VS-nfd) unter Berücksichtigung der Schutzbedürftigkeit der Daten ( 5 Abs. 1 u. 2 LDSG)... 14 Copyright 2014 Oracle and/or its affiliates. All rights reserved. DOAG SIG Security in Hamburg

Was wäre die Lösung? Also, DBAs sichtbar machen, weil welches Risiko besteht? Wer? Welches Risiko und welchen Schutzbedarf leitet sich daraus ab? DBA Alle DBAs werden in allen (wichtigen) Datenbanken personalisiert. Copyright 2014 Oracle and/or its affiliates. All rights reserved. DOAG SIG Security in Hamburg 15

Komplexitätsberechung einer typischen Umgebung Komplexität bedeutet auch Verlust der Kontrolle Zur Erinnerung: Das LDSG und die DSVO stellen hierfür konkrete Anforderungen. Bei jeder administrativen Tätigkeit muss stets der Ausführende ermittelt werden können. Auch Oracle empfiehlt den Einsatz von personalisierten DBAs. SYS wird nur in Ausnahmenfällen genutzt und SYSTEM wird gesperrt. Hinzu kommt, dass bestimmte Zertifizierungen (wie z.b. BSI) eine regelmäßige Änderung der Passwörter fordert. Gegeben (Ist-Situation): Eine Unternehmung betreibt 100 Datenbanken inkl. Entwicklung, Test, Integration und Abnahme DBs. Diese Datenbanken werden von 10 DBAs betreut. Jeder DBA ist in jeder DB lokal angelegt. Zusätzlich zu den Datenbanken besteht ein zentrales Benutzerrepository (MS Active Directory) ComplexDBAMGMT = ComplexDBAMGMT = ComplexDBAMGMT = Count(DBAs) x Count (DB Instances) 10 DBAs x 100 DB Instances 1000 Die Komplexitätszahl 1000 sagt nun aus, dass insgesamt 1000 Accounts für 10 DBAs zu betrachten sind. Copyright 2014 Oracle and/or its affiliates. All rights reserved. DOAG SIG Security in Hamburg 16

Also, wie sieht die Realität aus? Personalisierung ist zu komplex Anonym! DBA SYS oder SYSTEM Wesentliche Maßnahmen für einen sicheren Datenbank-Betrieb werden nicht implementiert 1. Regelmäßiges Ändern von Kennwörtern 2. Keine Zwecktrennung 3. Keine personalisierten DBAs, alle DBAs arbeiten mit SYS und SYSTEM. 4. Etc. Wegen der Komplexität werden wichtige Maßnahmen nicht implementiert! Copyright 2014 Oracle and/or its affiliates. All rights reserved. DOAG SIG Security in Hamburg 17

Komplexität auflösen Die genannten Compliance Anforderungen implementieren wir nun mit minimalem Aufwand und maximalen positiven Benefits Copyright 2014 Oracle and/or its affiliates. All rights reserved. DOAG SIG Security in Hamburg 18

Eine einfache Zentralisierung der Benutzer fasst Oracle unter dem Begriff Enterprise User Security zusammen Enterprise User Security für DBAs (#EUS4DBAs) User1 User2 User3 User4 Typisches Kunden-Szenario DB1 DB2 DB3 DB4 DB5 DBA1, Kennwort, Rollen DBA2, Kennwort, Rollen DBA3 Kennwort, Rollen DBA4 Kennwort, Rollen DBA1, Kennwort, Rollen DBA2, Kennwort, Rollen DBA3 Kennwort, Rollen DBA4 Kennwort, Rollen DBA1, Kennwort, Rollen DBA2, Kennwort, Rollen DBA3 Kennwort, Rollen DBA4 Kennwort, Rollen DBA1, Kennwort, Rollen DBA2, Kennwort, Rollen DBA3 Kennwort, Rollen DBA4 Kennwort, Rollen DBA1, Kennwort, Rollen DBA2, Kennwort, Rollen DBA3 Kennwort, Rollen DBA4 Kennwort, Rollen Viele Datenbanken mit jeweils lokaler Benutzerverwaltung Zentrale Benutzerverwaltung für DBs DB1 DBA1, Kennwort, Rollen DBA2, Kennwort, Rollen DBA3, Kennwort, Rollen DBA4, Kennwort, Rollen DB2 DB3 DB4 DB5 DBA1-4 Globale Rollen Globale Schema Benutzer gehören ins LDAP Das Ziel für die DBAs in der Nutzung einer zentralen Benutzerverwaltung: 1. Kennwörter raus aus der DB und zentralisiertes PW- Management, 2. Rollen ins LDAP Repository, d.h. Autorisierung über LDAP Abfragen 3. Single-Sign-on (starke Authentisierung mittels Kerberos), 4. Zwecktrennung (DBA=Berechtigung in der DB, MS AD Admin=Account Management) Komplexität wäre somit aufgelöst, richtig? Copyright 2014 Oracle and/or its affiliates. All rights reserved. DOAG SIG Security in Hamburg 19

EUS über OUD mit MS AD und Kerberos Vorhandenes Benutzerrepository nutzen EUS-Deployment: OUD und MS AD Integration (2) Zugriff mit Desktop Client unter Benutzung TGT EUS-LDAP Operationen Windows Client Windows Client (1) Benutzer bekomt Kerberos TGT (Ticket Granting Ticket) OUD-Proxy Unified Directory Ethernet orcl db.de.oracle.com oud.de.oracle.com ACTIVE DIRECTORY ad.de.oracle.com EUS wird mit Oracle Unified Directory aufgesetzt Bestehendes MS AD wird via OUD-Proxy integriert Benutzer aus MS AD werden im OUD virtuell sichtbar gemacht Authentisierung via Kerberos Benutzer authentisiert sich nur am Windows Desktop (SSO) Ablauf: 1. Authentisierung an die Datenbank via Kerberos 2. DB verifiziert via Kerberos TGT 3. Datenbank fordert Benutzereintrag beim LDAP an 4. LDAP liefert den Benutzereintrag an die Datenbank zurück und fragt hierzu MS AD 5. Datenbank fordert Schemamapping und Enterprise Role an 6. LDAP liefert Schemamapping und Enterprise Role an die Datenbank zurück 7. DB autorisiert Nutzer mit der richtigen Berechtigung (Rolle) Copyright 2014 Oracle and/or its affiliates. All rights reserved. DOAG SIG Security in Hamburg 20

Vorgehen dieser Lösung ist für meine Umgebung sehr trival Kaum macht es richtig, schon funktioniert es 1 Download 4 SW-Komponenten (OUD, WLS, ADF, Java, (Patch)) 2 Installation SW Komponenten 3 OUD-Proxy aufsetzen mit Anbindung an MS AD 4 Kerberos für die Datenbank aktivieren 5 EUS auf dem DB Server aktivieren und Mapping des AD<->DB Detaillierte Beschreibung: http://cmuetzli.blogspot.co.uk/2014/08/oracle-db-security-enterprise-user.html Copyright 2014 Oracle and/or its affiliates. All rights reserved. DOAG SIG Security in Hamburg 21

1 Stunde Installation und Konfiguration für EUS4DBAs Leider nicht live, aber dafür in Farbe Installation Software Komponenten (Bring up OUD) OUD 11gR2 WLS 11g (10.3.6) ADF 11g Create ODSM Domain Neuer Bundle Patch OUD Create OUD-Proxy MS AD Einstellungen übernehmen Konfiguration Kerberos und EUS (DB anpassen) SPN in MS AD einstellen Keytab erstellen Auf DB krb5 Config Dateien erstellen Sqlnet.ora anpassen Global Schema und Rolle erstellen Mapping in OEM LDAP <->DB 37 Minuten 18 Minuten Copyright 2014 Oracle and/or its affiliates. All rights reserved. DOAG SIG Security in Hamburg 22

37 Minuten Installation Aufbau OUD Copyright 2014 Oracle and/or its affiliates. All rights reserved. DOAG SIG Security in Hamburg 23

18 Minuten Kerberos und EUS Setup Anpassung DB Copyright 2014 Oracle and/or its affiliates. All rights reserved. DOAG SIG Security in Hamburg 24

Zusammenfassung: Mehrwerte, Sinn und Zweck Warum das Ganze? Echter Kundenfall ACTIVE DIRECTORY Zentraler Userstore DBA1 User Gruppen Policies lesend Kerberos (starke Authentisierung) Oracle Unified Directory OUD-Proxy EUS: DB LDAP enabled LDAP<->DB ORA DB ORA DB ORA DB DBA1 ORA DB 15 DBAs 300 Oracle DB Instanzen D.h. 4500 personalisierte DBA Accounts in den DBs (mehrfach redundant) 300 PW Policies Tausende Passwords (Resets) Tausende Users Viele hundert Autorisierungsregeln Sehr hoher Aufwand! Plus alle anderen Poweruser Benutzergruppen Account Management MS AD ADMIN Zwecktrennung DB Roles Autorisierung EUS4DBAs: Eine EUS4DBAs: Benutzerwaltung Eine Benutzerwaltung mit Redundante allen Policies, Benutzerverwaltung, mit keine allen PWs, Policies, und User PW-verwaltung keine und zentrales PWs, Policies User PW in der und DB Policies und Zwecktrennung in der DB Copyright 2014 Oracle and/or its affiliates. All rights reserved. DOAG SIG Security in Hamburg 25

Copyright 2014 Oracle and/or its affiliates. All rights reserved. DOAG SIG Security in Hamburg 26

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback