<Insert Picture Here> Datenbank-Sicherheit Wolfgang Klinger Principal Sales Consultant Oracle Austria GmbH
Agenda Einige Fakten In EE inkludierte Security Features Oracle Label Security Oracle Advanced Security Transparent Data Encryption Oracle Secure Backup Oracle Database Vault Oracle Audit Vault <Insert Picture Here>
Einige Fakten 87 % der Datenbanken werden über das Betriebssystem attackiert 80 % aller Hacks kommen von Insidern 1 % aller professionellen Hacks werden erkannt 10 % aller Standard Hacks kommen an die Öffentlichkeit
Erweiterte Behördliche Bestimmungen AMERIKA HIPAA FDA CFR 21 Part 11 OMB Circular A-123 SEC and DoD Records Retention USA PATRIOT Act Gramm-Leach-Bliley Act Federal Sentencing Guidelines Foreign Corrupt Practices Act Market Instruments 52 (Canada) EMEA EU Privacy Directives BSI BASEL II PCIDSS ASIEN J-SOX (Japan) CLERP 9: Audit Reform and Corporate Disclosure Act (Australia) Stock Exchange of Thailand Code on Corporate Governance GLOBAL International Accounting Standards Basel II (Global Banking) OECD Guidelines on Corporate Governance
Oracle: Die sicherste Plattform Validierung durch 22 unabhängige Sicherheitszertifikate in den letzten 10 Jahren: Praktisch jedes weltweit wichtige Kriterium erfüllt Nur Oracle kann die Sicherheit durch unabhängige Bewertungen nachweisen
Oracle: Die sicherste Plattform Security Evaluations US TCSEC, Level B1 US TCSEC, Level C2 UK ITSEC, Levels E3/F-C2 UK ITSEC, Levels E3/F-B1 ISO Common Criteria, EAL-4 Russian Criteria, Levels III, IV US FIPS 140-1, Level 2 TOTAL Oracle DB2 SQLServer 1 - - 1-1 3 - - 3 - - 11 1-2 - - 1 - - 22 1 1
Agenda Einige Fakten In EE inkludierte Security Features Oracle Label Security Oracle Advanced Security Transparent Data Encryption Oracle Secure Backup Oracle Database Vault Oracle Audit Vault <Insert Picture Here>
Oracle Database Security Features User definitions and profiles Passwort-Management Rollen und Privilegien Auditing Fine-grained Auditing Secure Application Roles Proxy User Authentication Verschlüsselung Virtual Private Database (VPD) User Database 11g: Default-Settings bei der Installation wählbar
EIN Applikations-User für Alle Wie sag ich s meiner Datenbank? Mechanismen dafür in der Oracle Datenbank: Proxy Authentication Client Identifiers Application Context Bessere Implementierung von Sicherheitsregeln Gezielteres Auditing
Oracle Secure Application Role Application Server User A User B User C User D Oracle Datenbank Wird durch ein Package aktiviert Beliebige Validierung möglich (z.b. IP-Adresse) In Three-Tier Umgebungen kann sichergestellt werden, dass der Zugriff über die Applikation erfolgt
Manuelle Verschlüsselung DBMS_CRYPTO (ab 10g) oder DBMS_OBFUSCATION_TOOLKIT PL/SQL Packages Verschlüsselung / Entschlüsselung von Spalten Aufruf aus der Applikation In allen DB-Editionen enthalten (XE, SE, EE)
Virtual Private Database Management des Datenzugriffs auf Datenbank-Ebene Fine-Grained Access Control: am Server ausgeführt Application Context: steuert Zugriffsrechte Policies für Tabellen, Views und Synonyme Ergänzt SQL mit zusätzlichen Einschränkungen Benutzer sieht nur seine Daten Verkäufer Verkäufer sieht nur die Bestellungen SEINER Kunden SELECT * FROM ORDERS; Bestellungen Kunde Kunde sieht nur SEINE Bestellungen
Virtual Private Database Policies auf Tabellenspalten Ziehen nur, wenn die relevante Spalte selektiert wird Feinere Granularität der Row Level Security Store ID Revenue Department Select store_id, revenue (enforce) AX703 B789C 10200.34 18020.34 Finance Engineering OK JFS845 12341.34 Legal SF78SD 13243.34 HR
Virtual Private Database Spalten maskieren Optional: VPD liefert ALLE Zeilen zurück, blendet aber bestimmte Werte aus Store ID Revenue Department Select revenue..(enforce) AX703 10200.34 Finance OK B789C 18020.34 Engineering OK JFS845 12341.34 Legal OK SF78SD 13243.34 HR OK
D E M O N S T R A T I O N Virtual Private Database
Agenda Einige Fakten In EE inkludierte Security Features Oracle Label Security Oracle Advanced Security Transparent Data Encryption Oracle Secure Backup Oracle Database Vault Oracle Audit Vault <Insert Picture Here>
Oracle Label Security (OLS) Sensitive : ACME Store ID Revenue Department Sensitivity Label AX703 10200.34 Finance Sensitive : ACME OK B789C 18020.34 Engineering Sensitive : WIDGET JFS845 SF78SD 15045.23 21004.45 Legal HR Highly Sensitive: ACME Unclassified: ACME OK
Gegenüberstellung VPD Teil d. Enterprise Edition Kunde baut eigene Sicherheitsregeln Individualentwicklung OLS Option zur Enterprise Edition Oracle liefert Sicherheitsregeln und Label Infrastruktur Out-of-the-box Gemeinsamkeiten Beide haben APIs Oracle Policy Manager (in 11g: Grid Control) Ermöglicht Hosting Sicherheit zentral in der Datenbank Zugriffsrechte auf Zeilenebene
Agenda Einige Fakten In EE inkludierte Security Features Oracle Label Security Oracle Advanced Security Transparent Data Encryption Oracle Secure Backup Oracle Database Vault Oracle Audit Vault <Insert Picture Here>
Oracle Advanced Security Oracle Advanced Security Strong Authentication PKI, Kerberos, Radius Automatische Entschlüsselung Oracle Advanced Security Verschlüsselung im Netzwerk Oracle Advanced Security Verschlüsselung auf der Disk Transparent Data Encryption Automatische Verschlüsselung Verschlüsselt auf Backup Files
Oracle Advanced Security Strong Authentication PKI (Public Key Infrastructure) Starkes Interesse bei Großkunden Oracle unterstützt SSL Beschleuniger Kerberos Populär durch einfache Verteilung Radius Datenbank-Integration mit RADIUS
Oracle Advanced Security Verschlüsselung im Netzwerk Seit rund einem Jahrzent von Oracle angeboten Verschlüsselt die gesamte Kommunikation mit der Datenbank AES RSA RC4 (40-, 56-, 128-, 256-bit keys) DES (40-, 56-bit) und 3DES (2- und 3-key) Diffie-Hellman key exchange Datenintegrität mit Checksummen MD5, SHA-1 Erkennen von geänderten oder fehlenden Datenpaketen Einfach zu Installieren
Oracle Advanced Security Datenverschlüsselung DBMS_OBFUSCATION_TOOLKIT DBMS_CRYPTO Transparent Data Encryption Schlüsselverwaltung inkludiert Hilft rechtliche Anforderungen zu erfüllen Speicherung von Username und Password in Wallet Auf Smartcards bestehende Zertifikate werden unterstützt 11g: auch Tablespace-Verschlüsselung 11g: auch BLOBs unterstützt PL/SQL API-Aufruf durch Applikation Transparent für Applikationen
D E M O N S T R A T I O N Transparent Data Encryption
Agenda Einige Fakten In EE inkludierte Security Features Oracle Label Security Oracle Advanced Security Transparent Data Encryption Oracle Secure Backup Oracle Database Vault Oracle Audit Vault <Insert Picture Here>
Oracle Secure Backup <Insert Picture Here>
Oracle Secure Backup Dateisysteme Linux, Unix Windows, Filers Datenbanken RMAN Oracle Secure Backup Kostengünstige Alternative zu komplexen Backup-Produkten Beste Integration mit der Oracle Datenbank Media-Manager für RMAN Tape-Backup und Recovery Schnellstes Datenbank-Backup am Markt Sicherung von Oracle Home, App-Server und Filesystem Unterstützt gängige Tape Libraries & Laufwerke
Agenda Einige Fakten In EE inkludierte Security Features Oracle Label Security Oracle Advanced Security Transparent Data Encryption Oracle Secure Backup Oracle Database Vault Oracle Audit Vault <Insert Picture Here>
What Forrester Research is Saying "Oracle is leading the pack of database makers with the new access restriction features. Microsoft, IBM and Sybase don't have anything like this." Noel Yuhanna, Senior Analyst, Forrester Research, ZDNET News, April 2006
Insider Threat adressiert Kontrollierter Zugriff auf die Daten Einschränken der Privilegien
Regulatory Compliance Separation of Duties (SOX 404) Auditing und Reporting
Was ist Oracle Database Vault? Eine neue Datenbank-Security Option neben Advanced Security Option, Oracle Label Security Aufgabenteilung und Funktionstrennung Schutz vor der Bedrohung von Innen Anpassungsfähige Kontrolle des Zugriffs auf Daten Unterstützung bei der Konsolidierung von Datenbanken
Oracle Database Vault: Auswirkungen Beeinflußt, auf welche Daten zugegriffen werden kann Transparent für Anwendungen Kein Einfluß auf Zugriffspfade
Database Vault vs VPD und OLS VPD (Virtual Private Database) und OLS (Oracle Label Security) Schränken Zugriff auf Zeilenebene ein Database Vault Schränkt Zugriff auf Objekt- und Befehlsebene ein
Oracle Database Vault Realms Definierte Bereiche, z.b. Schemas, auf die weder DBAs noch privilegierte Benutzer zugreifen können CREATE ANY TABLE, SELECT ANY TABLE,... nicht auf Objekte des Database Vault anwendbar Erlaubt das Einrichten von DBAs für festgelegte Bereiche, z.b. für Rechnungswesen- oder Personaldaten Authorisierung als Realm-OWNER oder - PARTICIPANT Versuchte Verstöße gegen Realms können erfasst und auditiert werden
Geschützte Bereiche ALTER TABLE rw.teile... DBA Realm SELECT * FROM rw.vertraege Realm Vertraege Lieferanten Auftraege Teile Positionen
Factor Datenstruktur mit Namen auf die geprüft werden kann Variable, Attribut Mitgelieferte und selbst erstellte Factors Trust Level Label Factor Method Factor Mapping Identity Factor Constant
Im Lieferumfang enthaltene Factors
Oracle Database Vault Rule Sets Eine Rules Engine für Datenbank-Security, die es ermöglicht Berechtigungen in einem Realm zu steuern die Ausführung von SQL- und System-Befehlen zu steuern das Arbeiten mit Factors zu steuern das Arbeiten mit Secure Application Roles zu steuern im Rahmen von Regelüberprüfungen benutzerdefinierte PL/SQL-Routinen auszuführen
Secure Application Role in Database Vault Keine Prozedur zum Einschalten schreiben Rolle nicht mit GRANT an Benutzer geben Nicht DBMS_SESSION.SET_ROLE verwenden SONDERN Rolle im Database Vault Administrator anlegen Einschalten der Rolle mit einem Rule Set steuern Aus einer Anwendung die Rolle einschalten mit DVSYS.DBMS_MACSEC_ROLES.SET_ROLE
Berichte und Monitoring
Oracle Database Vault: Übersicht Command Rules Factors Auditing & Berichte Realms Rule Sets & Rules OLS/VPD Policy Roles
D E M O N S T R A T I O N Oracle Database Vault
Agenda Einige Fakten In EE inkludierte Security Features Oracle Label Security Oracle Advanced Security Transparent Data Encryption Oracle Secure Backup Oracle Database Vault Oracle Audit Vault <Insert Picture Here>
Oracle Audit Vault Übersicht Trust-but-Verify Audit Daten Sammeln und Konsolidieren Oracle 9i Release 2 und höher Einfacheres Compliance Reporting Built-in Reports Custom Reports Insider Threats Entdecken und Verhindern Alarm bei verdächtigen Aktivitäten Skalierbar und Sicher Robuste Oracle Datenbanktechnologie Database Vault, Advanced Security Partitioning Niedrigere IT Kosten mit Audit Policies Audit-Settings zentral administrieren Monitor Reports Oracle 9iR2 10gR1 Policies 10gR2 Security (Zukunft) Andere Quellen, Datenbanken
Oracle Audit Vault Berichte Out-of-the-box Audit Assessments & Eigene Berichte Mitgelieferte Berichte Aktivität privilegierter Benutzer Zugriff auf sensible Daten Rollen-Grants DDL Aktivität Login / Logout Selbstgeschriebene Berichte Was haben privilegierte Benutzer in der Finanz-DB getan? Was hat Benutzer A in verschiedenen DBs getan? Wer hatte Zugriff auf sensible Daten? Externe Berichte Oracle BI Publisher, Application Express oder 3 rd Party Tools
Oracle Audit Vault Alerts Alarme: Missbrauch Rechtzeitig Erkennen Alerts können definiert werden für: Direkte Sicht auf sensible Daten Anlegen neuer Benutzer Grant von Rollen DBA Grants auf allen Systemen Gescheiterte Login-Versuche Etwa 150 mögliche Events in der Oracle Datenbank
Oracle Audit Vault Policies Zentralisiertes Management der Audit Policies Audit Policy: die Sammlung aller Audit-Settings auf den Datenbanken Abgleich der Policy mit tatsächlicher Einstellung des Quellsystems Audit Einstellungen werden zentral vorgenommen Erfüllt Compliance- Anforderungen HR Database Privilege User Audit Settings Financial Database SoX Audit Settings Customer Database Privacy Audit Settings Audit Vault Administrator
Oracle Audit Vault Security Audit Daten müssen geschützt werden Schutz durch eingebaute Sicherheit Verschlüsselte Übertragung der Audit-Daten Trennung der Verantwortlichkeiten Audit Vault Administrator Audit Vault Auditor Schutz durch Oracle Database Vault Oracle Advanced Security
Oracle Audit Vault Zusammenfassung Sammeln und Konsolidieren von Audit Daten Einfaches Compliance Reporting Entdecken und Verhindern von Insider Threats Reduktion der IT Kosten mit Audit Policies Reports Monitor Policies Security Skalierbarkeit und Sicherheit Oracle 9iR2 10gR1 10gR2 (Future) Other Sources, Databases
Zusammenfassung In EE inkludierte Security Features VPD, Sec. App. Roles, Passwortmanagement etc. Oracle Label Security Oracle Advanced Security Transparent Data Encryption, Authentifzierung Oracle Secure Backup Oracle Database Vault Trennung der Verantwortlichkeiten Oracle Audit Vault Zentrale Steuerung, gesicherte Verwahrung der Audit-Daten <Insert Picture Here>