<Insert Picture Here> Verschlüsselung in der Datenbank

Ähnliche Dokumente
Verschlüsseln als Überlebensstrategie

<Insert Picture Here> Security in der Oracle Datenbank

TDE und DV für hostingfähige Datenbanken mit sicherheitssensiblen Daten. Heinz-Wilhelm Fabry Senior Leitender Systemberater

Oracle Transparent Data Encryption

Verschlüsseln, auf jeden Fall verschlüsseln!

Verschlüsselung. Klaus Reimers ORDIX AG Köln. Verschlüsselung, encrypt, decrypt, dbms_obfuscation_toolkit, dbms_crypto, wallet, datapump, rman

<Insert Picture Here> Überblick Oracle Recovery Manager

Datenbanken und Oracle, Teil 2

Backup & Recovery in Oracle 11g Funktionen und Features

Tipps und Tricks in der Datenbankadministration


Oracle Backup und Recovery

Oracle Flashback. in der Praxis Dr. Frank Haney 1

IT-Symposium /20/2004. Ralf Durben. Business Unit Datenbank. ORACLE Deutschland GmbH. 1

Oracle Secure External Password Store

Java Application 1 Java Application 2. JDBC DriverManager. JDBC-ODBC Br idge. ODBC Driver Manager. Dr iver C. Dr iver D.

<Insert Picture Here> Security-Basics. Privilegien, Rollen, SQL und PL/SQL - inkl. 12c-Update. Carsten Czarski, ORACLE Deutschland B.V. Co.

Oracle Datenbank 11g Advanced Compression Option

DB Optionen nachgebaut

Agenda. FRA Was ist das? Warum sollte die FRA genutzt werden? FRA INIT Paramter Verzeichnisstruktur (Beispiel) Überwachung der Flash Recovery Area

Darüber hinaus wird das Training dazu beitragen, das Verständnis für die neuen Möglichkeiten zu erlangen.

Verschlüsselung ist leicht, Schlüsselmanagement nicht

Neuerungen in Marco Patzwahl MuniQSoft GmbH Unterhaching

Oracle Database Security Verringerung der Angriffsfläche

Sicherheit Konzepte für die Datenbanksicherheit. TOAD User Konferenz 2008 Dr. Günter Unbescheid Database Consult GmbH

<Insert Picture Here> T4 and the Red Crypto Stack

Datenbankbasierte Lösungen

Oracle Backup und Recovery mit RMAN

Wie sicher ist die Datenbank vorm Administrator?

Oracle Real Application Clusters: Requirements

Datenverschlüsselung in Oracle Multitenant Umgebungen Claudia Hüffer Oracle Deutschland B.V. & Co. KG Hamburg

Lutz Fröhlich. Oracle ng. mitp

Flashback mal sieben. DOAG Konferenz , Nürnberg. Klaus Reimers

Übung PL/SQL Trigger Lösungen

Höhere Sicherheit für SAP-Daten durch Oracle Database Vault und Transparente Datenverschlüsselung

Neue Features Oracle Database 12.2 Wann denn endlich?

... Kontrolldatei administrieren

Datenbankreplikation in der Standard Edition. Markus Jendrossek

Basisschutz für jeden Datentransfer. Daten verschlüsseln. und jeden Datenspeicher HEINZ-WILHELM FABRY ORACLE DOJO NR.

ODA Erfahrungen und Neuigkeiten

Oracle Database 11gR2 Effiziente Datenspeicherung. Vorteile von Komprimierung

Oracle Transparent Data Encryption im Compliance Umfeld

Oracle Streams Doag Vortrag Claus Cullmann

Oracle Database 12c Was Sie immer schon über Indexe wissen wollten

RMAN Duplicate. von. dbtotal.de. Jaroslav Dutov.

Whitepaper. Produkt: combit Relationship Manager. HowTo: Microsoft SQL Server Datenbank verschlüsseln. combit GmbH Untere Laube Konstanz

Oracle Advanced Compresion 10g versus 11g

Datenbanken II Speicherung und Verarbeitung großer Objekte (Large Objects [LOBs])

Funktionen. Überblick über Stored Functions. Syntax zum Schreiben einer Funktion. Schreiben einer Funktion

Erfahrungen aus dem Betatest Oracle Database 11g

<Insert Picture Here> RMAN Full Backups zum Preis von inkrementellen Backups

Das ist alles nur gecloudt Sicherheit in den roten Wolken

Whitepaper. Produkt: combit Relationship Manager. Datensatzhistorie mit dem SQL Server 2000 und combit GmbH Untere Laube Konstanz

Oracle Database Backup Service - DR mit der Cloud

Eine TEAM-Präsentation

DOAG 2010 ORACLE PLATTFORM MIGRATION CROSS PLATFORM TRANSPORTABLE TABLESPACES (XTTS)

Oracle Datenbankadministration Grundlagen

Oracle 10g Einführung

Oracle 12c Multitenant and Encryption in Real Life. Christian Pfundtner DB Masters GmbH Stammersdorfer Str Gerasdorf

Roland Tilgner. Solution Architects & Team Coaching DEVELOPMENT. ORACLE TEXT AUS PL/SQL-SICHT Features und Möglichkeiten

Hochverfügbarkeit - wie geht das?


Oracle Multitenant Verwaltung von Pluggable Databases Handling und Besonderheiten

5000 User+, Erfahrungen im Produktivbetrieb einer Saas-DB. DOAG 2011 Konferenz + Ausstellung Bernhard Vogel & Frank Szilinski, esentri

18. Juni 2008, Berlin. Erfahrungsbericht üb das Backup und Recovery von ORAC Datenbanken mit Commvault QNetix. Dagmar Förster

Geodaten und Karten in APEX

Arbeit mit zusammengesetzten Datentypen

11g Release 2 Erste Erfahrungen. Dr. Günter Unbescheid Database Consult GmbH

SQL (Structured Query Language) Schemata Datentypen

NoSQL mit Postgres 15. Juni 2015

Aufbau einer Oracle Datenbank Tablespace, Arten von Dateien

Oracle 10g Flashback. Andrea Held

Hochschule Karlsruhe Technik und Wirtschaft Anhänge: Fakultät für Informatik und Wirtschaftsinformatik SS 2013 Prof. Schmidt.

PostgreSQL Ein Überblick

Datenbanken SQL Einführung Datenbank in MySQL einrichten mit PhpMyAdmin

Fast Analytics on Fast Data

Oracle 10g Einführung

Advanced Compression, Harald Wolf, Sales Consulting, Nürnberg

Erzeugen von Constraints

Objekt-relationales Datenbanksystem Oracle

Übersicht der wichtigsten MySQL-Befehle

EE SE1 Oracle RDBMS. Andrew Lacy Solution Architect. OPITZ CONSULTING Deutschland GmbH. Foto: Siobhan Bickerdike

Vergessene (?) SQL- und PL/SQL- Funktionen

Neue Security Features mit Oracle 11g

Prozedurale Datenbank- Anwendungsprogrammierung

Minimal Downtime Oracle 11g Upgrade. DOAG Konferenz 2010 Martin Decker

Oracle Replikationen im Vergleich. -Streams - Advanced Replication - Quest Shareplex

Oracle9i Designer. Rainer Willems. Page 1. Leitender Systemberater Server Technology Competence Center Frankfurt Oracle Deutschland GmbH

APEX (Hoch) Verfügbar? Ernst Leber

1001 Möglichkeiten eine Staging Area zu füllen. Sven Bosinger its-people GmbH

Einsatz des Recovery Managers für Backup und Restore.

TOP 10 Monitoring SQL Befehle

Oracle Security in der Praxis

SharePoint Provider for Oracle

PostgreSQL High-Security

Oracle Database 10g -Die Datenbank für Grid-Computing und mehr - Günther Stürner Director Business Unit Database & STCC Oracle Deutschland GmbH

Tablespaces und Datendateien

Oracle Key Vault HSM und Wallet / Keystore Repository

Transkript:

<Insert Picture Here> Verschlüsselung in der Datenbank Ralf Durben ORACLE Deutschland GmbH

Verschlüsselung in den Datendateien Bedrohung Direkter Zugriff aus BS- Ebene Online Datendateien Backup Abwehrmaßnahme Verschlüsselung

Verschlüsselte Speicherung Es geht also NICHT darum, das Lesen oder Ändern über die SQL-Schnittstelle zu unterbinden Es geht um Verschlüsselung auf der Platte und im Backup Schutz vor Insidern Schutz z.b. bei entsorgten Platten Schutz z.b. beim Verlust auf dem Transport ins Schließfach

Verfügbare Methoden Seit Oracle8i mittels PL/SQL-API Verfügbar in der Standard und der Enterprise Edition DBMS_OBFUSCATION_TOOLKIT DBMS_CRYPTO in Oracle Database 10g Anwendungen / Trigger rufen das API auf Kein automatisches Schlüsselmanagement Ab Oracle Database 10g Transparent Data Encryption (TDE) auf Spalten-Ebene Verfügbar nur innerhalb der Advanced Security Option Ab Oracle Database 11g Transparent Data Encryption (TDE) auf Tablespace-Ebene Verfügbar nur innerhalb der Advanced Security Option

Verschlüsseln mit DBMS_CRYPTO Anwendungen / Trigger rufen das API auf Kein automatisches Schlüsselmanagement CREATE OR REPLACE FUNCTION crypt (eingabe IN VARCHAR2) RETURN RAW IS v_rohdaten RAW(200); v_schluessel RAW(32); -- 256-bit v_verschluesselung PLS_INTEGER := DBMS_CRYPTO.ENCRYPT_AES256 + DBMS_CRYPTO.CHAIN_CBC + DBMS_CRYPTO.PAD_ZERO; BEGIN SELECT schluessel INTO v_schluessel FROM schluesseltabelle WHERE sysdate BETWEEN startdatum AND nvl(enddatum, sysdate); v_rohdaten := DBMS_CRYPTO.ENCRYPT( RETURN v_rohdaten; END; src => UTL_I18N.STRING_TO_RAW (eingabe, 'AL32UTF8'), typ => v_verschluesselung, key => v_schluessel);

Transparent Data Encryption (TDE) Oracle Database 10g Anwendung QL-Schnittstelle entlüsselt Daten ASO Netzwerk- Verschlüsselung Daten werden verschlüsselt auf die Platte geschrieben Daten sind verschlüsselt im Backup Datentypen VARCHAR2 NVARCHAR2 NUMBER DATE BINARY_FLOAT BINARY_DOUBLE TIMESTAMP RAW CHAR NCHAR Mit Key Management

Nicht unterstützte Features Materialized View Logs Oracle Streams Synchrones und asynchrones Change Data Capture (CDC) Direct Path Insert LOBs Transportable Tablespaces

Master Key und table (column) Keys Master Key in PKCS#12 wallet Tabellenschlüssel verschlüsselt durch Master Key (Wallet kann auch für Secure Backup genutzt werden) Tabellenschlüssel verschlüsselt Daten

Funktionstrennung & Aufgabenverteilung Wallet-Passwort ist getrennt vom System- und DBA- Passwort DBA startet Datenbank Kein Zugriff auf Wallet Security-DBA öffnet Wallet mit Master Key ALTER SYSTEM SET WALLET OPEN IDENTIFIED BY "passwort"

Allgemeine Hinweise zu TDE Speichern des Schlüssels für TDE (master key) in einem Hardware Security Module (HSM) Standard PKCS #11-API erlaubt Rückgriff auf Module unterschiedlicher Anbieter Ver- / Entschlüsseln findet nach wie vor auf dem Server statt Erleichtert das Schlüsselmanagement in verteilten Umgebungen z.b. mit Data Guard und RAC E-Business Suite und SAP unterstützen TDE Versionen der Applikations-Software beachten

TDE einsetzen: Vorbereitung In sqlnet.ora WALLET-Speicherort angeben (ENCRYPTION_)WALLET_LOCATION = (SOURCE = (METHOD=FILE) (METHOD_DATA= (DIRECTORY= $ORACLE_BASE/admin/<SID>/wallet))) Initialisieren oder Ändern des Master Key durch ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY "einpasswort" "einpasswort" ist das Wallet-Passwort, nicht der Master Key Kein Speicherort in SQLNET.ORA angegeben Wallet (ewallet.p12) in $ORACLE_BASE/admin/<SID>/wallet Verzeichnis muß existieren 3DES und AES bis zu einer Schlüsselgröße von 256 Bits

TDE nutzen CREATE TABLE kunden (name VARCHAR2(30), id NUMBER ENCRYPT USING 'AES192' IDENTIFIED BY einpasswort NO SALT); ALTER TABLE produkte MODIFY (...); Verschlüsselung muß für alle Spalten einer Tabelle identisch sein Es ist nicht möglich Foreign-Key-Spalten zu verschlüsseln Spalten in Tabellen von SYS zu verschlüsseln Gleichheitssuche über Index nur bei NO SALT LIKE-Vergleiche oder Range-Scans über eine verschlüsselte Indexspalte sind nicht möglich

TDE - Schlüsselfragen Verschiedene Algorithmen Standard ist AES192 Wechsel von Schlüsseln möglich Master Key s.o. Auf Tabellenebene ALTER TABLE kunden REKEY USING 'AES256' Wechsel des Algorithmus möglich

TDE - Tablespace-Verschlüsselung Tablespaces beim ersten Anlegen als verschlüsselt deklarieren Tablespaces nicht nachträglich zu ver- oder entschlüsseln Transport vorhandener Daten in verschlüsselte Tablespaces mit DATA PUMP, CTAS, ALTER TABLE... MOVE TDE-Wallet muß vorhanden und geöffnet sein CREATE TABLESPACE sicheristsicher DATAFILE '$ORACLE_BASE/dbdata/orcl/tdedatei.dbf' SIZE 20G ENCRYPTION USING 'AES128' DEFAULT STORAGE (encrypt);

Hinweise: Tablespace-Verschlüsselung Verschlüsselung wirksam auch für REDO-Einträge, UNDO und TEMPORARY SEGMENTE Unterstützt INDEX RANGE SCANs und FOREIGN KEYs Unterstützt sämtliche Segment-Typen Bei LOBs alternativ über Secure Files CREATE TABLE tabelle (region VARCHAR2(20), a BLOB) LOB(a) STORE AS SECUREFILE (ENCRYPT USING 'AES128')

LOB-Verschlüsselung mit TDE Ausschließlich mit SecureFiles CREATE TABLE tabelle (region VARCHAR2(20), a BLOB) LOB(a) STORE AS SECUREFILE ( ENCRYPT USING 'AES128')

Data Pump-Verschlüsselung Steuerung über Parameter ENCRYPTION ALL / DATA_ONLY / ENCRYPTED_COLUMNS_ONLY / METADATA_ONLY / NONE ENCRYPTION_ALGORITHM AES128 / AES192 / AES256 ENCRYPTION_MODE DUAL / PASSWORD / TRANSPARENT ENCRYPTION_PASSWORD Die Parameter beeinflussen sich z.t. gegenseitig

TDE und Data Guard Produktions-Datenbank Physical Standby Daten verschlüsselt in den Sicherungskopien Redo Apply Redo Logs mit verschlüsselten Daten

Backups verschlüsseln mit RMAN Oracle Recovery Manager (RMAN) Standard-Werkzeug zur Sicherung von Oracle-Datenbanken Auf Disk oder über Media Management Layer auf Bandlaufwerke Verschlüsselung des Backup möglich Algorithmus: Advanced Encryption Standard (AES) Benutzerdefiniertes Passwort oder Authentifizierung über Oracle Wallet Backup auf Bandlaufwerke mit Oracle Secure Backup RMAN Datenbank- Bereich Media Management Layer DIGITAL DATA STORAGE DIGITAL DATA STORAGE Flash Recovery Area DIGITAL DATA STORAGE

Oracle Secure Backup Ideale & kostengünstige Backup- & Recovery- Lösung im Oracle-Umfeld Sichert Datenbanken mit RMAN verschlüsselt auf Band Sichert Dateisysteme aller Art (einschließlich OCFS) Sichert Oracle Homes, Oracle Application Server und weitere Oracle-Software im Dateisystem Ist vollständig RMAN kompatibel Ist vollständig in Enterprise Manager integriert Unterstützt alle gängigen Tape Libraries und Laufwerke File Systeme Linux, Unix Win., OCFS, Filer Datenbanken RMAN Oracle Backup Unterstützung gängiger Tape Libraries & Drives

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback