Sichere Oracle-Datenbanken

Ähnliche Dokumente
Top 10 Gefahren für eine Datenbank

Technischer Artikel Sichere Oracle-Datenbanken

Wie sichert man APEX-Anwendungen gegen schädliche Manipulationen und unerwünschte Zugriffe ab?

Sichere Oracle-Datenbanken in der Cloud

Upgrade auf APEX 5. 9 Datenbanken, 400 Workspaces, über 1000 Anwendungen ein Erfahrungsbericht Carola

Oracle Database Security

Effiziente und koordinierte Bearbeitung von Medienanfragen im Team

Die neue EU Datenschutzverordnung

Oracle Database Security Verringerung der Angriffsfläche

Public Cloud im eigenen Rechenzentrum

Trivadis-Gadgets im Dienste ihrer Qualität: FAAT und PL/SQL Cop

Zentrale Datenbank-Nutzerverwaltung

Portal for ArcGIS - Eine Einführung

EU DSGVO Teil (2): Die Auswirkungen auf ihre Oracle Datenbank Umgebung


HANA CLOUD CONNECTOR

Modellierung agiler Data Warehouses mit Data Vault Dani Schnider, Trivadis AG DOAG Konferenz 2015

Oracle Unified Auditing Migration der Audit-Konfiguration Stefan Oehrli

Beratung Messbar / Transparent / Reproduzierbar

Best Practices und Tools für Upgrades aus der Sicht der Applikation

Oracle Datenbank Sicherheitsfeatures

Das ist alles nur gecloudt Sicherheit in den roten Wolken

Migration von OWB - ODI zu schwierig, zu kompliziert, zu teuer

Copyright 2014, Oracle and/or its affiliates. All rights reserved.

Oracle Hot Standby. XE, SEOne, SE. Maximum Performance Mode. WIN, Linux, Unix Einfache Lösung. bis zu 10 Standby DB

Upgrading Your Supporting Skills to Windows Server 2016

Jens Pälmer; ; Senior Sales Manager Identity Management Oracle D,I,CH

TÜV Rheinland. Ihr Partner für Informationssicherheit.

Ora Education GmbH. Lehrgang: Oracle Application Server 10g R3: Administration

Neuigkeiten in Microsoft Windows Codename Longhorn Egon Pramstrahler - egon@pramstrahler.it

Was traut die magellan der Cloud zu?

Sichere Testdaten mit Oracle Enterprise Manager

Operational Big Data effektiv nutzen TIBCO LogLogic. Martin Ulmer, Tibco LogLogic Deutschland

Oracle Audit Vault. Sven Vetter Principal Consultant, Partner DOAG, Stuttgart, Jan. 2008

Dominik Helleberg inovex GmbH. Android-Enterprise- Integration

Informationssicherheit 2018

Flexible und automatisierte Reaktionen auf Sicherheitsvorfälle

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)

Hochverfügbarkeit - wie geht das?

Herausforderung IT-Security: Lösungskonzepte für die optimale Unternehmenskommunikation

Oracle ACFS / CloudFS zuverlässig nutzbar?

Alternativen in der Backup-Infrastruktur

MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?!

Oracle Database Security: Wie viel darf es denn sein?

Agenda. Ausgangssituation (Beispiel) PaaS oder IaaS? Migrationspfade Deep Dives. IaaS via Azure Site Recovery PaaS via SQL Deployment Wizard

Oracle Data Integrator Ein Überblick

securemsp CloudShare Encrypted File Transfer & Collaboration Platform Secure-MSP GmbH 2013

SafeNet - ProtectV. Schutz von virtuellen Appliances im Rechenzentrum

Monty Möckel. Andreas Reisinger ÜBER UNS. Senior Technology Consultant IT Services Cloud & Datacenter

Ein neues Level an IT-Sicherheit Made in Germany in der Cloud und auf dem Transportweg

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)

Wie sicher ist die Datenbank vorm Administrator?

Oracle AVDF in der Praxis

Cloud Computing in SAP Umgebungen

Gemeinsam zum Ziel. Moderne IT Basis für die Digitalisierung. 29. Juni 2017 Astoria, Olten. BrainConsult AG

Verschlüsselung ist leicht, Schlüsselmanagement nicht

Kostenoptimierte Cloud-Administration mit Solaris Container Technologie

WAN-Optimierung SAN über WAN mit Riverbed Granite

SIEM Wenn Sie wüssten, was Ihre Systeme wissen. Marcus Hock, Consultant, CISSP

Michael Kretschmer Managing Director DACH

Applica'on Performance Monitoring in der Oracle Cloud

HL-Monitoring Module

Was bedeutet Oracle Cloud für Oracle Technologieexperten? DOAG 2015 Andreas Chatziantoniou - Foxglove-IT BV

Komplexe Netzwerke mit Oracle VM Server SPARC

OXO³ technische Aspekte der Oracle EMEA internen BI Implementierung

Oracle Virtual Private Database

Absicherung der IT-Infrastruktur: einheitliche Zugangskontrolle für LAN, WLAN und VPN. Volker Kull

Oracle Database Cloud Service

Oracle Database Security: Wie viel darf es denn sein?

Office 365 & Windows Server Ein Blick über den Tellerrand. René M. Rimbach Raphael Köllner

Sophos Mobile Control

Kerberos Geheimnisse in der Oracle Datenbank Welt

Oracle Enterprise Manager 10g Grid Control Release 2

SAP HANA Betriebsprozesse im Rechenzentrum

Darüber hinaus wird das Training dazu beitragen, das Verständnis für die neuen Möglichkeiten zu erlangen.

Rapid Deployment von OS, Virtualisierung und Applikation

Einsatzmöglichkeiten der Open Text SharePoint Erweiterungen an einem Beispielprojekt

IT-Management für Wodis-Sigma-Inhouse-Kunden Sandra Nicole Happel, Aareon Roland Schwan, Aareon

Rapid Deployment mit JomaSoft VDCF

Geplante Architektur der Geodienste der kantonalen Verwaltung SG mittels ArcGIS Server (Datensicherheit, Zugriffssicherheit, Ausfallsicherheit)

Komfortable 2-Faktor-Authentifizierung regelt den Zugang zum Unternehmen und seinen Ressourcen

Veeam V10 & DSGVO. Pascal SETHALER. Partner Manager

<Insert Picture Here> Grid Control 11g Housekeeping Ralf Durben

Sicherung der Kommunikation zwischen OAM und WebGate

Alles neu. Migration in eine frische Datenbank ohne Altlasten. Thomas Klughardt Senior Systems Consultant

Data At Rest Protection. Disk- und Fileverschlüsselung. 22. Mai 2008

Oracle Database Security: Wie viel darf es denn sein?

Cloud Control, Single Sign On in Active Directory Umfeld

<Insert Picture Here> Verschlüsselung in der Datenbank

Aufsetzten einer Oracle DBaaS Umgebung (private Cloud) mit dem Enterprise Manager. Bodo von Neuhaus Oracle Deutschland B.V.

Oracle Enterprise Manager 12c Database Express (EM Express)

Oracle 12c R2 New Security Features

Social Data Analyse mit Oracle Endeca

Hybride Cloud-Infrastrukturen Bereitstellung & Verwaltung mit System Center 2012

Managed Services und hybride Szenarien mit AWS

IaaS jenseits der Buzz-Words On Demand Compute im Fokus

S3 your Datacenter. Software Defined Object Storage. Die kostengünstige und skalierbare Lösung für Ihre unstrukturierten Daten

Sicherheit Konzepte für die Datenbanksicherheit. TOAD User Konferenz 2008 Dr. Günter Unbescheid Database Consult GmbH

CI mit Forms im Weblogic Umfeld: CI mit Forms geht das

Transkript:

Sichere Oracle-Datenbanken In der Cloud... Stefan Oehrli @stefanoehrli BASEL BERN BRUGG DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. GENF HAMBURG KOPENHAGEN LAUSANNE MÜNCHEN STUTTGART WIEN ZÜRICH

Unser Unternehmen. Trivadis ist führend bei der IT-Beratung, der Systemintegration, dem Solution Engineering und der Erbringung von IT-Services mit Fokussierung auf - und -Technologien in der Schweiz, Deutschland, Österreich und Dänemark. Trivadis erbringt ihre Leistungen aus den strategischen Geschäftsfeldern: B E T R I E B Trivadis Services übernimmt den korrespondierenden Betrieb Ihrer IT Systeme. 2 14.11.16

Mit über 600 IT- und Fachexperten bei Ihnen vor Ort. KOPENHAGEN HAMBURG 14 Trivadis Niederlassungen mit über 600 Mitarbeitenden. Über 200 Service Level Agreements. Mehr als 4'000 Trainingsteilnehmer. DÜSSELDORF Forschungs- und Entwicklungsbudget: CHF 5.0 Mio. / EUR 4.0 Mio. FRANKFURT Finanziell unabhängig und nachhaltig profitabel. GENF BASEL BERN LAUSANNE FREIBURG BRUGG ZÜRICH STUTTGART MÜNCHEN WIEN Erfahrung aus mehr als 1'900 Projekten pro Jahr bei über 800 Kunden. 3 14.11.16

Technik allein bringt Sie nicht weiter. Man muss wissen, wie man sie richtig nutzt. 4 14.11.16

Stefan Oehrli Solution Manager BDS SEC Seit 1997 IT-Bereich tätig Seit 2008 bei der Trivadis AG Seit 2010 Disziplin Manager SEC INFR Seit 2014 Solution Manager BDS Security IT Erfahrung DB Administration und DB Security Lösungen Administration komplexer, heterogenen Umgebungen Datenbank Teamleiter Spezialgebiet Datenbank Sicherheit Security und Betrieb Security Konzepte Security Reviews Oracle Backup & Recovery Skills Backup & Recovery Oracle Advanced Security Oracle AVDF und DB Vault Oracle Directory Services Team / Projekt Management 5 14.11.16

Agenda 1. Einleitung 2. Identity und Access Management 3. Verschlüsselung und Key Management 4. Anonymisierung und Subsetting 5. Datenbank Audit und Security Monitoring 6. Maximum Data Security Architecture 7. Alternativen 8. Trivadis Lösungen 9. Fazit 6 14.11.16

Einleitung 7 14.11.16

Warum IT-Sicherheit? Schutz des Unternehmens und dessen Business Finanzieller Schaden Image Verlust Wettbewerbsfähigkeit Strafrechtliche Folgen Existenzbedrohung Schutz der Mitarbeiter, Kunden und anderen Personen Privatsphäre Erwerbstätigkeit Verfolgung Strafrechtliche Folgen 8 14.11.16

Spezialfall Cloud Systeme sind nicht im Haus Wie war das mit Outsourcing? Wem Vertraue ich mehr... meinen Mitarbeiter? meinem Service Provider? meinem Cloud Provider? Die Cloud verändert die Angriffsfläche Security zwingend Teil des Konzeptes Nachrichtendienste, Spionage, Hacker 9 14.11.16

Angriffsvektoren Web / Applikation / DB Server Schwachstellen Authentifizierung Autorisierung Interne / Externe Clients Infiziert (Malware) Eingenommen (Hacked / Botnet) Netzwerk / Server / Storage / Cloud Abhören Modifizieren Mitarbeiter Spionage Unwissenheit 10 14.11.16

Übersicht der Top 10 Gefahren 1. Exzessive und nicht benötigte Userberechtigungen 2. Missbrauch von Rechten 3. Input Injection / SQL Injection 4. Malware 5. Schwaches Audit 6. Offenlegung / Zugang zum Speichermedium 7. Schwachstellen und Fehlkonfiguration 8. Nicht überwachte sensitive Daten 9. Denial of Service 10. Unzureichendes Sicherheitsfachwissen / Schulung 11 14.11.16

Risikoanalyse und Klassifizierung Gefahren und Risiken für ein bestimmtes Umfeld müssen Bekannt sein Besitzer der Daten bzw. der Applikation muss die Sensitivität seiner Daten definieren......uns somit die Konsequenzen für deren Schutz Das ist nicht immer ganz einfach, da jeder davon ausgeht, seine Daten sind die wichtigsten, kritischsten,... Korrekte und angepasste Risikoanalyse? 12 14.11.16

Risikoanalyse und Klassifizierung Einteilung der Daten(-banken) in Sicherheitsklassen Öffentlich Daten sind z.b. im Internet sichtbar dürfen dort aber sicherlich nicht manipuliert werden Intern Daten dürfen von allen Mitarbeitern gesehen werden Vertraulich Daten dürfen nur von einem definierten Kreis von Mitarbeitern gesehen werden Geheim Wenn diese Daten verloren gehen, ist die Existenz der Firma gefährdet 13 14.11.16

Identity und Access Management 14 14.11.16

Basis Schutz und Authentifizierung Basis Schutz der Datenbank Authentifizierung, Kerberos, SSL Autorisierung, Rollen Konzepte Auditing, Basis Überwachung Datenbank Härtung Infrastruktur Komponenten komplett in der Cloud Active Directory, Unified Directory Integration mit Cloud Services Integration mit On-Premise Services 15 14.11.16

Autorisierung Rollen und Privilegien Konzept Rollentrennung, Benutzer, Operator, Administratoren Cloud Admin hat grundsätzlich Zugriff Via Oracle User auch auf verschlüsselte Daten Lösungsansätze Daten bereits in der Applikation oder in einer Security Appliance verschlüsseln Einsatz von Oracle Database Vault 16 14.11.16

Trennung der Verantwortlichkeiten Direkte / Transparente Trennung mit Database Vault Option und Teil der Oracle Binaries Beeinflusst den effektiven Zugriff auf die Daten im Oracle Kernel Umfangreiche Konfiguration Im Prinzip Transparent 17 14.11.16

Oracle Identity Cloud Services Identity und Access Management in der Cloud Single Sign On Integration mit On-Premise AD/OAM Identity Federation Service uva Zur Zeit noch keine Cloud basierten Directory Services für Datenbanken Aufbau eines eigenen Directory Service OUD mit Replikation zu On-Premise 18 14.11.16

Verschlüsselung und Key Management 19 14.11.16

Transport Verschlüsselung Netzwerk oder Transport Verschlüsselung als state of the Art Verbindung On-Premise Cloud via VPN Zugriff auf Cloud Serives Geschütz durch Firewall SSH Tunneling für Administrationsarbeiten SQL Net Verschlüsselung für DB Zugriff Admin, User Applikation Native Oracle Network Encryption Secure Socket Layers SSL Bedingt Zertifikat Verwaltung Benutzer Netzwerk Datenbank 20 14.11.16

Data @REST Verschlüsselung Transparent Data Encryption mit Bordmittel Oracle Advanced Security Aus File / Tablespace Ebene oder auf Spalten Ebene Möglich Zwingend Verwendung dediziertes Hardware Security Module (HSM) sichere Aufbewahrung der Zertifikaten und Wallets SafeNet Luna Oracle Key Vault ncipher 21 14.11.16

TDE New Features TDE Tablespace live Umwandlung Verschlüsseln, Entschlüsseln oder Rekey eines existierenden Tablespaces Keine Data Reorganisation nötig um TDE auszurollen TDE Migration läuft im Hintergrund Ok es ist nicht gratis Entschlüsseln eines Tablespaces Verschlüsseln der ganzen Datenbank inklusive internen Tablespaces SYSTEM, SYSAUX und UNDO TDE Tablespace Offline Umwandlung zum Parallelisieren, Optimieren, etc.. DataGuard Verschlüsseln der Standby und anschliessend Switchover Oder schrittweise verschlüsseln einzelner Tablespace 22 14.11.16

Confidentiality of data TDE Neuer Initialisierungsparameter ENCRYPT_NEW_TABLESPACES Neue Tablespaces werden mit AES128 (nicht konfigurierbar) Entspricht Oracle s Cloud Databases are always encrypted TDE Encryption Wallet muss konfiguriert und offen sein Mögliche Werte: CLOUD_ONLY Nur Tablespaces in der Cloud sind verschlüsselt ALWAYS Alle neuen Tablespaces sind verschlüsselt DDL Verschlüsselung nur durch DDL Statement 23 14.11.16

ENCRYPT_NEW_TABLESPACES Automatische Verschlüsselung von Cloud Tablespaces Das Oracle DBaaS Cloud Tooling erstellt einen Masterkey und legt diesen Key im Wallet ab Für Standard Edition oder Enterprise Edition [oracle@berger1 ~]$ sqlplus / as sysdba SQL*Plus: Release 12.1.0.2.0 Production on Tue Sep 13 21:38:42 2016 Copyright (c) 1982, 2014, Oracle. All rights reserved. Connected to: Oracle Database 12c Standard Edition Release 12.1.0.2.0-64bit Production SQL> show parameter encrypt NAME TYPE VALUE ------------------------------------ ----------- ------------------------------ encrypt_new_tablespaces string CLOUD_ONLY 24 14.11.16

Keystore Es wird ein Local auto-login Software Keystore angelegt Die Verwaltung wird mit dem Oracle Cloud Tool dbaascli gemacht DBAAS>tde rotate masterkey Executing command tde rotate masterkey Enter keystore password: Successfully rotated TDE masterkey Problem Wenn das Wallet in der Cloud bleibt ist die Verschlüsselung Obsolete Lösung Hardware Security Module on Premise 25 14.11.16

Key Management 26 14.11.16

Backup Execution 27 14.11.16

Key Management Schlüssel Zwingend On-Premise Oracle Key Vault ist das HSM Produkt von Oracle Ablage von Wallets, Keystores, Zertifikaten und JavaKeystores Software Appliance 28 14.11.16

Anonymisierung und Subsetting 29 14.11.16

Anonymisierung und Subsetting Trotz geeigneter Sicherheitsmassnahmen (Härtung, Verschlüsselung, Autorisierung und Authentifizierung) können nicht alle Daten 1:1 in die Cloud Mögliche Lösung: Anonymisieren der Daten Ablage von Test und Entwicklungsdatenbanken in der Cloud Vorteile von Cloud Services Optimal Nutzen ohne Sicherheitseinschränkungen Oracle Data Masking und Subsetting Daten werden anonymisiert Keine speziellen Zugriffsrechte benötigt Ursprüngliche Daten können nicht rekonstruiert werden Reduzieren der Test Daten möglich 30 14.11.16

Oracle Data Masking und Subsetting Verbreitung von sensitiven Daten 31 14.11.16

Data Masking Ziele und Herausforderungen Ziele Sensitive Daten werden durch fiktive Daten vor der Verbreitung ersetzt Herausfiltern relevanter Daten. (Brauche ich die ganze DB???) Streichen nicht relevanter Daten Einhalten von Compliance Richtlinien Herausforderungen Finden von sensitiven Daten Erhalten der Datenintegrität. (Fremdschlüssel usw.) Vorteile Einhaltung rechtlicher Vorschriften und Schutz der vertraulichen Daten Zentrale Definition von Formatmasken, Datenreduktion, Separation of duties 32 14.11.16

Data Masking Application Data Modeling Enterprise -> Quality Management -> Application Data Modeling 33 14.11.16

Datenbank Audit und Security Monitoring 34 14.11.16

Datenbank Audit und Database Firewall Zentrales Sammeln der Audit Informationen in AVDF On-Premise Installation des Audit Agents in der Cloud SQL Traffic von/in die Cloud über Database Firwall Überwachen Block / Substitute von Kritischen Statements 35 14.11.16

Enterprise Manager Cloud Control Oracle Database Service Virtual Images können mit einem Hybrid Cloud Agent an die lokale Oracle Enterprise Manager 12c / 13c Installation angebunden werden Unterstützte Funktionen Automatisches Deployment von Agents DBaaS und Java PaaS Monitoring Incident Management Configuration Management Cloning On-Premise / Oracle Cloud 36 14.11.16

Anbindung Cloud / On-Premise Datacenter Die Kommunikation erfolgt via SSH / SSH-Tunnel Ein EMCTL Dispatcher leitet die On-Premise Kommunikation an den Hybrid Cloud Agent weiter Der gleiche EMCTL Dispatcher nimmt Anfragen vom Hybrid Cloud Agent entgegen und leitet diese an das On-Premise System weiter Dazu wird ein Hybrid Cloud Gateway Proxy konfiguriert Mindestanforderung: EM12cR5 der EM13cR1 37 14.11.16

Kommunikationsweg Hybrid Cloud Agent Hybrid Cloud Gateway (On-Premise Agent) Hybrid Cloud Agent Enterprise Manager OMS Hybrid Cloud Agent Hybrid Cloud Gateway (On-Premise Agent) 38 14.11.16

Maximum Data Security Architecture 39 14.11.16

Maximum Data Security Architecture (MDSA) 40 14.11.16

Alternativen 41 14.11.16

Alternativen Daten Anonymisiert in der Cloud Oracle Data Masking und Subsetting oder Drittanbieter Nur für Test- und Entwicklungsdaten Verschlüsselung innerhalb der Applikation Datenbank kenn die effektiven Daten nicht Einschränkungen im DB Model (-) und Key Management (-) Trennung der Verantwortlichkeiten (+) Verschlüsselung mit einer Security Appliance Datenbank kenn die effektiven Daten nicht 42 14.11.16

Trivadis Lösungen 43 14.11.16

Cloud Readiness Assessment Umfassende Analyse Ihrer Oracle Infrastruktur im Hinblick auf eine Cloud basierte Infrastruktur Transparenz bezüglich Kosten und Nutzen Fundierte Beurteilung der Machbarkeit und der Risiken Praktische Roadmap für Ihr CloudTransformations-Vorhaben Schnelle und risikolose Cloud-Adaption 44 14.11.16

Cloud Backup Optimization Cloud Readiness Assessment... Cloud-optimiertes Datenbank-Backup Standort-redundantes Backup in der Cloud Datenverlust-Risiko reduziert Zuverlässig, skalier fähig, kosteneffizient... Cloud-basierte Restore/Recover Test-Datenbank Ready-on-Demand Restore/Recover-Testumgebung in der Cloud Sicherheitsgewinn durch zuverlässige Backup-Validierung Einfach, schnell und kosteneffizient Cloud-optimierte... Disaster Recovery-Datenbank Cold-, Hot-, oder Active-Standby-Datenbank in der Cloud Alternative für physische Disaster-Site Zuverlässig, flexibel und kosteneffizient 45 14.11.16

Cloud Governance Assessment Grundlage für die Nutzung und Integration von Cloud Services Belastbare Grundlage Konkrete Massnahmen zur Umsetzung Identifikation der notwendigen Rollen & Skills Verbindliche Policy im Umgang mit Cloud Services und Cloud Providern 46 14.11.16

Fazit Cloud Umgebungen stellen bekannte aber auch neue Herausforderungen an die Datenbank Sicherheit Sicherheit ist ganzheitlich an vielen Stellen zu betrachten Es braucht ein einheitliches Sicherheitskonzept Trivadis unterstützt Sie gern... 47 14.11.16

Trivadis @ DOAG 2016 Stand: 3ter Stock direkt an der Rolltreppe Know how, T-Shirts, Gewinnspiel und Trivadis Power to go Wir freuen uns wenn Sie vorbei schauen Weil Sie mit Trivadis immer gewinnen! 48 14.11.16

Stefan Oehrli Solution Manager / Trivadis Partner Tel.: +41 58 459 55 55 stefan.oehrli@trivadis.com http://www.trivadis.com/security @stefanoehrli www.oradba.ch BASEL BERN BRUGG DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. GENF HAMBURG KOPENHAGEN LAUSANNE MÜNCHEN STUTTGART WIEN ZÜRICH

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback