Das ist alles nur gecloudt Sicherheit in den roten Wolken Katharina Büchse
Passende Zuhörer cloud expert (PaaS) database security expert
Zahlen und Fakten Robotron Datenbank-Software GmbH Gründungsjahr 1990 Geschäftsform GmbH (9 Gesellschafter) Mitarbeiterzahl 394 (Stand 10/2016) Stammkapital Umsatz 2015 Umsatz 2016 2,4 Mio. EUR 32,8 Mio. EUR 36,8 Mio. EUR Hauptsitz Oracle-Partner ISO 9001 zertifiziert Schulungs- und Kongresszentrum
Das Leistungsangebot von Robotron methodische und technologische Kompetenzen umfangreiches Fachwissen in den branchentypischen Prozessen
Meine Wenigkeit Diplom-Mathematikerin Systemberaterin im Oracle-Support bei der Robotron Datenbank-Software GmbH seit Januar 2016 Themengebiete: Oracle Cloud Services (PaaS) Hochverfügbarkeit
Gliederung Meine persönliche Cloud-Security-Geschichte Oracle-Security-Crashkurs für die Cloud Security für Sparfüchse Performance-Editions mit Vault: Von Database bis Key Zusammenfassung
Meine persönliche Cloud-Security-Geschichte
Digital Transformation IT Summit April 2016 / Oracle Cloud Now
Larry Ellison zum Thema Oracle Key Vault Oracle, nobody at Oracle, not our DBAs, not our engineers, not the head of engineering can read our customers' data in the cloud. Only your people can read the data in the cloud.
DOAG Security-Expertenseminar, März 2017
Sicherheitsstufen alle Leute mit Köpfchen Oracle Besitzer (NSA, Oracle)
Sicherheitsstufen Zugriff als sysdba für Cloud Tooling alle Leute mit Köpfchen Oracle Besitzer (NSA, Oracle)
Oracle-Security-Crashkurs für die Cloud
Evaluate, prevent, detect
Was bedeutet Verschlüsselung bei Oracle? TDE Transparent Data Encryption Verschlüsselung der Daten auf Platte Test: strings <Pfad>/<Name des Datafiles> wer über die DB auf die Daten zugreift, merkt davon nichts! Daten auch für die Anwendung verschlüsseln : Masking and Subsetting (Testdaten anonymisieren) Data Redaction (Dynamic Masking)
Vault wie Gruft: Gut abgesichert Oracle Database Vault: Gewaltentrennung ( Schützt die DB vorm DBA! ) Schutzzonen (realms), Regeln, Oracle Key Vault zentrale Schlüsselverwaltung und noch viel mehr
Auditing Vertrauen ist gut, Kontrolle ist besser Benutzeraktivitäten protokollieren, um verdächtige Vorfälle erkennen zu können 12c: Unified Auditing Database Vault Reports und in 11g? standardmäßiges DB-Auditing wertebasiertes Auditing (Audit-Trigger)
Security für Sparfüchse
Was kostet die Welt? Database as a Service, 1 OCPU, pro Monat, General Purpose, in Dollar Standard Edition Enterprise Edition EE High Performance EE Extreme Performance metered 600 3000 4000 5000 non-metered 300 1500 2000 2500 Database Backup Cloud Service: 33 $ pro TB pro Monat (non-metered) Stand: 25.05.2017
Backup @ Public Cloud Funktionsweise myhomedb RMAN Bkp
Backup-Backrezept Voraussetzung: Replication Policy ist festgelegt Oracle Database Cloud Backup Module installieren Verschlüsselung aktivieren: im einfachsten Fall: SET ENCRYPTION ON IDENTIFIED BY <password> ONLY; RMAN anwerfen alle Leute mit Köpfchen Oracle Besitzer (NSA, Oracle)
Verschlüsselungsmöglichkeiten Transparent Encryption of Backups Password Encryption of Backups Dual Mode Encryption of Backups
Tablespace-Verschlüsselung in der Standard Edition kein TDE: vorhandene Tablespaces nicht verschlüsselt können auch nicht nachverschlüsselt werden Parameter encrypt_new_tablespaces steht auf CLOUD_ONLY neu angelegte Tablespaces sind verschlüsselt SQL> create tablespace my_new_tablespace; Tablespace created. SQL> select tablespace_name, encrypted from dba_tablespaces order by 1; TABLESPACE_NAME ENC ------------------------------ --- EXAMPLE NO MY_NEW_TABLESPACE YES SYSAUX NO SYSTEM NO TEMP NO UNDOTBS1 NO USERS NO alle Leute mit Köpfchen Oracle Besitzer (NSA, Oracle)
Kleine Handgriffe in Richtung sicherer für alle Editionen Schlüsselpaar offline erstellen Key passphrase festlegen Listener-Port 1521 x
Ports: Zwischen schwarz und weiß default-regel für Listener-Port für alle aus dem Internet Auswahl zwischen enable und disable alle Leute mit Köpfchen Oracle Besitzer (NSA, Oracle)
Ports: Zwischen schwarz und weiß gibt s auch noch grau Port nur für festgelegte IPs öffnen eigene Security Rule anlegen anzugeben: Erklärung Beispiel Security Application welche Ports möchte ich zulassen? 1526 Source wer darf zugreifen? (Security IP List) <meine persönliche IP> Destination worauf darf zugegriffen werden? ora_db
Welche IPs möchte ich zulassen?
Über welchen Port dürfen die zugreifen?
Eigene Regel erstellen
Performance-Editions mit Vault: Von Database bis Key
Mit Cloud-Performance kommt auch Advanced Security (TDE, Redaction) Label Security Database Vault (inkl. Privilege Analysis) Data Masking and Subsetting Pack Database Licensing Information: http://docs.oracle.com/ database/121/dblic/edit ions.htm#dblic109 alle Leute mit Köpfchen Oracle Besitzer (NSA, Oracle)
Wenn Database Vault in den performanten DB-Service einzieht default-mäßig installiert, aber nicht aktiviert: SELECT * FROM V$OPTION WHERE PARAMETER = 'Oracle Database Vault'; PARAMETER VALUE CON_ID Oracle Database Vault FALSE 0 Multitenant-Umgebung 12.2: Registrierung erst im Container, dann PDB, sonst ORA-47503: Database Vault is not enabled on CDB$ROOT
Fast wie zuhause!
Key Vault Installation nicht kleckern, sondern klotzen möglichst eigener physischer Server Disk: Minimum 500 GB hard disk zu öffnende Ports: 22, 161, 443, 5696 (Hochverfügbarkeitskonfiguration: 1522, 7443)
Wie der Endpoint in die Cloud kommt
zu beachten kann nicht auf ODA oder Exadata installiert werden Schlüssel werden auf den Endpoints standardmäßig 5min lang im Cache gehalten
Zusammenfassung
Vorhandene Möglichkeiten vs. wirkliche Nutzung Unmengen von Möglichkeiten zur Absicherung vorhanden Sicherheit ist aufwendig: unverschlossene Haustüren Post-its mit Passwörtern viel schwerwiegender als mögliche Oracle- Hintertüren
Katharina Büchse Systemberaterin (Oracle-Support) Telefon: +49 351 258592438 katharina.buechse@robotron.de www.robotron.de Fragen?