Safe Harbor Statement 10/26/2015

Ähnliche Dokumente
Geht Security in Oracle Database 12c eigentlich anders?

Oracle 12c Unified Auditing Axel Kraft Senior Consultant

Johannes Ahrends CarajanDB GmbH CarajanDB GmbH

Upgrade to Unified Auditing Auditing von 11g nach 12c

Neue Welten: Externe Daten mit APEX nutzen

Oracle Database Security Verringerung der Angriffsfläche

Auditing Sinn, Einsatzmöglichkeiten und Performance

Oracle Unified Auditing Migration der Audit-Konfiguration Stefan Oehrli

Sichere Testdaten mit Oracle Enterprise Manager

Neues von Oracle Gut zu wissen

Best Practices für das Datenbank-Audit in Oracle 11g und 12c

The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into

Sebastian Winkler CarajanDB GmbH CarajanDB GmbH

Oracle Database 18c Release 1 Neue Funktionalitäten zur Datenbank-Sicherheit

Best Practices für das Datenbank-Audit in Oracle 11g und 12c

<Insert Picture Here> Application Express: Stand der Dinge und Ausblick auf Version 5.0

Demo Kino: Der Herr der Wolken Die Gefährten

Immer in Bewegung bleiben Oracle Managed File Transfer

SAFE HARBOR STATEMENT

Oracle Data Visualization. Demo-Kino

Informationen zur Oracle DB SE2

BPA Suite und SOA - vom fachlichen Prozessmodell zur Anwendung. Bernhard Fischer-Wasels Leitender Systemberater

Warum Gesetze nicht programmiert werden sollten. Peer Meinhardt CRM Lösungsvertrieb öffentliche Auftraggeber. <Insert Picture Here>

Oracle Bare Metal Cloud Service

WebLogic Server im Zusammenspiel mit Real Application Cluster

<Insert Picture Here> Integration von MOS Patch Empfehlungen im Enterprise Manager

Modellierung der Business Architecture mit BPM 12c

Automatisierter Java EE Entwicklungs-Lifecycle mit WebLogic Server 12c. Robin Müller-Bady Systemberater, Oracle Deutschland

Backup & Recovery. Oracle 12c New Features. Peter Jensch Principial Consultant DOAG Regionaltreffen Stuttgart. 15. Mai 2014

15 Jahre MuniQSoft GmbH

<Insert Picture Here> 8. Business Intelligence & Data Warehouse Konferenz

WebLogic Server für Dummies

Oracle Virtual Private Database

<Insert Picture Here> Security-Basics. Privilegien, Rollen, SQL und PL/SQL - inkl. 12c-Update. Carsten Czarski, ORACLE Deutschland B.V. Co.

Wie sicher ist die Datenbank vorm Administrator?

Neues von Oracle Gut zu wissen...

Copyright 2012, Oracle and/or its affiliates. All rights reserved.

SAFE HARBOR STATEMENT

Rainer Meisriemler. STCC Stuttgart Oracle Deutschland GmbH 2 / 64

Oracle Flashback. in der Praxis Dr. Frank Haney 1

Datenbank Audit: Anforderungen und Umsetzung

<Insert Picture Here> Projekte erfolgreich führen mit den richtigen Entscheidungen

+++ Bitte nutzen Sie die integrierte Audio-Funktion von WebEx (Menü Audio -> Integrated Voice Conference -> Start auswählen), um uns zu hören!!!.

Migra?on VMWare basierender Datenbanken auf Knopfdruck

1 Copyright 2012, Oracle and/or its affiliates. All rights reserved.

Oracle Multitenant Verwaltung von Pluggable Databases Handling und Besonderheiten

Oracle SQL Developer Data Modeling

Johannes Ahrends CarajanDB GmbH CarajanDB GmbH

Username and password privileges. Rechteverwaltung. Controlling User Access. Arten von Rechten Vergabe und Entzug von Rechten DBS1 2004

Datenbankreplikation in der Standard Edition. Markus Jendrossek

Copyright 2012, Oracle and/or its affiliates. All rights reserved.

Oracle 12c Security Features Datenbank Security im Überblick Stefan Oehrli

Oracle Security. Seminarunterlage. Version vom

1 Copyright 2011, Oracle and/or its affiliates. All rights reserved. Customer Presentation

... Privilegien verwalten

Business Process Management. Cloud und Mobile Computing. BPMday 2013 Köln, 13. November Enzo Favuzzi - Sales Manager WebCenter & BPM

Wie sicher sind Ihre Daten in der DB?

IO Performance - Planung Messung, Optimierung. Ulrich Gräf Principal Sales Consultant Oracle Deutschland B.V. und Co. KG

Das ist alles nur gecloudt Sicherheit in den roten Wolken

Oracle 10g Einführung

Datenschutz: Zugriffsrechte in SQL

Oracle Application Express 4.2.1

Audit Management mit DBMS_AUDIT_MGMT Oehrli Stefan. Senior Consultant. 29. September 2010

Audit Management mit DBMS_AUDIT_MGMT

Plötzlich Multitenant was ändert sich für den DBA?

Oracle Audit Vault Oracle Audit Vault OPITZ CONSULTING GmbH 2011 Seite 1

Oracle Backup und Recovery mit RMAN

SAM - QFS Diskarchivierung - eine Diskussion

Oracle Backup und Recovery

ITK-Trends 2010: Hardware and Software. Engineered to work together. Rolf Kersten EMEA Hardware Product Marketing, Oracle

Sicherheit Konzepte für die Datenbanksicherheit. TOAD User Konferenz 2008 Dr. Günter Unbescheid Database Consult GmbH

Zuhause On-Premises und in der Cloud mit Identity Management

Oracle Backup und Recovery mit RMAN

DBMS_RLS Package Es besteht die Möglichkeit, auf Views oder Tables eine Funktion zu legen, die abhängig von bestimmten Faktoren

Copyright 2012, Oracle and/or its affiliates. All rights reserved.

Lutz Fröhlich. Oracle ng. mitp

Dr. Jens Hündling Manager Sales Consulting Oracle, Potsdam. DOAG SIG BPM Frankfurt, 27. September 2011

2011 Oracle Corporation Customer Presentation Version 5.2.2/

Oracle Developer Monthly Datenbank-Update für Anwendungsentwickler

Flashback mal sieben. DOAG Konferenz , Nürnberg. Klaus Reimers

Migration nach 11gR2 Erfahrungsbericht. Ulrich Lickert Universitätsklinikum Freiburg

Oracle Datenbankadministration Grundlagen

... Rollen verwalten

DOAG München Die etwas anderen Oracle Performance-Tipps. Marco Patzwahl

Nichttechnische Aspekte Hochverfügbarer Systeme

Oracle Database Vault, damit der DBA den Jahresabschluss nicht vor dem CEO kennt Häfeli, Konrad. Principal Consultant

Oracle 12c Real Application Security

Oracle Real Application Security (RAS) in APEX5

Disclaimer. Copyright 2014, Oracle and/or its affiliates. All rights reserved.

In diesem Anschnitt geht es um die SQL Anweisungen, mit denen ich den Zugriff auf das Datenbankschema steuern kann.

Identity Propagation in Oracle Fusion Middleware

Wer bin ich? Und wenn ja wo überall und wieviele

Neuerungen in Marco Patzwahl MuniQSoft GmbH Unterhaching

Wie sicher sind Ihre Daten in der Datenbank? Vetter Sven. Technology Manager Security

Oracle Enterprise Manager 12c Database Express (EM Express)

Flexible und automatisierte Reaktionen auf Sicherheitsvorfälle

Oracle 12c Multitenant Option

Patching und Provisioning von Linux-basierten Infrastrukturen

Transkript:

Safe Harbor Statement The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle s products remains at the sole discretion of Oracle. 2 1

Geht Security in Oracle Database 12c eigentlich anders? Heinz-Wilhelm Fabry ORACLE Deutschland B.V. & Co. KG Oracle Database 12c New Features Guide Neue Security Features SHA-2 Kontrolle von Program Units mit Caller's Rights SELECT ANY DICTIONARY Last Login Time Information Password Complexity Check Resource Role Default Privileges Unified Auditing Transparent Sensitive Data Protection VPD Fine-Grained Context- Sensitive Policies Restricted Service Registration für Oracle RAC Real Application Security Separation of Duties für DBAs 4 2

Oracle Database 12c New Features Guide Neue Security Features SHA-2 Kontrolle von Program Units mit Caller's Rights SELECT ANY DICTIONARY Last Login Time Information Password Complexity Check Resource Role Default Privileges Unified Auditing Transparent Sensitive Data Protection VPD Fine-Grained Context- Sensitive Policies Restricted Service Registration für Oracle RAC Real Application Security Separation of Duties für DBAs 5 Oracle Database 12c New Features Guide Neue Security Features SHA-2 Kontrolle von Program Units mit Caller's Rights SELECT ANY DICTIONARY Last Login Time Information Password Complexity Check Resource Role Default Privileges Unified Auditing Transparent Sensitive Data Protection VPD Fine-Grained Context- Sensitive Policies Restricted Service Registration für Oracle RAC Real Application Security Separation of Duties für DBAs 6 3

Auditing - Ohne Kontrolle geht gar nichts (mehr) Das A und O: Nachweisbarkeit BDSG (Anlage zu 9 Satz 1) Dabei sind insbesondere Maßnahmen zu treffen, die... geeignet sind... zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind... PCI DSS (Requirement 10) Track and monitor all access to network resources and cardholder data EUROSOX (8. EU Richtlinie) Einrichtung und Prüfung interner Kontrollsysteme... 7 Auditing - Methoden Anwendungen führen ihre eigenen Protokolle Analyse von Redo Log-Dateien mit LogMiner Trigger Auditing durch die Datenbank 8 4

Auditing durch die Datenbank Default Auditing -> Betriebssystem Standard Auditing (Systemprivilegien, Befehle, Objekte) -> SYS.AUD$ oder Betriebssystem in proprietärem Format oder XML Fine Grained Auditing ((FGA) - Auditieren abhängig von Bedingungen) -> SYS.FGA_LOG$ oder Betriebssystem in proprietärem Format oder XML SYS Auditing -> Betriebssystem Database Vault Auditing -> DVSYS.AUDIT_TRAIL$ 9 Complexity is the worst enemy of security. Bruce Schneier Secrets & Lies, Indianapolis 2004, S. 354 10 5

unified auditing 11 Auditing Einrichten Aktiviert oder nicht aktiviert? Verfügbar in allen Editionen Kein Feature, das nur in der Enterprise Edition verfügbar ist Es handelt sich nicht um eine Option SELECT value FROM v$option WHERE parameter = 'Unified Auditing' FALSE = unified auditing ist NICHT DAS STANDARDAUDITINGVERFAHREN mixed mode auditing = altes und neues Auditing sind beide aktiviert Umfang des unified auditing entspricht etwa dem Default von 11g AUDIT_TRAIL=DB Nach einem Upgrade gelten die alten Audit Einstellungen nach wie vor 12 6

Auditing Einrichten Aktivieren des unified auditing als EINZIGES Verfahren Aktivieren ist über den Enterprise Manager oder Kommandozeile möglich Datenbank und Listener stoppen cd $ORACLE_HOME/rdbms/lib make -f ins_rdbms.mk uniaud_on ioracle -- mit uniaud_off zurück zu mixed mode Initialisierungsparameter wie AUDIT_TRAIL oder AUDIT_TRAIL_DEST werden ignoriert Bereits gespeicherte Audit Daten werden NICHT gelöscht 'Alte' Befehle werden NICHT mit Fehlermeldung zurückgewiesen, zum Beispiel AUDIT ALL ON scott.emp 13 Auditing Konfigurieren Voraussetzungen Systemprivileg AUDIT SYSTEM Darf das Auditing konfigurieren, aktivieren, de-aktivieren, aber nicht auswerten Rolle AUDIT_ADMIN Darf das Auditing konfigurieren und auswerten Rolle AUDIT_VIEWER Darf nur den audit trail auswerten, typischerweise Auditoren Eigentümer eines Objekts kann nicht mehr Das Auditing für diese Objekte selbst festlegen Die über seine Objekte gesammelten Audit Daten auswerten 14 7

Auditing Konfigurieren Befehl CREATE POLICY Vergleichbar mit dem Einrichten des FGA nutzt das unified auditing Policies Standardmässig ist eine Policy mit dem Namen ORA_SECURECONFIG eingeschaltet Entspricht etwa dem Default von 11g AUDIT_TRAIL=DB CREATE AUDIT POLICY doag2015 PRIVILEGES SELECT ANY TABLE ACTIONS CREATE USER, ALTER USER, SELECT ON SCOTT.EMP ROLES RESOURCE WHEN 'SYS_CONTEXT(''USERENV'', ''MODULE'') <> (''HR'')' EVALUATE PER STATEMENT 15 Auditing Konfigurieren Hinweise zum CREATE POLICY Eigentümer der Policies ist SYS Es können beliebig viele Policies angelegt werden Weniger ist mehr Jede zu aktivierende Policy erhöht den Overhead beim Einloggen Daten zu den Policies erhöhen den Speicherplatzbedarf in den UGAs Performance wird durch die Auswertung vieler, konkurrierender Policies beeinträchtigt unified auditing erlaubt nicht das Auditieren auf der Grundlage von Spaltenwerten FGA steht nach wie vor (nur) in der Enterprise Edition zur Verfügung 16 8

Auditing Konfigurieren Komponenten auditieren Komponenten sind Data Pump Database Vault Data Mining Label Security Real Application Security (RAS) SQL Loader direct loads RMAN steuert sein Auditing über seinen Aufruf CREATE AUDIT POLICY doag2015dp ACTIONS COMPONENT = DATAPUMP ALL -- IMPORT oder EXPORT zur separaten Steuerung 17 Auditing Konfigurieren Policies ändern oder löschen ALTER AUDIT POLICY doag2015 ADD DROP PRIVILEGES drop any table ROLE resource CONDITION 'SYS_CONTEXT(''USERENV'', ''IP_ADDRESS'') <> EVALUATE / PER STATEMENT DROP AUDIT POLICY doag2015 / (''111.112.113.114'')' 18 9

Auditing aktivieren Befehl AUDIT Anlegen der Policy allein genügt NICHT AUDIT POLICY doag2015 EXCEPT SYS Gilt für alle Benutzer Kein separates Auditing für SYS Klausel EXCEPT erlaubt Ausschlüsse! Kann auch mit BY auf bestimmte Benutzer eingeschränkt werden Klausel WHENEVER (NOT) SUCCESSFUL steht ebenfalls zur Verfügung 19 Policy deaktivieren Befehl NOAUDIT NOAUDIT POLICY doag2015 BY scott Klausel EXCEPT nicht erlaubt 20 10

Im Lieferumfang enthaltene Policies ORA_SECURECONFIG (enabled) Entspricht den aus Oracle Database 11g bekannten Defaults ORA_ACCOUNT_MGMT (disabled) CREATE / ALTER / DROP USER CREATE / ALTER / DROP / SET ROLE GRANT, REVOKE ORA_DATABASE_PARAMETER (disabled) ALTER DATABASE ALTER SYSTEM CREATE SPFILE 21 Mandatory Auditing Befehle im Rahmen des Startup oder Befehle, die abgesetzt werden, wenn die Datenbank nicht zum Schreiben zur Verfügung steht, werden auf der Betriebssystemebene erfasst $ORACLE_BASE/audit/$ORACLE_SID Die Audit Daten können später in die Datenbank geladen werden DBMS_AUDIT_MGMT.LOAD_UNIFIED_AUDIT_FILES Nur SYS und AUDIT_ADMIN haben Ausführungsberechtigung für das Package DBMS_AUDIT_MGMT Jede Ausführung des Package wird auditiert Laden großer Datenmengen beeinflusst eventuell die DB Performance Alle Befehle, die das Auditing Verhalten beeinflussen Alle Befehle, die die Konfiguration von Database Vault beeinflussen 22 11

Monitoring AUDIT_UNIFIED_POLICIES policy_name, audit_condition, condition_eval_opt, audit_option, audit_option_type, object_schema, object_name, object_type, common AUDIT_UNIFIED_ENABLED_POLICIES user_name, policy_name, enabled_opt, success, failure AUDIT_UNIFIED_POLICY_COMMENTS policy_name, comments 23 Audit Daten auswerten Für die Auswertung benötigte Privilegien AUDIT_ADMIN oder AUDIT_VIEWER UNIFIED_AUDIT_TRAIL AUDIT_TYPE, DBUSERNAME, EVENT_TIMESTAMP, OBJECT_NAME, SQL_TEXT, SYSTEM_PRIVILEGE_USED, UNIFIED_AUDIT_POLICIES,... CDB_UNIFIED_AUDIT_TRAIL In einer PDB Äquivalent zum View DBA_* Im Root einer CDB Informationen zu allen Audit Einträgen einschliesslich der Information in welcher PDB der Eintrag ausgelöst wurde Klausel CONTAINER_DATA des Befehls ALTER USER legt fest, aus welchen PDBs Audit Daten angezeigt werden 24 12

Konfiguration für Fortgeschrittene Persistenz Audit Daten werden in eine Read Only Tabelle im Tablespace SYSAUX geschrieben Eigentümer der Tabelle ist der Benutzer AUDSYS Tabelle kann mit dem Package DBMS_AUDIT_MGMT in ein anderes Tablespace verschoben werden Tabelle kann NICHT mit SQL Befehlen manipuliert werden, sondern aussschliesslich mit dem Package DBMS_AUDIT_MGMT 25 Konfiguration für Fortgeschrittene Schreiben der Audit Daten Audit Daten werden über eine Queue in der SGA in die Datenbank geschrieben Grösse der Queue wird bestimmt durch den Initialisierungsparameter UNIFIED_AUDIT_SGA_QUEUE_SIZE 1 (Default) - 30 MB Durch asynchrones Schreiben deutliche bessere Performance Schreibintervall mit dem Package DBMS_AUDIT_MGMT auf synchron umzustellen Schreiben der Queue kann mit dem Package DBMS_AUDIT_MGMT auch manuell veranlasst werden 26 13

Konfiguration für Fortgeschrittene Audit Trail sichern und pflegen Gemäss geltender Regeln den audit trail sichern Beispiel INSERT INTO auditsicherung SELECT * FROM UNIFIED_AUDIT_TRAIL; Gesicherte Einträge des audit trail mit dem Package DBMS_AUDIT_MGMT entweder über einen Job oder bei Bedarf in der Datenbank löschen Der audit trail enthält immer mindestens als letzten Eintrag die Information zum letzten Löschvorgang 27 Konfiguration für Fortgeschrittene Beispiel zum Löschen des audit trail nach dem Sichern BEGIN DBMS_AUDIT_MGMT.CREATE_PURGE_JOB( AUDIT_TRAIL_TYPE => DBMS_AUDIT_MGMT.AUDIT_TRAIL_UNIFIED, AUDIT_TRAIL_PURGE_INTERVAL => 24, AUDIT_TRAIL_PURGE_NAME => 'Audit_Cleanup', USE_LAST_ARCH_TIMESTAMP => TRUE, CONTAINE => DBMS_AUDIT_MGMT.CONTAINER_CURRENT); END; 28 14

Konfiguration für Fortgeschrittene Views für das Arbeiten mit DBMS_AUDIT_MGMT DBA_AUDIT_MGMT_CLEAN_EVENTS DBA_AUDIT_MGMT_CLEANUP_JOBS DBA_AUDIT_MGMT_CONFIG_PARAMS DBA_AUDIT_MGMT_LAST_ARCH_TS 29 Detection is much more important than prevention. Bruce Schneier Secrets & Lies, Indianapolis 2004, S. 374 30 15

Oracle Database 12c New Features Guide Neue Security Features SHA-2 Kontrolle von Program Units mit Caller's Rights SELECT ANY DICTIONARY Last Login Time Information Password Complexity Check Resource Role Default Privileges Unified Auditing Transparent Sensitive Data Protection VPD Fine-Grained Context- Sensitive Policies Restricted Service Registration für Oracle RAC Real Application Security Separation of Duties für DBAs 31 Funktionen trennen, Aufgaben verteilen Privilegien für Tätigkeiten, die nicht nur das laufende System betreffen Startup/ Shutdown Alter DB OPEN, MOUNT, BACKUP Alter DB Recover Alter DB Archivelog Alter DB Change Character Set Create/ Drop DB Create SPFILE Restricted Session SYSDBA SYS Schema / Grundprivilegien SYSOPER vollst. PUBLIC Oft müssen mehr Rechte vergeben werden als notwendig SYSDBA für Backups mit RMAN 32 16

Funktionen trennen, Aufgaben verteilen least privilege Startup/ Shutdown Alter DB OPEN, MOUNT, BACKUP Alter DB Recover Alter DB Archivelog Alter DB Change Character Set Create/ Drop DB Create SPFILE Restricted Session SYSDBA SYS SYSOPER vollst. Schema / Grundprivilegien PUBLIC SYSBACKUP Create SYSBACKUP SYSDG SYSDG SYSKM SYSKM 33 Beispiel SYSKM Key Management Operationen (Wallet / Keystore ASO) ADMINISTER KEY MANAGEMENT CREATE SESSION Auch zum Anmelden bei einer nicht geöffneten Datenbank SELECT (bei geöffneter Datenbank) SYS.V$ENCRYPTED_TABLESPACES SYS.V$ENCRYPTION_WALLET SYS.V$WALLET SYS.V$ENCRYPTION_KEYS SYS.V$CLIENT_SECRETS SYS.DBA_ENCRYPTION_KEY_USAGE 34 17

SYSKM Für alle Operationen, bei denen die Datenbank geschlossen ist 35 Informationen in deutscher Sprache Communities DBA Community APEX Community Security Community Mobile App der BU DB http://tinyurl.com/oraclebudb DOAG Competence Center Security 37 18

38 19

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback