SlideShare ist ein Scribd-Unternehmen logo

DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas

Carsten Muetzlitz
Carsten Muetzlitz

Wie erfülle in kurzer Zeit gesetzliche Vorlagen und erhöhe damit die Sicherheit mit gleichzeitigem Abbau der Komplexität. Unternehmensweite Userverzeichnisse existieren bereits in Unternehmen, warum nutzt man diese nicht für die zu personalisierenden DB User. Enterprise User Security Funktion jeder DB Enterprise Edition ermöglicht die Nutzung von LDAP Users in Datenbanken.

Software
1 von 27
Downloaden Sie, um offline zu lesen
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Wie erfülle ich innerhalb einer Stunde Compliance- Anforderungen Carsten Mützlitz DOAG SIG Security in Hamburg 17.9.2014 DOAG SIG Security in Hamburg 17.9.2014
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Safe Harbor Statement The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle. DOAG SIG Security in Hamburg 3 17.9.2014
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | “Kaum macht man es richtig, schon funktioniert’s.” Carsten Mützlitz, Master Principal Sales Consultant, Oracle Germany DOAG SIG Security in Hamburg 4 17.9.2014
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Kurze Einführung Schutz von Datenbanken DOAG SIG Security in Hamburg 5 17.9.2014
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Einführung in den Schutz von Datenbanken Vorbeugende (preventive) Sicherheit und aufspürende Kontrollen Sicherheitsworkshop für B.Braun in Melsungen 6 11. Juni 2014
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Apps Users Advanced Security Data Redaction Data Masking Database Vault Privilege Analysis Database Vault Privileged User Controls OS & Storage Directories Databases Custom Audit Data & Event Logs Database Firewall Oracle Maximum Security Architecture Core Components Reports Alerts Audit Vault Policies Events Advanced Security TDE Sicherheitsworkshop für B.Braun in Melsungen 7 11. Juni 2014
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Oracle Maximum Security Architecture •Audit von sensiblen Aktivitäten –Standard Audit Policies auf Basis Oracle Database 11g –Angepasste Policies mit der Oracle Database 12c •Überwachung von Konfigurationen und verhindern von Änderungen –Überwachung von Konfiguration-Referenzen um Drifts zu vermeiden –Konfiguration mittels Database Vault, um unautorisierte Änderungen zu verhindern durch interne User –Alert von DB und Apps Änderungen mittels Audit Vault Alerts Oracle empfohlene Best Practices Sicherheitsworkshop für B.Braun in Melsungen 8 11. Juni 2014
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Oracle Maximum Security Architecture •Oracle Emfehlungen für eine sichere Konfiguration folgen –Expire and lock Default und nicht genutzte Accounts –Password Komplexität und Account-Ablauf Policies erzwingen •Zentralisierte Administration von DB Admin Accounts –Enterprise User Security für DBA Accounts verwenden –Personalisierte DBA Accounts – keine Shared User verwenden •Proxy Authentisierung für Verantwortlichkeiten nutzen –Command line Proxy seit Oracle Database 10g Release 2 –User Proxy Authentisierung für Anwendungszugriffe Oracle empfohlene Best Practices Sicherheitsworkshop für B.Braun in Melsungen 9 11. Juni 2014
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Gesetze, Regularien, externe Einflüße Compliance DOAG SIG Security in Hamburg 10 17.9.2014
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Es geht immer um mögliche Grundbedrohungen ... Corporate Network INTERNET Corporate Network Mobile Computing Teleworking Verlust der Integrität -Verarbeitungs-, Übertragungs- und Speicherfehler -Manipulation von Daten z. B. durch spoofing attacks: oip spoofing (IP fälschen) oDNS spoofing oWeb spoofing (Webseiten fälschen) Verlust der Vertraulichkeit -Netzverkehr abhören (sniffer attacks) -„Knacken“ kryptographischer Schlüssel und Verfahren (code breaking/key recovery) -Angriffe auf Kennwörter (password guessing/ cracking) -Falsche Rechte-Konzept Verlust der Verfügbarkeit -Ausfall -Zerstörung -Unterbrechung von Diensten (denial of service) durch: oping of death oICMP attacks oSYN flooding, etc. Verlust der Verbindlichkeit -Rechtsverbindlichkeit elektronisch abgeschlossener Verträge, wie z.B. Fax, EMail -Electronic Commerce -Gesetzesauflagen -Risiko-Früherkennung -Authentizitätscheck (Who) Schlagwörter, die als Bedrohung eingestuft werden, sind: •Hacker, Fremdpersonal, eigenes Personal, •Fehler, Ausfälle, •Fernwartung und •Wirtschaftsspionage •u.v.m. Sicherheitsworkshop für B.Braun in Melsungen 11. Juni 2014
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Welchen externen Einflüßen sind wir ausgesetzt? Compliance, Regularien, Gesetze, Business Anforderungen etc. DOAG SIG Security in Hamburg 12 17.9.2014 Unternehmens- Organisation Basel II, Solvency II, KontraG, AktG, HGB, BilReG Branchen- oder Größenspezifisch WpHG, BAFin, FdA, GMP, MARisk, EU- Vermittlerrichtlinie Datensicherheit & Datenschutz §3, §9, §11 ff. BDSG Rechtsgrundlagen Landesspezifische Gesetze 8.-EU-Richtlinie, SOX, APAG Arbeitsrecht BetrVG: §§80 (1+2), §87(6), BildschirmarbV Rechnungslegung, Buchführung, Archivierung, Prüfung GoBS, GoB, HGB, GDPdU, IDW PS, Email- Archivierungsvorschr. § § Compliance Bedrohungen
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Motivationslage der Unternehmungen Rechtliche Vorgaben und Entscheidungsspielräume DOAG SIG Security in Hamburg 13 17.9.2014 Rechtliche Vorgaben für IT-Sicherheit durch... Entscheidungsspielräume Verträge Gesetze Haftungs- risiken Eigen- interesse Von Ihnen verlangte IT-Sicherheit Von Ihnen gewollte IT-Sicherheit
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Landesdatenschutzgesetz und Datenschutzverordnung Wir betrachten mal nur einen kleinen Ausschnitt 14 17.9.2014 Auschnitt LDSG §6 Abs. 2.... ... Für eine ordnungsgemäße Datenverarbeitung nach aktuellem Stand der Technik ist es zwingend notwendig, dass die administrativen Tätigkeiten nachvollziehbar sind. Das LDSG und die DSVO stellen hierfür konkrete Anforderungen. Bei jeder administrativen Tätigkeit muss stets der Ausführende ermittelt werden können ... ...Ermittlung von Risikofaktoren für den Missbrauch der Daten (bei sensibler Datenverarbeitung nach § 11 Abs. 3 LDSG Risikoanalyse als VS-nfd) unter Berücksichtigung der Schutzbedürftigkeit der Daten (§ 5 Abs. 1 u. 2 LDSG)... DOAG SIG Security in Hamburg
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Was wäre die Lösung? Also, DBAs sichtbar machen, weil welches Risiko besteht? DOAG SIG Security in Hamburg 15 17.9.2014 Wer? DBA Welches Risiko und welchen Schutzbedarf leitet sich daraus ab? Alle DBAs werden in allen (wichtigen) Datenbanken personalisiert.
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Komplexitätsberechung einer typischen Umgebung Komplexität bedeutet auch Verlust der Kontrolle DOAG SIG Security in Hamburg 16 17.9.2014 ComplexDBAMGMT = Count(DBAs) x Count (DB Instances) Zur Erinnerung: Das LDSG und die DSVO stellen hierfür konkrete Anforderungen. Bei jeder administrativen Tätigkeit muss stets der Ausführende ermittelt werden können. Auch Oracle empfiehlt den Einsatz von personalisierten DBAs. SYS wird nur in Ausnahmenfällen genutzt und SYSTEM wird gesperrt. Hinzu kommt, dass bestimmte Zertifizierungen (wie z.B. BSI) eine regelmäßige Änderung der Passwörter fordert. Gegeben (Ist-Situation): Eine Unternehmung betreibt 100 Datenbanken inkl. Entwicklung, Test, Integration und Abnahme DBs. Diese Datenbanken werden von 10 DBAs betreut. Jeder DBA ist in jeder DB lokal angelegt. Zusätzlich zu den Datenbanken besteht ein zentrales Benutzerrepository (MS Active Directory) 10 DBAs x 100 DB Instances ComplexDBAMGMT = 1000 ComplexDBAMGMT = Die Komplexitätszahl 1000 sagt nun aus, dass insgesamt 1000 Accounts für 10 DBAs zu betrachten sind.
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Also, wie sieht die Realität aus? Personalisierung ist zu komplex DOAG SIG Security in Hamburg 17 17.9.2014 Anonym! DBA SYS oder SYSTEM Wegen der Komplexität werden wichtige Maßnahmen nicht implementiert! Wesentliche Maßnahmen für einen sicheren Datenbank-Betrieb werden nicht implementiert 1.Regelmäßiges Ändern von Kennwörtern 2.Keine Zwecktrennung 3.Keine personalisierten DBAs, alle DBAs arbeiten mit SYS und SYSTEM. 4.Etc.
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Komplexität auflösen Die genannten Compliance Anforderungen implementieren wir nun mit minimalem Aufwand und maximalen positiven Benefits DOAG SIG Security in Hamburg 18 17.9.2014
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Eine einfache Zentralisierung der Benutzer fasst Oracle unter dem Begriff „Enterprise User Security“ zusammen Enterprise User Security für DBAs (#EUS4DBAs) DOAG SIG Security in Hamburg 19 17.9.2014 Typisches Kunden-Szenario DB1 DB4 User1 DB2 DB3 DB5 User2 User4 User3 •DBA1, Kennwort, Rollen •DBA2, Kennwort, Rollen •DBA3 Kennwort, Rollen •DBA4 Kennwort, Rollen Viele Datenbanken mit jeweils lokaler Benutzerverwaltung DB1 DB4 DB2 DB3 DB5 Zentrale Benutzerverwaltung für DBs Benutzer gehören ins LDAP DBA1-4 Das Ziel für die DBAs in der Nutzung einer zentralen Benutzerverwaltung: 1.Kennwörter raus aus der DB und zentralisiertes PW- Management, 2.Rollen ins LDAP Repository, d.h. Autorisierung über LDAP Abfragen 3.Single-Sign-on (starke Authentisierung mittels Kerberos), 4.Zwecktrennung (DBA=Berechtigung in der DB, MS AD Admin=Account Management) •DBA1, Kennwort, Rollen •DBA2, Kennwort, Rollen •DBA3, Kennwort, Rollen •DBA4, Kennwort, Rollen •Globale Rollen •Globale Schema •DBA1, Kennwort, Rollen •DBA2, Kennwort, Rollen •DBA3 Kennwort, Rollen •DBA4 Kennwort, Rollen •DBA1, Kennwort, Rollen •DBA2, Kennwort, Rollen •DBA3 Kennwort, Rollen •DBA4 Kennwort, Rollen •DBA1, Kennwort, Rollen •DBA2, Kennwort, Rollen •DBA3 Kennwort, Rollen •DBA4 Kennwort, Rollen •DBA1, Kennwort, Rollen •DBA2, Kennwort, Rollen •DBA3 Kennwort, Rollen •DBA4 Kennwort, Rollen Komplexität wäre somit aufgelöst, richtig?
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | EUS über OUD mit MS AD und Kerberos Vorhandenes Benutzerrepository nutzen DOAG SIG Security in Hamburg 20 17.9.2014 Windows Client Windows Client Ethernet orcl db.de.oracle.com ad.de.oracle.com ACTIVE DIRECTORY oud.de.oracle.com Ablauf: 1.Authentisierung an die Datenbank via Kerberos 2.DB verifiziert via Kerberos TGT 3.Datenbank fordert Benutzereintrag beim LDAP an 4.LDAP liefert den Benutzereintrag an die Datenbank zurück und fragt hierzu MS AD 5.Datenbank fordert Schemamapping und Enterprise Role an 6.LDAP liefert Schemamapping und Enterprise Role an die Datenbank zurück 7.DB autorisiert Nutzer mit der richtigen Berechtigung (Rolle) (2) Zugriff mit Desktop Client unter Benutzung TGT EUS-LDAP Operationen (1) Benutzer bekomt Kerberos TGT (Ticket Granting Ticket) OUD-Proxy EUS-Deployment: OUD und MS AD Integration •EUS wird mit Oracle Unified Directory aufgesetzt •Bestehendes MS AD wird via OUD-Proxy integriert –Benutzer aus MS AD werden im OUD virtuell sichtbar gemacht •Authentisierung via Kerberos –Benutzer authentisiert sich nur am Windows Desktop (SSO) Unified Directory
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Vorgehen dieser Lösung ist für meine Umgebung sehr trival Kaum macht es richtig, schon funktioniert es DOAG SIG Security in Hamburg 21 17.9.2014 1 Download 4 SW-Komponenten (OUD, WLS, ADF, Java, (Patch)) 2 Installation SW Komponenten 3 OUD-Proxy aufsetzen mit Anbindung an MS AD 4 Kerberos für die Datenbank aktivieren 5 EUS auf dem DB Server aktivieren und Mapping des AD<->DB Detaillierte Beschreibung: http://cmuetzli.blogspot.co.uk/2014/08/oracle-db-security-enterprise-user.html
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 1 Stunde Installation und Konfiguration für EUS4DBAs Leider nicht live, aber dafür in Farbe DOAG SIG Security in Hamburg 22 17.9.2014 •Installation Software Komponenten (Bring up OUD) –OUD 11gR2 –WLS 11g (10.3.6) –ADF 11g –Create ODSM Domain –Neuer Bundle Patch OUD –Create OUD-Proxy –MS AD Einstellungen übernehmen •Konfiguration Kerberos und EUS (DB anpassen) –SPN in MS AD einstellen –Keytab erstellen –Auf DB krb5 Config Dateien erstellen –Sqlnet.ora anpassen –Global Schema und Rolle erstellen –Mapping in OEM LDAP <->DB 37 Minuten 18 Minuten
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 37 Minuten Installation – Aufbau OUD DOAG SIG Security in Hamburg 23 17.9.2014
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 18 Minuten Kerberos und EUS Setup – Anpassung DB DOAG SIG Security in Hamburg 24 17.9.2014
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | ORA DB ORA DB Zusammenfassung: Mehrwerte, Sinn und Zweck Warum das Ganze? Echter Kundenfall DOAG SIG Security in Hamburg 25 17.9.2014 Zentraler Userstore ACTIVE DIRECTORY Oracle Unified Directory ORA DB ORA DB •15 DBAs •300 Oracle DB Instanzen –D.h. 4500 personalisierte DBA Accounts in den DBs (mehrfach redundant) –300 PW Policies –Tausende Passwords (Resets) –Tausende Users –Viele hundert Autorisierungsregeln Sehr hoher Aufwand! •Plus alle anderen Poweruser Benutzergruppen Kerberos (starke Authentisierung) DBA1 DBA1 Redundante Benutzer und PW-verwaltung Redundante Benutzerverwaltung, zentrales PW EUS4DBAs: Eine Benutzerwaltung mit allen Policies, keine PWs, User und Policies in der DB lesend OUD-Proxy EUS: DB LDAP enabled LDAP<->DB EUS4DBAs: Eine Benutzerwaltung mit allen Policies, keine PWs, User und Policies in der DB und Zwecktrennung Zwecktrennung Account Management MS AD ADMIN DB Roles Autorisierung •User •Gruppen •Policies
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | DOAG SIG Security in Hamburg 26 17.9.2014
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas

Empfohlen

Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicCarsten Muetzlitz
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitCarsten Muetzlitz
 
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und RecoveryZeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recoveryoraclebudb
 
Fit Vorstellung
Fit VorstellungFit Vorstellung
Fit VorstellungVenezia0208
 
Datensicherheit: Sicherheitsrichtlinie
Datensicherheit: SicherheitsrichtlinieDatensicherheit: Sicherheitsrichtlinie
Datensicherheit: SicherheitsrichtlinieAcertigo
 
Oracle Security Übersicht
Oracle Security ÜbersichtOracle Security Übersicht
Oracle Security Übersichtoraclebudb
 
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...OPITZ CONSULTING Deutschland
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenICT Economic Impact
 

Empfohlen

Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicCarsten Muetzlitz
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitCarsten Muetzlitz
 
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und RecoveryZeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recoveryoraclebudb
 
Fit Vorstellung
Fit VorstellungFit Vorstellung
Fit VorstellungVenezia0208
 
Datensicherheit: Sicherheitsrichtlinie
Datensicherheit: SicherheitsrichtlinieDatensicherheit: Sicherheitsrichtlinie
Datensicherheit: SicherheitsrichtlinieAcertigo
 
Oracle Security Übersicht
Oracle Security ÜbersichtOracle Security Übersicht
Oracle Security Übersichtoraclebudb
 
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...OPITZ CONSULTING Deutschland
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenICT Economic Impact
 
Agung podomoro group strategic management batch 5 (2015) by mardiana ridwan k...
Agung podomoro group strategic management batch 5 (2015) by mardiana ridwan k...Agung podomoro group strategic management batch 5 (2015) by mardiana ridwan k...
Agung podomoro group strategic management batch 5 (2015) by mardiana ridwan k...mardianardn
 
Training 2
Training 2Training 2
Training 2Hogeschool van Amsterdam
 
Drogerien im Social Web - Hagen Sexauer
Drogerien im Social Web - Hagen SexauerDrogerien im Social Web - Hagen Sexauer
Drogerien im Social Web - Hagen SexauerHagen Sexauer
 
Social Media für Vereine von Nutzen?
Social Media für Vereine von Nutzen?Social Media für Vereine von Nutzen?
Social Media für Vereine von Nutzen?Johannes Pfeffer
 
Alder mx29 2011_11_30_4
Alder mx29 2011_11_30_4Alder mx29 2011_11_30_4
Alder mx29 2011_11_30_4Siegfried Alder
 
Groups 2010.05: Google Street View Debatte (Digital Sustainability)
Groups 2010.05: Google Street View Debatte (Digital Sustainability)Groups 2010.05: Google Street View Debatte (Digital Sustainability)
Groups 2010.05: Google Street View Debatte (Digital Sustainability)Marcus Dapp
 
Groups 2010.10: Potential von Open Data (Digital Sustainability)
Groups 2010.10: Potential von Open Data (Digital Sustainability)Groups 2010.10: Potential von Open Data (Digital Sustainability)
Groups 2010.10: Potential von Open Data (Digital Sustainability)Marcus Dapp
 
htaccess SEO Tipps
htaccess SEO Tippshtaccess SEO Tipps
htaccess SEO TippsMalte Landwehr
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiCarsten Muetzlitz
 
Granular Entrepreneurship - Thesen zu einem möglichen Trend
Granular Entrepreneurship - Thesen zu einem möglichen TrendGranular Entrepreneurship - Thesen zu einem möglichen Trend
Granular Entrepreneurship - Thesen zu einem möglichen TrendMario Leupold
 
Lana
LanaLana
Lanaperezsaskia
 
Statistik, Tätigkeitsbericht 2010
Statistik, Tätigkeitsbericht 2010Statistik, Tätigkeitsbericht 2010
Statistik, Tätigkeitsbericht 2010Johannes Pfeffer
 
Transparenz Studie Klenk & Hoursch: Automobil
Transparenz Studie Klenk & Hoursch: Automobil Transparenz Studie Klenk & Hoursch: Automobil
Transparenz Studie Klenk & Hoursch: Automobil Dr. Volker Klenk
 
Social media marketing
Social media marketingSocial media marketing
Social media marketingidealogues
 
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...Carsten Muetzlitz
 
SEO Schulung
SEO SchulungSEO Schulung
SEO SchulungThomas Matterne
 
Groups 2010.15 Mobile Plattformen (Digital Sustainability)
Groups 2010.15 Mobile Plattformen (Digital Sustainability)Groups 2010.15 Mobile Plattformen (Digital Sustainability)
Groups 2010.15 Mobile Plattformen (Digital Sustainability)Marcus Dapp
 
Barkämp
BarkämpBarkämp
BarkämpMario Leupold
 
Protocol Engineering: Beschreibung und Entwicklung von Kommunikationsprotokollen
Protocol Engineering: Beschreibung und Entwicklung von KommunikationsprotokollenProtocol Engineering: Beschreibung und Entwicklung von Kommunikationsprotokollen
Protocol Engineering: Beschreibung und Entwicklung von KommunikationsprotokollenFalk Hartmann
 
Social Media für Verlage - Hagen Sexauer
Social Media für Verlage - Hagen SexauerSocial Media für Verlage - Hagen Sexauer
Social Media für Verlage - Hagen SexauerHagen Sexauer
 
Secure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstSecure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstCarsten Muetzlitz
 
Implementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerImplementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerMartin Obst
 

Weitere ähnliche Inhalte

Andere mochten auch

Agung podomoro group strategic management batch 5 (2015) by mardiana ridwan k...
Agung podomoro group strategic management batch 5 (2015) by mardiana ridwan k...Agung podomoro group strategic management batch 5 (2015) by mardiana ridwan k...
Agung podomoro group strategic management batch 5 (2015) by mardiana ridwan k...mardianardn
 
Drogerien im Social Web - Hagen Sexauer
Drogerien im Social Web - Hagen SexauerDrogerien im Social Web - Hagen Sexauer
Drogerien im Social Web - Hagen SexauerHagen Sexauer
 
Social Media für Vereine von Nutzen?
Social Media für Vereine von Nutzen?Social Media für Vereine von Nutzen?
Social Media für Vereine von Nutzen?Johannes Pfeffer
 
Groups 2010.05: Google Street View Debatte (Digital Sustainability)
Groups 2010.05: Google Street View Debatte (Digital Sustainability)Groups 2010.05: Google Street View Debatte (Digital Sustainability)
Groups 2010.05: Google Street View Debatte (Digital Sustainability)Marcus Dapp
 
Groups 2010.10: Potential von Open Data (Digital Sustainability)
Groups 2010.10: Potential von Open Data (Digital Sustainability)Groups 2010.10: Potential von Open Data (Digital Sustainability)
Groups 2010.10: Potential von Open Data (Digital Sustainability)Marcus Dapp
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiCarsten Muetzlitz
 
Granular Entrepreneurship - Thesen zu einem möglichen Trend
Granular Entrepreneurship - Thesen zu einem möglichen TrendGranular Entrepreneurship - Thesen zu einem möglichen Trend
Granular Entrepreneurship - Thesen zu einem möglichen TrendMario Leupold
 
Statistik, Tätigkeitsbericht 2010
Statistik, Tätigkeitsbericht 2010Statistik, Tätigkeitsbericht 2010
Statistik, Tätigkeitsbericht 2010Johannes Pfeffer
 
Transparenz Studie Klenk & Hoursch: Automobil
Transparenz Studie Klenk & Hoursch: Automobil Transparenz Studie Klenk & Hoursch: Automobil
Transparenz Studie Klenk & Hoursch: Automobil Dr. Volker Klenk
 
Social media marketing
Social media marketingSocial media marketing
Social media marketingidealogues
 
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...Carsten Muetzlitz
 
Groups 2010.15 Mobile Plattformen (Digital Sustainability)
Groups 2010.15 Mobile Plattformen (Digital Sustainability)Groups 2010.15 Mobile Plattformen (Digital Sustainability)
Groups 2010.15 Mobile Plattformen (Digital Sustainability)Marcus Dapp
 
Protocol Engineering: Beschreibung und Entwicklung von Kommunikationsprotokollen
Protocol Engineering: Beschreibung und Entwicklung von KommunikationsprotokollenProtocol Engineering: Beschreibung und Entwicklung von Kommunikationsprotokollen
Protocol Engineering: Beschreibung und Entwicklung von KommunikationsprotokollenFalk Hartmann
 
Social Media für Verlage - Hagen Sexauer
Social Media für Verlage - Hagen SexauerSocial Media für Verlage - Hagen Sexauer
Social Media für Verlage - Hagen SexauerHagen Sexauer
 

Andere mochten auch (20)

Agung podomoro group strategic management batch 5 (2015) by mardiana ridwan k...
Agung podomoro group strategic management batch 5 (2015) by mardiana ridwan k...Agung podomoro group strategic management batch 5 (2015) by mardiana ridwan k...
Agung podomoro group strategic management batch 5 (2015) by mardiana ridwan k...
 
Training 2
Training 2Training 2
Training 2
 
Drogerien im Social Web - Hagen Sexauer
Drogerien im Social Web - Hagen SexauerDrogerien im Social Web - Hagen Sexauer
Drogerien im Social Web - Hagen Sexauer
 
Social Media für Vereine von Nutzen?
Social Media für Vereine von Nutzen?Social Media für Vereine von Nutzen?
Social Media für Vereine von Nutzen?
 
Alder mx29 2011_11_30_4
Alder mx29 2011_11_30_4Alder mx29 2011_11_30_4
Alder mx29 2011_11_30_4
 
Groups 2010.05: Google Street View Debatte (Digital Sustainability)
Groups 2010.05: Google Street View Debatte (Digital Sustainability)Groups 2010.05: Google Street View Debatte (Digital Sustainability)
Groups 2010.05: Google Street View Debatte (Digital Sustainability)
 
Groups 2010.10: Potential von Open Data (Digital Sustainability)
Groups 2010.10: Potential von Open Data (Digital Sustainability)Groups 2010.10: Potential von Open Data (Digital Sustainability)
Groups 2010.10: Potential von Open Data (Digital Sustainability)
 
htaccess SEO Tipps
htaccess SEO Tippshtaccess SEO Tipps
htaccess SEO Tipps
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal Soszynski
 
Granular Entrepreneurship - Thesen zu einem möglichen Trend
Granular Entrepreneurship - Thesen zu einem möglichen TrendGranular Entrepreneurship - Thesen zu einem möglichen Trend
Granular Entrepreneurship - Thesen zu einem möglichen Trend
 
Lana
LanaLana
Lana
 
Statistik, Tätigkeitsbericht 2010
Statistik, Tätigkeitsbericht 2010Statistik, Tätigkeitsbericht 2010
Statistik, Tätigkeitsbericht 2010
 
Transparenz Studie Klenk & Hoursch: Automobil
Transparenz Studie Klenk & Hoursch: Automobil Transparenz Studie Klenk & Hoursch: Automobil
Transparenz Studie Klenk & Hoursch: Automobil
 
Social media marketing
Social media marketingSocial media marketing
Social media marketing
 
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
 
SEO Schulung
SEO SchulungSEO Schulung
SEO Schulung
 
Groups 2010.15 Mobile Plattformen (Digital Sustainability)
Groups 2010.15 Mobile Plattformen (Digital Sustainability)Groups 2010.15 Mobile Plattformen (Digital Sustainability)
Groups 2010.15 Mobile Plattformen (Digital Sustainability)
 
Barkämp
BarkämpBarkämp
Barkämp
 
Protocol Engineering: Beschreibung und Entwicklung von Kommunikationsprotokollen
Protocol Engineering: Beschreibung und Entwicklung von KommunikationsprotokollenProtocol Engineering: Beschreibung und Entwicklung von Kommunikationsprotokollen
Protocol Engineering: Beschreibung und Entwicklung von Kommunikationsprotokollen
 
Social Media für Verlage - Hagen Sexauer
Social Media für Verlage - Hagen SexauerSocial Media für Verlage - Hagen Sexauer
Social Media für Verlage - Hagen Sexauer
 

Ähnlich wie DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas

Secure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstSecure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstCarsten Muetzlitz
 
Implementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerImplementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerMartin Obst
 
Oracle AVDF in der Praxis
Oracle AVDF in der PraxisOracle AVDF in der Praxis
Oracle AVDF in der PraxisTrivadis
 
Oracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin BergerOracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin BergerDésirée Pfister
 
Oracle Database Backup Service
Oracle Database Backup ServiceOracle Database Backup Service
Oracle Database Backup ServiceTrivadis
 
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzenAWS Germany
 
Oracle on Azure
Oracle on AzureOracle on Azure
Oracle on AzureTrivadis
 
Sleeping with the enemy Konrad Häfeli
Sleeping with the enemy Konrad HäfeliSleeping with the enemy Konrad Häfeli
Sleeping with the enemy Konrad HäfeliDésirée Pfister
 
Oracle Open World 2009 Review V1.6
Oracle Open World 2009 Review V1.6Oracle Open World 2009 Review V1.6
Oracle Open World 2009 Review V1.6Torsten Winterberg
 
Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...
Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...
Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...Markus Flechtner
 
Sensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle DatenbankSensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle DatenbankUlrike Schwinn
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Carsten Muetzlitz
 
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"Eileen Erdmann
 
SAP Bedrohungserkennung als Cloud Lösung - SAP ETD
SAP Bedrohungserkennung als Cloud Lösung - SAP ETD SAP Bedrohungserkennung als Cloud Lösung - SAP ETD
SAP Bedrohungserkennung als Cloud Lösung - SAP ETDIBsolution GmbH
 
Fifty shades of Cloud - Überblick, Best Practices, Beispiele
Fifty shades of Cloud - Überblick, Best Practices, BeispieleFifty shades of Cloud - Überblick, Best Practices, Beispiele
Fifty shades of Cloud - Überblick, Best Practices, BeispieleSEEBURGER
 
Oracle Database 12c Release 2
Oracle Database 12c Release 2 Oracle Database 12c Release 2
Oracle Database 12c Release 2 oraclebudb
 
Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2Ulrike Schwinn
 
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdfIHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdfFLorian Laumer
 
Automatisierung & Verwaltung von Datenbank - Clustern mit Severalnines - Mari...
Automatisierung & Verwaltung von Datenbank - Clustern mit Severalnines - Mari...Automatisierung & Verwaltung von Datenbank - Clustern mit Severalnines - Mari...
Automatisierung & Verwaltung von Datenbank - Clustern mit Severalnines - Mari...MariaDB Corporation
 

Ähnlich wie DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas (20)

Secure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstSecure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin Obst
 
Implementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerImplementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise Manager
 
Oracle AVDF in der Praxis
Oracle AVDF in der PraxisOracle AVDF in der Praxis
Oracle AVDF in der Praxis
 
Oracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin BergerOracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin Berger
 
Oracle Database Backup Service
Oracle Database Backup ServiceOracle Database Backup Service
Oracle Database Backup Service
 
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
8 Tipps für eine Cloud Strategie – wie Unternehmen heute die Cloud einsetzen
 
Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)
 
Oracle on Azure
Oracle on AzureOracle on Azure
Oracle on Azure
 
Sleeping with the enemy Konrad Häfeli
Sleeping with the enemy Konrad HäfeliSleeping with the enemy Konrad Häfeli
Sleeping with the enemy Konrad Häfeli
 
Oracle Open World 2009 Review V1.6
Oracle Open World 2009 Review V1.6Oracle Open World 2009 Review V1.6
Oracle Open World 2009 Review V1.6
 
Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...
Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...
Die Datenbank ist nicht immer Schuld - Gründe warum Datenbank-Migration schei...
 
Sensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle DatenbankSensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle Datenbank
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
 
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
 
SAP Bedrohungserkennung als Cloud Lösung - SAP ETD
SAP Bedrohungserkennung als Cloud Lösung - SAP ETD SAP Bedrohungserkennung als Cloud Lösung - SAP ETD
SAP Bedrohungserkennung als Cloud Lösung - SAP ETD
 
Fifty shades of Cloud - Überblick, Best Practices, Beispiele
Fifty shades of Cloud - Überblick, Best Practices, BeispieleFifty shades of Cloud - Überblick, Best Practices, Beispiele
Fifty shades of Cloud - Überblick, Best Practices, Beispiele
 
Oracle Database 12c Release 2
Oracle Database 12c Release 2 Oracle Database 12c Release 2
Oracle Database 12c Release 2
 
Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2
 
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdfIHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
IHK Vortrag Sichere Cloudanwendungen Passion4IT 270922023.pdf
 
Automatisierung & Verwaltung von Datenbank - Clustern mit Severalnines - Mari...
Automatisierung & Verwaltung von Datenbank - Clustern mit Severalnines - Mari...Automatisierung & Verwaltung von Datenbank - Clustern mit Severalnines - Mari...
Automatisierung & Verwaltung von Datenbank - Clustern mit Severalnines - Mari...
 

DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas

  • 1.
  • 2. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Wie erfülle ich innerhalb einer Stunde Compliance- Anforderungen Carsten Mützlitz DOAG SIG Security in Hamburg 17.9.2014 DOAG SIG Security in Hamburg 17.9.2014
  • 3. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Safe Harbor Statement The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle. DOAG SIG Security in Hamburg 3 17.9.2014
  • 4. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | “Kaum macht man es richtig, schon funktioniert’s.” Carsten Mützlitz, Master Principal Sales Consultant, Oracle Germany DOAG SIG Security in Hamburg 4 17.9.2014
  • 5. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Kurze Einführung Schutz von Datenbanken DOAG SIG Security in Hamburg 5 17.9.2014
  • 6. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Einführung in den Schutz von Datenbanken Vorbeugende (preventive) Sicherheit und aufspürende Kontrollen Sicherheitsworkshop für B.Braun in Melsungen 6 11. Juni 2014
  • 7. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Apps Users Advanced Security Data Redaction Data Masking Database Vault Privilege Analysis Database Vault Privileged User Controls OS & Storage Directories Databases Custom Audit Data & Event Logs Database Firewall Oracle Maximum Security Architecture Core Components Reports Alerts Audit Vault Policies Events Advanced Security TDE Sicherheitsworkshop für B.Braun in Melsungen 7 11. Juni 2014
  • 8. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Oracle Maximum Security Architecture •Audit von sensiblen Aktivitäten –Standard Audit Policies auf Basis Oracle Database 11g –Angepasste Policies mit der Oracle Database 12c •Überwachung von Konfigurationen und verhindern von Änderungen –Überwachung von Konfiguration-Referenzen um Drifts zu vermeiden –Konfiguration mittels Database Vault, um unautorisierte Änderungen zu verhindern durch interne User –Alert von DB und Apps Änderungen mittels Audit Vault Alerts Oracle empfohlene Best Practices Sicherheitsworkshop für B.Braun in Melsungen 8 11. Juni 2014
  • 9. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Oracle Maximum Security Architecture •Oracle Emfehlungen für eine sichere Konfiguration folgen –Expire and lock Default und nicht genutzte Accounts –Password Komplexität und Account-Ablauf Policies erzwingen •Zentralisierte Administration von DB Admin Accounts –Enterprise User Security für DBA Accounts verwenden –Personalisierte DBA Accounts – keine Shared User verwenden •Proxy Authentisierung für Verantwortlichkeiten nutzen –Command line Proxy seit Oracle Database 10g Release 2 –User Proxy Authentisierung für Anwendungszugriffe Oracle empfohlene Best Practices Sicherheitsworkshop für B.Braun in Melsungen 9 11. Juni 2014
  • 10. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Gesetze, Regularien, externe Einflüße Compliance DOAG SIG Security in Hamburg 10 17.9.2014
  • 11. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Es geht immer um mögliche Grundbedrohungen ... Corporate Network INTERNET Corporate Network Mobile Computing Teleworking Verlust der Integrität -Verarbeitungs-, Übertragungs- und Speicherfehler -Manipulation von Daten z. B. durch spoofing attacks: oip spoofing (IP fälschen) oDNS spoofing oWeb spoofing (Webseiten fälschen) Verlust der Vertraulichkeit -Netzverkehr abhören (sniffer attacks) -„Knacken“ kryptographischer Schlüssel und Verfahren (code breaking/key recovery) -Angriffe auf Kennwörter (password guessing/ cracking) -Falsche Rechte-Konzept Verlust der Verfügbarkeit -Ausfall -Zerstörung -Unterbrechung von Diensten (denial of service) durch: oping of death oICMP attacks oSYN flooding, etc. Verlust der Verbindlichkeit -Rechtsverbindlichkeit elektronisch abgeschlossener Verträge, wie z.B. Fax, EMail -Electronic Commerce -Gesetzesauflagen -Risiko-Früherkennung -Authentizitätscheck (Who) Schlagwörter, die als Bedrohung eingestuft werden, sind: •Hacker, Fremdpersonal, eigenes Personal, •Fehler, Ausfälle, •Fernwartung und •Wirtschaftsspionage •u.v.m. Sicherheitsworkshop für B.Braun in Melsungen 11. Juni 2014
  • 12. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Welchen externen Einflüßen sind wir ausgesetzt? Compliance, Regularien, Gesetze, Business Anforderungen etc. DOAG SIG Security in Hamburg 12 17.9.2014 Unternehmens- Organisation Basel II, Solvency II, KontraG, AktG, HGB, BilReG Branchen- oder Größenspezifisch WpHG, BAFin, FdA, GMP, MARisk, EU- Vermittlerrichtlinie Datensicherheit & Datenschutz §3, §9, §11 ff. BDSG Rechtsgrundlagen Landesspezifische Gesetze 8.-EU-Richtlinie, SOX, APAG Arbeitsrecht BetrVG: §§80 (1+2), §87(6), BildschirmarbV Rechnungslegung, Buchführung, Archivierung, Prüfung GoBS, GoB, HGB, GDPdU, IDW PS, Email- Archivierungsvorschr. § § Compliance Bedrohungen
  • 13. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Motivationslage der Unternehmungen Rechtliche Vorgaben und Entscheidungsspielräume DOAG SIG Security in Hamburg 13 17.9.2014 Rechtliche Vorgaben für IT-Sicherheit durch... Entscheidungsspielräume Verträge Gesetze Haftungs- risiken Eigen- interesse Von Ihnen verlangte IT-Sicherheit Von Ihnen gewollte IT-Sicherheit
  • 14. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Landesdatenschutzgesetz und Datenschutzverordnung Wir betrachten mal nur einen kleinen Ausschnitt 14 17.9.2014 Auschnitt LDSG §6 Abs. 2.... ... Für eine ordnungsgemäße Datenverarbeitung nach aktuellem Stand der Technik ist es zwingend notwendig, dass die administrativen Tätigkeiten nachvollziehbar sind. Das LDSG und die DSVO stellen hierfür konkrete Anforderungen. Bei jeder administrativen Tätigkeit muss stets der Ausführende ermittelt werden können ... ...Ermittlung von Risikofaktoren für den Missbrauch der Daten (bei sensibler Datenverarbeitung nach § 11 Abs. 3 LDSG Risikoanalyse als VS-nfd) unter Berücksichtigung der Schutzbedürftigkeit der Daten (§ 5 Abs. 1 u. 2 LDSG)... DOAG SIG Security in Hamburg
  • 15. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Was wäre die Lösung? Also, DBAs sichtbar machen, weil welches Risiko besteht? DOAG SIG Security in Hamburg 15 17.9.2014 Wer? DBA Welches Risiko und welchen Schutzbedarf leitet sich daraus ab? Alle DBAs werden in allen (wichtigen) Datenbanken personalisiert.
  • 16. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Komplexitätsberechung einer typischen Umgebung Komplexität bedeutet auch Verlust der Kontrolle DOAG SIG Security in Hamburg 16 17.9.2014 ComplexDBAMGMT = Count(DBAs) x Count (DB Instances) Zur Erinnerung: Das LDSG und die DSVO stellen hierfür konkrete Anforderungen. Bei jeder administrativen Tätigkeit muss stets der Ausführende ermittelt werden können. Auch Oracle empfiehlt den Einsatz von personalisierten DBAs. SYS wird nur in Ausnahmenfällen genutzt und SYSTEM wird gesperrt. Hinzu kommt, dass bestimmte Zertifizierungen (wie z.B. BSI) eine regelmäßige Änderung der Passwörter fordert. Gegeben (Ist-Situation): Eine Unternehmung betreibt 100 Datenbanken inkl. Entwicklung, Test, Integration und Abnahme DBs. Diese Datenbanken werden von 10 DBAs betreut. Jeder DBA ist in jeder DB lokal angelegt. Zusätzlich zu den Datenbanken besteht ein zentrales Benutzerrepository (MS Active Directory) 10 DBAs x 100 DB Instances ComplexDBAMGMT = 1000 ComplexDBAMGMT = Die Komplexitätszahl 1000 sagt nun aus, dass insgesamt 1000 Accounts für 10 DBAs zu betrachten sind.
  • 17. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Also, wie sieht die Realität aus? Personalisierung ist zu komplex DOAG SIG Security in Hamburg 17 17.9.2014 Anonym! DBA SYS oder SYSTEM Wegen der Komplexität werden wichtige Maßnahmen nicht implementiert! Wesentliche Maßnahmen für einen sicheren Datenbank-Betrieb werden nicht implementiert 1.Regelmäßiges Ändern von Kennwörtern 2.Keine Zwecktrennung 3.Keine personalisierten DBAs, alle DBAs arbeiten mit SYS und SYSTEM. 4.Etc.
  • 18. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Komplexität auflösen Die genannten Compliance Anforderungen implementieren wir nun mit minimalem Aufwand und maximalen positiven Benefits DOAG SIG Security in Hamburg 18 17.9.2014
  • 19. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Eine einfache Zentralisierung der Benutzer fasst Oracle unter dem Begriff „Enterprise User Security“ zusammen Enterprise User Security für DBAs (#EUS4DBAs) DOAG SIG Security in Hamburg 19 17.9.2014 Typisches Kunden-Szenario DB1 DB4 User1 DB2 DB3 DB5 User2 User4 User3 •DBA1, Kennwort, Rollen •DBA2, Kennwort, Rollen •DBA3 Kennwort, Rollen •DBA4 Kennwort, Rollen Viele Datenbanken mit jeweils lokaler Benutzerverwaltung DB1 DB4 DB2 DB3 DB5 Zentrale Benutzerverwaltung für DBs Benutzer gehören ins LDAP DBA1-4 Das Ziel für die DBAs in der Nutzung einer zentralen Benutzerverwaltung: 1.Kennwörter raus aus der DB und zentralisiertes PW- Management, 2.Rollen ins LDAP Repository, d.h. Autorisierung über LDAP Abfragen 3.Single-Sign-on (starke Authentisierung mittels Kerberos), 4.Zwecktrennung (DBA=Berechtigung in der DB, MS AD Admin=Account Management) •DBA1, Kennwort, Rollen •DBA2, Kennwort, Rollen •DBA3, Kennwort, Rollen •DBA4, Kennwort, Rollen •Globale Rollen •Globale Schema •DBA1, Kennwort, Rollen •DBA2, Kennwort, Rollen •DBA3 Kennwort, Rollen •DBA4 Kennwort, Rollen •DBA1, Kennwort, Rollen •DBA2, Kennwort, Rollen •DBA3 Kennwort, Rollen •DBA4 Kennwort, Rollen •DBA1, Kennwort, Rollen •DBA2, Kennwort, Rollen •DBA3 Kennwort, Rollen •DBA4 Kennwort, Rollen •DBA1, Kennwort, Rollen •DBA2, Kennwort, Rollen •DBA3 Kennwort, Rollen •DBA4 Kennwort, Rollen Komplexität wäre somit aufgelöst, richtig?
  • 20. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | EUS über OUD mit MS AD und Kerberos Vorhandenes Benutzerrepository nutzen DOAG SIG Security in Hamburg 20 17.9.2014 Windows Client Windows Client Ethernet orcl db.de.oracle.com ad.de.oracle.com ACTIVE DIRECTORY oud.de.oracle.com Ablauf: 1.Authentisierung an die Datenbank via Kerberos 2.DB verifiziert via Kerberos TGT 3.Datenbank fordert Benutzereintrag beim LDAP an 4.LDAP liefert den Benutzereintrag an die Datenbank zurück und fragt hierzu MS AD 5.Datenbank fordert Schemamapping und Enterprise Role an 6.LDAP liefert Schemamapping und Enterprise Role an die Datenbank zurück 7.DB autorisiert Nutzer mit der richtigen Berechtigung (Rolle) (2) Zugriff mit Desktop Client unter Benutzung TGT EUS-LDAP Operationen (1) Benutzer bekomt Kerberos TGT (Ticket Granting Ticket) OUD-Proxy EUS-Deployment: OUD und MS AD Integration •EUS wird mit Oracle Unified Directory aufgesetzt •Bestehendes MS AD wird via OUD-Proxy integriert –Benutzer aus MS AD werden im OUD virtuell sichtbar gemacht •Authentisierung via Kerberos –Benutzer authentisiert sich nur am Windows Desktop (SSO) Unified Directory
  • 21. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Vorgehen dieser Lösung ist für meine Umgebung sehr trival Kaum macht es richtig, schon funktioniert es DOAG SIG Security in Hamburg 21 17.9.2014 1 Download 4 SW-Komponenten (OUD, WLS, ADF, Java, (Patch)) 2 Installation SW Komponenten 3 OUD-Proxy aufsetzen mit Anbindung an MS AD 4 Kerberos für die Datenbank aktivieren 5 EUS auf dem DB Server aktivieren und Mapping des AD<->DB Detaillierte Beschreibung: http://cmuetzli.blogspot.co.uk/2014/08/oracle-db-security-enterprise-user.html
  • 22. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 1 Stunde Installation und Konfiguration für EUS4DBAs Leider nicht live, aber dafür in Farbe DOAG SIG Security in Hamburg 22 17.9.2014 •Installation Software Komponenten (Bring up OUD) –OUD 11gR2 –WLS 11g (10.3.6) –ADF 11g –Create ODSM Domain –Neuer Bundle Patch OUD –Create OUD-Proxy –MS AD Einstellungen übernehmen •Konfiguration Kerberos und EUS (DB anpassen) –SPN in MS AD einstellen –Keytab erstellen –Auf DB krb5 Config Dateien erstellen –Sqlnet.ora anpassen –Global Schema und Rolle erstellen –Mapping in OEM LDAP <->DB 37 Minuten 18 Minuten
  • 23. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 37 Minuten Installation – Aufbau OUD DOAG SIG Security in Hamburg 23 17.9.2014
  • 24. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 18 Minuten Kerberos und EUS Setup – Anpassung DB DOAG SIG Security in Hamburg 24 17.9.2014
  • 25. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | ORA DB ORA DB Zusammenfassung: Mehrwerte, Sinn und Zweck Warum das Ganze? Echter Kundenfall DOAG SIG Security in Hamburg 25 17.9.2014 Zentraler Userstore ACTIVE DIRECTORY Oracle Unified Directory ORA DB ORA DB •15 DBAs •300 Oracle DB Instanzen –D.h. 4500 personalisierte DBA Accounts in den DBs (mehrfach redundant) –300 PW Policies –Tausende Passwords (Resets) –Tausende Users –Viele hundert Autorisierungsregeln Sehr hoher Aufwand! •Plus alle anderen Poweruser Benutzergruppen Kerberos (starke Authentisierung) DBA1 DBA1 Redundante Benutzer und PW-verwaltung Redundante Benutzerverwaltung, zentrales PW EUS4DBAs: Eine Benutzerwaltung mit allen Policies, keine PWs, User und Policies in der DB lesend OUD-Proxy EUS: DB LDAP enabled LDAP<->DB EUS4DBAs: Eine Benutzerwaltung mit allen Policies, keine PWs, User und Policies in der DB und Zwecktrennung Zwecktrennung Account Management MS AD ADMIN DB Roles Autorisierung •User •Gruppen •Policies
  • 26. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | DOAG SIG Security in Hamburg 26 17.9.2014