SlideShare ist ein Scribd-Unternehmen logo
1 von 16
Downloaden Sie, um offline zu lesen
DTCC Pre-Sales “DB Hardening” und Oracle Security
     Pre-
Version 1.0

Carsten Mützlitz
Grundbedrohungen der IT sind nachwievor gegeben
       Vorbemerkungen
Verlust der Vertraulichkeit                                                    Verlust der Verfügbarkeit
- Netzverkehr abhören                                                          - Ausfall
  (sniffer attacks)
                                                                               - Zerstörung
- „Knacken“ kryptographischer
  Schlüssel und Verfahren                                                      - Unterbrechung von Diensten
  (code breaking/key recovery)                                                   (denial of service) durch:

- Angriffe auf Kennwörter                                                           - ping of death
  (password guessing/                      Mobile
                                                                 Teleworking        - ICMP attacks
  cracking)                               Computing
                                                      INTERNET
                                                                                    - SYN flooding, etc.
- Falsche Rechte-Konzept

                                      Corporate                    Corporate
                                       Network                      Network

- Verarbeitungs-, Übertragungs-                                                - Rechtsverbindlichkeit
  und Speicherfehler                                                             elektronisch abgeschlossener
                                                                                 Verträge, wie z.B. per:
- Manipulation von Daten z. B.        •     Schlagwörter die als                    -   Fax, E-Mail
  durch spoofing attacks:                   Bedrohung eingestuft
     - ip spoofing (IP fälschen)            werden sind:                       - Electronic Commerce
                                      •     Hacker, Fremdpersonal,             - Gesetzesauflagen
     - DNS spoofing (Fälschung              eigenes Personal,
       von DNS-Einträgen)                                                      - Risiko-Früherkennung
                                      •     Fehler, Ausfälle,
     - web spoofing (Fälschen         •     Fernwartung und                    - Authentizitätscheck (Who)
       von Webseiten)
                                      •     Wirtschaftsspionage
Verlust der Integrität                •     u.v.m.                             Verlust der Verbindlichkeit

 Eine Überwachung ist notwendig, um zu erkennen, ob eine Grundbedrohung ein Risiko darstellt.
IT wird HEUTE in das Risikomanagement einbezogen
      Darüber besteht heute weitgehend Konsens

  Die IT als Bestandteil des Risikomanagements
  • Die zunehmende Technologieabhängigkeit
    führt dazu, dass die IT-Systeme in die
    Risikobetrachtung miteinbezogen werden
  • IT Risikofaktoren sind                                Auswirkungen/Maßnahmen
       • Sicherheit: Angriffe, Schadcode,                  Aktuelle Hard/Software, Regularien, moderne
          Unautorisierte Zugriffe                          Sicherheitseinrichtungen
       • Verfügbarkeit: Ausfälle, Downtimes,               Redundante Auslegung der Systeme,
          Wartung etc.                                     Backup/Recovery, Spiegelung, Virtualisierung
       • Performance: Produktivität der                    Skalierung von IT Systemen, Nutzung von
          Endanwender/Kunden, Kundenverluste               Peaks, Grids
       • Compliance: Einhaltung von                        Aufbewahrungspflicht, Sorgfaltsanforderungen,
          behördlichen und sonstigen Vorschriften          Überwachung, Kontrolle
       • Erweiterte Haftung: KontraG,                      Risikofrüherkennung, IT Infrastruktur muss alle
          Transparenzschaffung im Jahresbericht            Anforderungen erfüllen, Prozesse
       • Ansätze des IT-Service Managements                ITIL, ISO/IEC 17799, ISO 2000, Cobit
          sollen unterstützen
        IT Sicherheit/Compliance      System Governance

Automatisierte Risikomanagement Prozesse können unterstützen: Analyse, Bewertung, Minimierung,
                                    Kontrolle, Verfolgung.
Einführung in das Härten von
Datenbanken

•   Was genau bedeutet „HÄRTEN“?
•   Welche Tools stehen zur Verfügung?
•   Was genau erreicht man durch das „HÄRTEN“?
•   Oracle Security Lösungen
Härten = Die Sicherheit eines Systems erhöhen
          Kleine Auswahl von Möglichkeiten
Härtung                  Erläuterung
                         • Unter Härten versteht man, die Sicherheit eines Systems zu erhöhen. Bas BSI sagt:
           Definition      „...die Entfernung aller Softwarebestandteile und Funktionen, die zur Erfüllung der
                           vorgesehenen Aufgabe durch das Programm nicht zwingend notwendig sind...“.

                         • Reduktion der Möglichkeiten zur Ausnutzung von Verwundbarkeiten
                         • Minimierung der möglichen Angriffsmethoden
                         • Beschränkung der einem Angreifer nach einem erfolgreichen Angriff zur Verfügung
             Ziele
                           stehenden Werkzeuge
                         • Minimierung der einem Angreifer nach einem erfolgreichen Angriff zur Verfügung
                           stehenden Privilegien
                         • Erhöhung der Wahrscheinlichkeit der Entdeckung eines erfolgreichen Angriffs
                         • Nebenziel: Komplexität verringern

                          • Entfernung/Deaktivierung von für den Betrieb nicht zwingend erforderlichen
                            Softwarekomponenten
                          • Verwendung unprivilegierter Benutzerkonten zur Ausführung von Server-Prozessen
                          • Anpassung von Dateisystemrechten und ihrer Vererbung
                          • Verwendung von chroot oder anderen Jails für die Ausführung von Software
          Methoden
                          • Verwendung von Mandatory Access Control
                          • Nutzung von Verschlüsselung, z.B. für die Datenübertragung
                          • Verwendung möglichst fehlerfreier Software ohne bekannte Verwundbarkeiten
                          • Backup Recovery, Deployment, Testing
                          • Einheitliche Admin-Umgebung, Überwachung, SLAs
Einführung in das Härten von
Datenbanken

•   Was genau bedeutet „HÄRTEN“?
•   Welche Tools stehen zur Verfügung?
•   Was genau erreicht man durch das „HÄRTEN“?
•   Oracle Security Lösungen
Welche Tools existieren für das Härten von DBs?
    Kleine Auswahl von Möglichkeiten


           Wissen                   Dokumente und Checklisten                     Tools

• Wissen schützt immer              • Im Internet vorhanden         • Security Scanner

• Fortbildungen                     • Oracle Standard               • 3rd Party
 sind Pflicht                        Listen                         • Oracle Tools




                     Egal welche Tools man nutzt. Das
                     Härten von DB-Systemen ist ein
                     manueller Vorgang, der jedoch durch
                     den Einsatz von Tools unterstützt   UNBREAKABLE
                                                           DATABASE
                     werden kann.



                  Das Härten von DB-Systemen erfordert ein umfangreiches Wissen.
Dokumente und Checklisten
            In der virtuellen Welt stehen verschiedene Dokumente zur Verfügung
Dokumente                     Erläuterung


                              • Oracle Standard Dokumentation 11g Security Guide, Sec. Checklist 10g
             Oracle           • Oracle Projekt Lockdown (Oracle Magazin):
                              • Technical Whitepaper: „Security Checkliste“ :



                              • Zahlreiche Blogs von Security Experten
        Öffentlich (privat)   • Internet googeln
                              • Bundesamt für Sicherheit in der Informationstechnik




                               •   Beratungsunternehmen
     3rd Parties (Business)    •   Softwarehersteller
                               •   Oracle Partnerunternehmen
                               •   Freiberufliche Berater




                                     Oracle liefert einigen Content ...
Oracle Tool: Der Enterprise Manager
Configuration Management Pack
Oracle Configuration Management
Schwachstellen Begutachtung & Sichere Konfiguration


                                                                                      Monitor




                            Discover   Classify     Assess      Prioritize     Fix       Monitor

                            Asset                                     Configuration
                                         Policy       Vulnerability                   Analysis &
                          Management                                  Management
                                       Management     Management                      Analytics
                                                                        & Audit




  • Datenbank Erkenntnisse darstellen (Reporting)
  • Andauerndes Scanning von 375+ Best-Practices und
    Industriestandards (“erweiterbar”)
  • Aufdecken und verhindern unautorisierte
    Konfigurationsänderungen
  • Änderungsmanagement Compliance Reports


                                                                                                   11
Einführung in das Härten von
Datenbanken

•   Was genau bedeutet „HÄRTEN“?
•   Welche Tools stehen zur Verfügung?
•   Was genau erreicht man durch das „HÄRTEN“?
•   Oracle Security Lösungen
Das HÄRTEN vermindert das Risiko
  Ein Risiko bewertet man durch eine Bedrohungs- und Risikoanalyse

                  Risiko vs. Kosten


                 Hoch



                 Risiko

                                ?Nicht gehärtetes System?




                                                 ?Gehärtetes System?

                          Geringe Kosten                               Hohe Kosten
                          Hohes Risiko                                 geringes Risiko



                Gering                                                 Kosten       Hoch




Ziel: Unwahrscheinlichkeit erhöhen, dass Risiko eintritt, bzw. die Folgen abgemildert werden.
                     Fazit: Risiken erkennt man durch Überwachnung!!!
Einführung in das Härten von
Datenbanken

•   Was genau bedeutet „HÄRTEN“?
•   Welche Tools stehen zur Verfügung?
•   Was genau erreicht man durch das „HÄRTEN“?
•   Oracle Security Lösungen
Oracle Security Lösungen
Zur Maßnahmenumsetzung und Überwachung

                                 Verschlüsselung / Maskierung
                               • Oracle Advanced Security
                               • Oracle Secure Backup
                               • Oracle Data Masking
                                 Zugriffskontrolle
                                • Oracle Database Vault
                                • Oracle Label Security
                                 Audit und Tracking
                                • Oracle Audit Vault
                                • Oracle Configuration Management
                                • Oracle Total Recall

                                 Monitoring und Blocking
                                • Oracle Database Firewall
Digitally signed by Carsten


CarstenMützlitz
       DN: cn=Carsten Mützlitz,
       c=DE, o=Oracle Deutschland,
       ou=Systemberatung,
       email=carsten.muetzlitz@oracl

Mützlitz
       e.com
       Date: 2011.04.28 08:28:03
       +01'00'

Weitere ähnliche Inhalte

Andere mochten auch

Projekte & Objekte 01 2010
Projekte & Objekte 01 2010Projekte & Objekte 01 2010
Projekte & Objekte 01 2010projekteobjekte
 
Social Media für KMUs - Konkreter Nutzen oder Verschwendung von Ressourcen
Social Media für KMUs - Konkreter Nutzen oder Verschwendung von RessourcenSocial Media für KMUs - Konkreter Nutzen oder Verschwendung von Ressourcen
Social Media für KMUs - Konkreter Nutzen oder Verschwendung von RessourcenVCAT Consulting GmbH
 
NewTeacher
NewTeacherNewTeacher
NewTeacherppoosiri
 
Transparenz Studien 2011+2012 Klenk & Hoursch
Transparenz Studien 2011+2012 Klenk & HourschTransparenz Studien 2011+2012 Klenk & Hoursch
Transparenz Studien 2011+2012 Klenk & HourschDr. Volker Klenk
 
Margelhs1
Margelhs1Margelhs1
Margelhs1kabbada
 
PROYECTO DE LEY DE REDISTRIBUCIÓN DEL GASTO SOCIAL
PROYECTO DE LEY DE REDISTRIBUCIÓN DEL GASTO SOCIALPROYECTO DE LEY DE REDISTRIBUCIÓN DEL GASTO SOCIAL
PROYECTO DE LEY DE REDISTRIBUCIÓN DEL GASTO SOCIALAndrea Mâlquïn Maura
 
Innovationen durch Netzwerke - Beispiele aus Niedersachsen
Innovationen durch Netzwerke - Beispiele aus NiedersachsenInnovationen durch Netzwerke - Beispiele aus Niedersachsen
Innovationen durch Netzwerke - Beispiele aus NiedersachsenMario Leupold
 
Groups 2010.02: Offenheit des Android-Betriebssystems (Digital Sustainability)
Groups 2010.02: Offenheit des Android-Betriebssystems (Digital Sustainability)Groups 2010.02: Offenheit des Android-Betriebssystems (Digital Sustainability)
Groups 2010.02: Offenheit des Android-Betriebssystems (Digital Sustainability)Marcus Dapp
 
40 Thesen Unternehmenskommunikation, 2005
40 Thesen Unternehmenskommunikation, 200540 Thesen Unternehmenskommunikation, 2005
40 Thesen Unternehmenskommunikation, 2005Dr. Volker Klenk
 
Groups 2010.05: Google Street View Debatte (Digital Sustainability)
Groups 2010.05:  Google Street View Debatte (Digital Sustainability)Groups 2010.05:  Google Street View Debatte (Digital Sustainability)
Groups 2010.05: Google Street View Debatte (Digital Sustainability)Marcus Dapp
 

Andere mochten auch (20)

Projekte & Objekte 01 2010
Projekte & Objekte 01 2010Projekte & Objekte 01 2010
Projekte & Objekte 01 2010
 
htaccess SEO Tipps
htaccess SEO Tippshtaccess SEO Tipps
htaccess SEO Tipps
 
9 10
9 109 10
9 10
 
Marke Gott - Die Wiedergeburt in Lebenswelten
Marke Gott - Die Wiedergeburt in LebensweltenMarke Gott - Die Wiedergeburt in Lebenswelten
Marke Gott - Die Wiedergeburt in Lebenswelten
 
Social Media für KMUs - Konkreter Nutzen oder Verschwendung von Ressourcen
Social Media für KMUs - Konkreter Nutzen oder Verschwendung von RessourcenSocial Media für KMUs - Konkreter Nutzen oder Verschwendung von Ressourcen
Social Media für KMUs - Konkreter Nutzen oder Verschwendung von Ressourcen
 
Web 2
Web 2Web 2
Web 2
 
NewTeacher
NewTeacherNewTeacher
NewTeacher
 
Transparenz Studien 2011+2012 Klenk & Hoursch
Transparenz Studien 2011+2012 Klenk & HourschTransparenz Studien 2011+2012 Klenk & Hoursch
Transparenz Studien 2011+2012 Klenk & Hoursch
 
Rau innsbruck gut_informiert
Rau innsbruck gut_informiertRau innsbruck gut_informiert
Rau innsbruck gut_informiert
 
Nistagmus
NistagmusNistagmus
Nistagmus
 
Margelhs1
Margelhs1Margelhs1
Margelhs1
 
Slideshare
SlideshareSlideshare
Slideshare
 
PROYECTO DE LEY DE REDISTRIBUCIÓN DEL GASTO SOCIAL
PROYECTO DE LEY DE REDISTRIBUCIÓN DEL GASTO SOCIALPROYECTO DE LEY DE REDISTRIBUCIÓN DEL GASTO SOCIAL
PROYECTO DE LEY DE REDISTRIBUCIÓN DEL GASTO SOCIAL
 
Pmcdsp v5
Pmcdsp v5Pmcdsp v5
Pmcdsp v5
 
Innovationen durch Netzwerke - Beispiele aus Niedersachsen
Innovationen durch Netzwerke - Beispiele aus NiedersachsenInnovationen durch Netzwerke - Beispiele aus Niedersachsen
Innovationen durch Netzwerke - Beispiele aus Niedersachsen
 
Groups 2010.02: Offenheit des Android-Betriebssystems (Digital Sustainability)
Groups 2010.02: Offenheit des Android-Betriebssystems (Digital Sustainability)Groups 2010.02: Offenheit des Android-Betriebssystems (Digital Sustainability)
Groups 2010.02: Offenheit des Android-Betriebssystems (Digital Sustainability)
 
Game domain b1b
Game domain b1bGame domain b1b
Game domain b1b
 
40 Thesen Unternehmenskommunikation, 2005
40 Thesen Unternehmenskommunikation, 200540 Thesen Unternehmenskommunikation, 2005
40 Thesen Unternehmenskommunikation, 2005
 
Groups 2010.05: Google Street View Debatte (Digital Sustainability)
Groups 2010.05:  Google Street View Debatte (Digital Sustainability)Groups 2010.05:  Google Street View Debatte (Digital Sustainability)
Groups 2010.05: Google Street View Debatte (Digital Sustainability)
 
Tesco Case Study
Tesco Case StudyTesco Case Study
Tesco Case Study
 

Ähnlich wie Hardening Oracle Databases (German)

Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftFraunhofer AISEC
 
Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)Carsten Muetzlitz
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmeNoCodeHardening
 
Splunk corporate overview German 2012
Splunk corporate overview German 2012Splunk corporate overview German 2012
Splunk corporate overview German 2012jenny_splunk
 
Compliance needs transparency
Compliance needs transparencyCompliance needs transparency
Compliance needs transparencyBalaBit
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!Carsten Cordes
 
Datenrettung in Virtuellen Umgebungen
Datenrettung in Virtuellen UmgebungenDatenrettung in Virtuellen Umgebungen
Datenrettung in Virtuellen UmgebungenKroll Ontrack GmbH
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Securitykuehlhaus AG
 
Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicCarsten Muetzlitz
 
Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024
Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024
Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024Splunk EMEA
 
CryptionPro HDD Flyer deutsch
CryptionPro HDD Flyer deutschCryptionPro HDD Flyer deutsch
CryptionPro HDD Flyer deutschcynapspro GmbH
 
CryptionPro HDD Flyer deutsch
CryptionPro HDD Flyer deutschCryptionPro HDD Flyer deutsch
CryptionPro HDD Flyer deutschcynapspro GmbH
 
Die Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP SicherheitDie Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP SicherheitVirtual Forge
 
+ Self Defending Network V2
+ Self Defending Network V2+ Self Defending Network V2
+ Self Defending Network V2Werner Buhre
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasCarsten Muetzlitz
 
Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse
Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse
Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse QAware GmbH
 
Oracle Cloud
Oracle CloudOracle Cloud
Oracle CloudTim Cole
 
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?QAware GmbH
 

Ähnlich wie Hardening Oracle Databases (German) (20)

Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der Wissenschaft
 
Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
 
Splunk corporate overview German 2012
Splunk corporate overview German 2012Splunk corporate overview German 2012
Splunk corporate overview German 2012
 
Compliance needs transparency
Compliance needs transparencyCompliance needs transparency
Compliance needs transparency
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
 
Datenrettung in Virtuellen Umgebungen
Datenrettung in Virtuellen UmgebungenDatenrettung in Virtuellen Umgebungen
Datenrettung in Virtuellen Umgebungen
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Security
 
Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativ
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
 
Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024
Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024
Transparenz? Leicht und zentral - Splunk Public Sector Summit 2024
 
CryptionPro HDD Flyer deutsch
CryptionPro HDD Flyer deutschCryptionPro HDD Flyer deutsch
CryptionPro HDD Flyer deutsch
 
CryptionPro HDD Flyer deutsch
CryptionPro HDD Flyer deutschCryptionPro HDD Flyer deutsch
CryptionPro HDD Flyer deutsch
 
Die Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP SicherheitDie Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP Sicherheit
 
+ Self Defending Network V2
+ Self Defending Network V2+ Self Defending Network V2
+ Self Defending Network V2
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
 
Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse
Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse
Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse
 
Oracle Cloud
Oracle CloudOracle Cloud
Oracle Cloud
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
 
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
 

Mehr von Carsten Muetzlitz

Einführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle DeutschlandEinführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle DeutschlandCarsten Muetzlitz
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Carsten Muetzlitz
 
Secure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstSecure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstCarsten Muetzlitz
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiCarsten Muetzlitz
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitCarsten Muetzlitz
 
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...Carsten Muetzlitz
 
Oracle Secure Patching Concept
Oracle Secure Patching ConceptOracle Secure Patching Concept
Oracle Secure Patching ConceptCarsten Muetzlitz
 
Oracle Application Express enabled to use central User Management (LDAP) (in ...
Oracle Application Express enabled to use central User Management (LDAP) (in ...Oracle Application Express enabled to use central User Management (LDAP) (in ...
Oracle Application Express enabled to use central User Management (LDAP) (in ...Carsten Muetzlitz
 

Mehr von Carsten Muetzlitz (8)

Einführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle DeutschlandEinführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle Deutschland
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
 
Secure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstSecure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin Obst
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal Soszynski
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
 
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
 
Oracle Secure Patching Concept
Oracle Secure Patching ConceptOracle Secure Patching Concept
Oracle Secure Patching Concept
 
Oracle Application Express enabled to use central User Management (LDAP) (in ...
Oracle Application Express enabled to use central User Management (LDAP) (in ...Oracle Application Express enabled to use central User Management (LDAP) (in ...
Oracle Application Express enabled to use central User Management (LDAP) (in ...
 

Hardening Oracle Databases (German)

  • 1.
  • 2. DTCC Pre-Sales “DB Hardening” und Oracle Security Pre- Version 1.0 Carsten Mützlitz
  • 3. Grundbedrohungen der IT sind nachwievor gegeben Vorbemerkungen Verlust der Vertraulichkeit Verlust der Verfügbarkeit - Netzverkehr abhören - Ausfall (sniffer attacks) - Zerstörung - „Knacken“ kryptographischer Schlüssel und Verfahren - Unterbrechung von Diensten (code breaking/key recovery) (denial of service) durch: - Angriffe auf Kennwörter - ping of death (password guessing/ Mobile Teleworking - ICMP attacks cracking) Computing INTERNET - SYN flooding, etc. - Falsche Rechte-Konzept Corporate Corporate Network Network - Verarbeitungs-, Übertragungs- - Rechtsverbindlichkeit und Speicherfehler elektronisch abgeschlossener Verträge, wie z.B. per: - Manipulation von Daten z. B. • Schlagwörter die als - Fax, E-Mail durch spoofing attacks: Bedrohung eingestuft - ip spoofing (IP fälschen) werden sind: - Electronic Commerce • Hacker, Fremdpersonal, - Gesetzesauflagen - DNS spoofing (Fälschung eigenes Personal, von DNS-Einträgen) - Risiko-Früherkennung • Fehler, Ausfälle, - web spoofing (Fälschen • Fernwartung und - Authentizitätscheck (Who) von Webseiten) • Wirtschaftsspionage Verlust der Integrität • u.v.m. Verlust der Verbindlichkeit Eine Überwachung ist notwendig, um zu erkennen, ob eine Grundbedrohung ein Risiko darstellt.
  • 4. IT wird HEUTE in das Risikomanagement einbezogen Darüber besteht heute weitgehend Konsens Die IT als Bestandteil des Risikomanagements • Die zunehmende Technologieabhängigkeit führt dazu, dass die IT-Systeme in die Risikobetrachtung miteinbezogen werden • IT Risikofaktoren sind Auswirkungen/Maßnahmen • Sicherheit: Angriffe, Schadcode, Aktuelle Hard/Software, Regularien, moderne Unautorisierte Zugriffe Sicherheitseinrichtungen • Verfügbarkeit: Ausfälle, Downtimes, Redundante Auslegung der Systeme, Wartung etc. Backup/Recovery, Spiegelung, Virtualisierung • Performance: Produktivität der Skalierung von IT Systemen, Nutzung von Endanwender/Kunden, Kundenverluste Peaks, Grids • Compliance: Einhaltung von Aufbewahrungspflicht, Sorgfaltsanforderungen, behördlichen und sonstigen Vorschriften Überwachung, Kontrolle • Erweiterte Haftung: KontraG, Risikofrüherkennung, IT Infrastruktur muss alle Transparenzschaffung im Jahresbericht Anforderungen erfüllen, Prozesse • Ansätze des IT-Service Managements ITIL, ISO/IEC 17799, ISO 2000, Cobit sollen unterstützen IT Sicherheit/Compliance System Governance Automatisierte Risikomanagement Prozesse können unterstützen: Analyse, Bewertung, Minimierung, Kontrolle, Verfolgung.
  • 5. Einführung in das Härten von Datenbanken • Was genau bedeutet „HÄRTEN“? • Welche Tools stehen zur Verfügung? • Was genau erreicht man durch das „HÄRTEN“? • Oracle Security Lösungen
  • 6. Härten = Die Sicherheit eines Systems erhöhen Kleine Auswahl von Möglichkeiten Härtung Erläuterung • Unter Härten versteht man, die Sicherheit eines Systems zu erhöhen. Bas BSI sagt: Definition „...die Entfernung aller Softwarebestandteile und Funktionen, die zur Erfüllung der vorgesehenen Aufgabe durch das Programm nicht zwingend notwendig sind...“. • Reduktion der Möglichkeiten zur Ausnutzung von Verwundbarkeiten • Minimierung der möglichen Angriffsmethoden • Beschränkung der einem Angreifer nach einem erfolgreichen Angriff zur Verfügung Ziele stehenden Werkzeuge • Minimierung der einem Angreifer nach einem erfolgreichen Angriff zur Verfügung stehenden Privilegien • Erhöhung der Wahrscheinlichkeit der Entdeckung eines erfolgreichen Angriffs • Nebenziel: Komplexität verringern • Entfernung/Deaktivierung von für den Betrieb nicht zwingend erforderlichen Softwarekomponenten • Verwendung unprivilegierter Benutzerkonten zur Ausführung von Server-Prozessen • Anpassung von Dateisystemrechten und ihrer Vererbung • Verwendung von chroot oder anderen Jails für die Ausführung von Software Methoden • Verwendung von Mandatory Access Control • Nutzung von Verschlüsselung, z.B. für die Datenübertragung • Verwendung möglichst fehlerfreier Software ohne bekannte Verwundbarkeiten • Backup Recovery, Deployment, Testing • Einheitliche Admin-Umgebung, Überwachung, SLAs
  • 7. Einführung in das Härten von Datenbanken • Was genau bedeutet „HÄRTEN“? • Welche Tools stehen zur Verfügung? • Was genau erreicht man durch das „HÄRTEN“? • Oracle Security Lösungen
  • 8. Welche Tools existieren für das Härten von DBs? Kleine Auswahl von Möglichkeiten Wissen Dokumente und Checklisten Tools • Wissen schützt immer • Im Internet vorhanden • Security Scanner • Fortbildungen • Oracle Standard • 3rd Party sind Pflicht Listen • Oracle Tools Egal welche Tools man nutzt. Das Härten von DB-Systemen ist ein manueller Vorgang, der jedoch durch den Einsatz von Tools unterstützt UNBREAKABLE DATABASE werden kann. Das Härten von DB-Systemen erfordert ein umfangreiches Wissen.
  • 9. Dokumente und Checklisten In der virtuellen Welt stehen verschiedene Dokumente zur Verfügung Dokumente Erläuterung • Oracle Standard Dokumentation 11g Security Guide, Sec. Checklist 10g Oracle • Oracle Projekt Lockdown (Oracle Magazin): • Technical Whitepaper: „Security Checkliste“ : • Zahlreiche Blogs von Security Experten Öffentlich (privat) • Internet googeln • Bundesamt für Sicherheit in der Informationstechnik • Beratungsunternehmen 3rd Parties (Business) • Softwarehersteller • Oracle Partnerunternehmen • Freiberufliche Berater Oracle liefert einigen Content ...
  • 10. Oracle Tool: Der Enterprise Manager Configuration Management Pack
  • 11. Oracle Configuration Management Schwachstellen Begutachtung & Sichere Konfiguration Monitor Discover Classify Assess Prioritize Fix Monitor Asset Configuration Policy Vulnerability Analysis & Management Management Management Management Analytics & Audit • Datenbank Erkenntnisse darstellen (Reporting) • Andauerndes Scanning von 375+ Best-Practices und Industriestandards (“erweiterbar”) • Aufdecken und verhindern unautorisierte Konfigurationsänderungen • Änderungsmanagement Compliance Reports 11
  • 12. Einführung in das Härten von Datenbanken • Was genau bedeutet „HÄRTEN“? • Welche Tools stehen zur Verfügung? • Was genau erreicht man durch das „HÄRTEN“? • Oracle Security Lösungen
  • 13. Das HÄRTEN vermindert das Risiko Ein Risiko bewertet man durch eine Bedrohungs- und Risikoanalyse Risiko vs. Kosten Hoch Risiko ?Nicht gehärtetes System? ?Gehärtetes System? Geringe Kosten Hohe Kosten Hohes Risiko geringes Risiko Gering Kosten Hoch Ziel: Unwahrscheinlichkeit erhöhen, dass Risiko eintritt, bzw. die Folgen abgemildert werden. Fazit: Risiken erkennt man durch Überwachnung!!!
  • 14. Einführung in das Härten von Datenbanken • Was genau bedeutet „HÄRTEN“? • Welche Tools stehen zur Verfügung? • Was genau erreicht man durch das „HÄRTEN“? • Oracle Security Lösungen
  • 15. Oracle Security Lösungen Zur Maßnahmenumsetzung und Überwachung Verschlüsselung / Maskierung • Oracle Advanced Security • Oracle Secure Backup • Oracle Data Masking Zugriffskontrolle • Oracle Database Vault • Oracle Label Security Audit und Tracking • Oracle Audit Vault • Oracle Configuration Management • Oracle Total Recall Monitoring und Blocking • Oracle Database Firewall
  • 16. Digitally signed by Carsten CarstenMützlitz DN: cn=Carsten Mützlitz, c=DE, o=Oracle Deutschland, ou=Systemberatung, email=carsten.muetzlitz@oracl Mützlitz e.com Date: 2011.04.28 08:28:03 +01'00'