SlideShare ist ein Scribd-Unternehmen logo
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.1
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.2
Wann haben Sie das letzte
Mal die Sicherheit Ihrer
Datenbank geprüft?
Carsten Mützlitz (Oracle)
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.3
YOUR FUTURE
SECURE
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.4
AGENDA
15:00
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.5
CONTROLCONTROL
GEHT es EIGENTLICH bei der
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.6
SECURITY
INSIDE
OUT
RISIKEN sind unter KONTROLLERISIKEN sind unter KONTROLLE
REALITÄT oder WUNSCH?REALITÄT oder WUNSCH?
BEDROHUNGEN VERHINDERNBEDROHUNGEN VERHINDERN
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.7
SECURITY
BETWEEN SYSTEMS
SECURITY
AT EACH LAYER
SECURITY
BETWEEN LAYERS
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
Vorweg I muss betrachtet werden
FOKUSFOKUS
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.8
The best weapon with which to defend
information is information!
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.8
Vorweg II: You even a
Siehe Beispiel Spiegel – Online
http://www.spiegel.de/netzwelt/web/carna-botnet-internet-zensus-mit-hacker-methoden-a-890225.html
• Ziel das Internet zu vermessen:
• Telnet Scanner scannt die Router im Internet ab mit Standard-Kennwörtern
mit root:root, admin:admin Scans an beliebige IP-Adressen
- Hat bei Hunderttausenden von Rechnern funktioniert
• Ergebnis: Aufbau eines Botznets mit 420.000 Rechnern zur Vermessung des Internets
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.9
SERVICE
Verfügbarkeit
Compliance
Nachhaltig-
keit
Konfiguration
Zugriffs-
kontrolle
Monitoring
Audit
aus vielen
Konzepte sind vorhanden. Aber leider teilweise gar nicht oder falsch implementiert!
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.10
• Sichere Konfiguration?
• Verfügbarkeit umgesetzt?
• Überwachung eingestellt?
• Zugriffskontrolle
implementiert?
• Compliance und
Nachhaltigkeit
vorbereitet?
zeigen einen neutralen
aber besorgten Blick auf
die
Hunderte DB Sec.
Reviews
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.11
Nichts, was man nicht besser machen kann
1. Kaum Wissen und keine Verantwortungen (AKVs) definiert
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.11
2. Selten eigene Mindestsicherheit implementiert
3. Schwache Zugriffskontrolle und Zwecktrennung
4. Erhöhte Komplexität / falsche Konzepte
5. Verfügbarkeit entsprechend Anforderungen?
6. Schwaches oder kein Audit/Überwachung
und zusammengefasst
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.12
• Schutzbedarf der Daten nicht
definiert und Daten selten
klassifiziert
• Kaum Wissen über gesetzliche
Anforderungen
• Kaum wirkliches Wissen über den
notwendigen Schutzbedarf
• Wenig definierte Verantwortung
• Kaum Wissen über neue
Funktionen/Konzepte und
abgelaufene Funktionen
Kaum über den notwendigen
Organisatorische Lösung innerhalb der Unternehmung ist gefordert.
1.
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.13
• Kein Mindest-Audit eingestellt
• Kein Password-Management
• Kein Profiling/Resourcen-Mgmt.
• Unsicherer Umgang mit
Accounts und Privilegien
• Kein Patching Konzept
• Falsches (Public) DB Links Setup
• Keine sichere Konfiguration
• Viele Default Einstellungen
Keine eigene implementiert
Secure DB Configuration in der Online Dokumentation nutzen und anpassen.
2.
11.2: Keeping your database secure: http://docs.oracle.com/cd/E25054_01/network.1111/e16543/guidelines.htm
12.1: Keeping your database secure: http://docs.oracle.com/cd/E16655_01/network.121/e17607/guidelines.htm#CHDCEBFA
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.14
Keine eigene implementiert
Nicht, wie oft gepachted werden muss, sondern wann gepachted werden muss!
Graceperiode beachten!
2.
Patching:
Oracle Patch Management Best Practice http://www.oracle.com/us/support/assurance/leveraging-cpu-wp-164638.pdf
Auch wenn Tausende Instancen zu bedienen
sind, sollte man im Vorfeld entscheiden,
wann gepatched werden muss
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.15
Keine eigene implementiert
Pro Benutzergruppem ein Profil. Password-Komplexität einstellen mind. 9 Zeichen.
2.
Profiling/PW-Mgmt:
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.16
Keine eigene implementiert
Aktivieren Sie eine definierte Mindestsicherheit für alle Datenbanken.
2.
Sicheres DB Link Setup Endanwender sichtbar PW-Änderungen
... ...
Die Autorisierung übernimmt
meistens die Anwendung, denn
nur die kennt den Enduser
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.17
Implementieren Sie diese 10 Schritte und erweitern Sie diese entsprechend des Schutzbedarfs.
1. Password für SYS / SYSTEM
• Passwords ändern und starke Komplexität wählen
2. Lock, expire und PW ändern für ungenutzte User
• Installieren Sie nur das, was benötigt wird
• Siehe hierzu Note 472937.1
3. Zugriff auf Oracle Home und Files einschränken
• Der oracle Account sollte alle Files besitzen
• Kein Benutzer außerhalb der Oracle Gruppen sollte Zugriff
auf die Files haben
4. Review Database Privileges
• Das Konzept „least privilege“ sollte angewendet sein
• Siehe Note 1347470.1 - Master Note For Privileges And
Roles
5. Revoke Privileges from Public
• Vorsichtige Vergabe von Privilegien an PUBLIC
6. Data Dictionary schützen
• O7_DICTIONARY_ACCESSIBILITY=FALSE
7. Set REMOTE_OS_AUTHENT to FALSE (8i, 9i, 10g)
• DB wird keiner Client-Authentizierung trauen
8. Listener und Netzwerkverbindungen schützen
• Listener schützen auf Basis der Oracle Guidelines
• Netzwerk verschlüsseln mit jeder DB Edition
9. Datenbank Host schützen
• Firewall nutzen
• Gehärtete Betriebssysteme (Windows/Unix)
• Patches zeitnah einspielen (CPU und Security Alerts)
10. Prüfung der Oracle Security Alerts und CPUs
• Neuste Informationen abonnieren
• Jedes Security Patch Update überprüfen und wenn nötig zeitnah
einspielen
10 Schritte für eine Mindestsicherheit: 10 Basic Steps to Make Your DB Secure from Attacks [ID 1545816.1]
Keine eigene implementiert2.
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.18
• Kein least Privileg Konzept
• Zugriffskonzepte ausgehebelt
• Standardrollen (wie RESOURCE)
• Public übermächtig
• Falsches Rollenverständnis (DBA)
• Keine Zwecktrennung (Apps-
Owner, DBAs greifen auf APP zu,
Account-Mgmt. über viele User)
Komplexe und kaum
Trotz implementierter Zugriffskontrolle wird diese ausgehebelt und Gesetze nicht erfüllt.
3.
Zwecktrennung Privileged
Users
Public DB Links, DB Links
auf die gleiche DB und
Grants an Public
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.19
Komplexe und kaum3.
• Zu komplexe Rollen Konzepte
• Zu viele nicht notwendige
Grants
• Nutzung von Standardrollen
• Doppelte Rollen
• Redundante Privilegien
• Komplexität ist die
Grundbedrohung der Kontrolle
• Trotz komplexem Konzept
Aushebelung, z.B. durch Grants
an Public und DB Links
Komplexität beherrscht die Zugriffskontrolle:
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.20
Komplexe und kaum3.
• Berechtigungen an Rollen und
User
• keine einheitlichen Konzepte
implementiert
• Entstehung von Redundanzen
• Kontrolle in komplexen
Umgebungen sehr
unwahrscheinlich
• Keine Rollen, nur direkte Grants
= Mehraufwand wenn gleicher
Zugriff für mehr als ein User
notwendig
Komplexität beherrscht die Zugriffskontrolle:
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.21
Komplexe und kaum3.
• Anwendungsowner und –user
werden nicht korrekt getrennt
• Anwendungsowner bekommen
zu viele Berechtigungen
• Keine Kontrolle unerlaubter
Zugriffe z.B.
- Anwendung oder
- SQL Developer greift zu
• Konzepte werden nicht
erzwungen
• Zwecktrennung wird nicht
beachtet
• Audit wird nicht eingeschaltet
• DBAs sind nicht zuständig
Hochprivilegierte Anwendungsowner:
SchemaSchema
OOwnerwner
SchemaSchema
APPUSERAPPUSER
RELEASERELEASE
ManagerManager Install and change
objects
Admins
Endbenutzer
Apps-Server
mit DBA Rolemit DBA Role
Falsches Setup
Hat man keinen Ein-
fluß dieses Setup zu
ändern, sollte man
für eigene Setups wie
DB Links, Reporting-
user etc. Anwend-
ungsuser aktivieren,
die minimale Rechte
besitzen.
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.22
Komplexe und kaum3.
• Wer greift auf die DB zu?
• DB Link Setup entsprechend
Least Privileg?
• Public DB Links sind sehr
gefährlich
• Zwecktrennung implementiert?
- DBA greift auf Anwendungs-
objekte in einer entfernten DB
zu
• DB Links nicht sicher
konfiguriert (MOS Doc ID
264872.1 bekannt oder Hinweis im
License-Guide?)
DB Links:
host10.de
….
host2.de
host1.de
DB
Zugriffe über DB
Links zu entfernten
DBs
Zugriffe über DB
Links zu entfernten
DBs
Zugriffe von entfernter
DB über den
DBLINK-User
Zugriffe von entfernter
DB über den
DBLINK-User
Teilweise starke
Privilegien. Keine
Protokollierung!
Teilweise starke
Privilegien. Keine
Protokollierung!
Mit 12c besseres Audit möglich, auch die entfernten DB
Link Zugriffe (auch mit 11g) können überwacht werden
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.23
Komplexe und kaum3.
• Zu viele ANY Grants
(kein Least Privileg Konzept?)
• Zu viele Grants gefährlicher
Rollen (IMP FULL DB)
• Kein Schutz für gefährliche
Rollen (Secure Application
Roles) implementiert
• Keine Überwachung der
Nutzung gefährlicher Privilegien
Gefährliche Privilegien:
DB
Privilege Analysis mit 12c
Create…
Drop…
Modify…
DBA role
APPADMIN role
SELECT ANY…
ALTER USER…
BECOME USER…
EXP_FULL_DB…
DBA role
…
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.24
Komplexe und kaum3.
• Password-File ist erstellt
• Remote-Administrierung wird
nicht ausgeführt
• Die DBAs nutzen ein Terminal
am lokalen Server (ssh/telnet)
? Wofür braucht man dann eine
Password-Datei?
Password-Datei:
DB
……………
……………
……………
……………
…
PASSWORD-File
INIT.ORA
REMOTE_LOGIN_PASSWORDFILE = EXCLUSIVE
Admins
Administration immer
über die Konsole als
„oracle“ Unix-User:
sqlplus / as sysdba
Eingeschaltete Multithreading Architektur in 12c erfordert eine Password-Datei für die SYS-
Authentisierung. ALTER SYSTEM SET threaded_execution=TRUE SCOPE=SPFILE;
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.25
Komplexe und kaum3.
• Trotz Forderung aus Gesetzen
(DSV/LDSG) sind DBAs selten
personalisiert
• Gearbeitet wird stattdessen als
„oracle“, SYS und SYSTEM
• Wofür wird SYS und wofür
SYSTEM genutzt?
Personalisierung:
SYSSYS
SYSTEMSYSTEM
DBADBA
NameName Kunden DBA
Standard
SYSDBA
Standard
DBA
Kunde
DBA
Standard Oracle DBA
Standard Oracle SYSDBA Falsches
Setup
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.26
Komplexe und kaum3.
• Keine personalisierten DBAs
• DB Links mit vollem Zugriff
• Apps-Owner für Anwendung
und Tools wie SQL Developer in
Gebrauch
• DB-Accounts mit vollem Zugriff
auf alle Objekte
• Keine Trennung entsprechend
AVKs
• Keine Zwecktrennung im
Auditing (FGA)
• Jeder DB User darf alles machen
(PUBLIC GRANTS)
Unerlaubte Zugriffe/Zwecktrennung:
APPS-Owner
Endbenutzer
Apps-Server
APPS-User
Endbenutzer
Apps-Server
Falsches SetupRichtiges Setup
Hat man keinen Ein-
fluß dieses Setup zu
ändern, sollte man
für eigene Setups wie
DB Links, Reporting-
user etc. Anwend-
ungsuser aktivieren,
die minimale Rechte
besitzen.
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.27
Komplexe und kaum3.
• Keine Trennung entsprechend
AVKs
• Gerade in der Administration
kann jeder DBA alles machen
• DBA Separation of Duty nicht
implementiert
• Keine delegated Administration
• Kein einheitliches Account-
Management
Zwecktrennung:
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.28
Komplexe und kaum3.
• Autorisierung nur in der
Anwendung
• Anwendungssicherheit muss
perfekt sein
• Es wird auf den
Anwendungsowner mit all
seinen Berechtigungen operiert
• Endbenutzer nicht bekannt
Autorisierung in der Anwendung:
Mögliche Schutzmaßnahme: DB Firewall oder Enduser sichtbar machen und in DB autorisieren.
Schema OSchema Ownerwner
Schema APPUSERSchema APPUSER
DBA SYSTEMDBA SYSTEM
Administratiert
die DB
Shared
Admins
CONNECT
APPS
APPSAPPS
Gesicherte
Leitung,
Zugriff über
die
Anwendung
Endusers
Client:
Browser oder
Fat Client
Installation
Application
Server
Berechtigungen:
CONNECT
RESOURCE
UNLIMITED TABLESPACE
SELECT ANY, DELETE ANY...
Connection autorisiert für
den kompletten
Datenzugriff (DML, DDL)
Unerlaubte Zugriffe nicht
sichtbar, kein Audit aktiviert
Falsches
Setup
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.29
Lösung transparentes ILM
• Falsche Konzepte erhöhen die
Komplexität bzgl. der
Zugriffskontrolle erheblich
• Keine Autorisierung in der DB,
kein garantierter Schutz in der
Anwendung
• Kein übergreifender Schutz von
Daten auch außerhalb der DB
Erhöhte und
Komplexe Konzepte im Umgang mit Daten generieren eine kaum mögliche Kontrolle.
4.
APPS-Database
APPS-Schema: APPS-Schema Copy:
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.30
Erhöhte und4.
0101101110101010010100100100001000
1010101101001011010011100001010010
Archive Data
011100001010001011011
101010100101001001000
010001010101101001011
010101001010010010001
30
Hot Data
Aktueller Datenbestand
Warm Data
1010101011101010011010111000010100
0101101110101010010100100100001000
1010101101001011010011100001010010
0101000010010000100010101011010010
Datenbestand im
mittleren Zugriff
1000010100100101001010110111000010
101010101110101001101011100001010001011011
101010100101001001000010001010101101001011
010011100001010010010100001001000010001010
101010101110101001101011100001010001011011
Archivierte Daten
01110101010010
10000100010101
01011100001010
10101010111010100110101
11000010100010110111010
10100101001001000010001
01010110100101101001110
00010100100101000010010
00010001010101110011010
10100101001001000010001
1110010100100101001010110111011010
101010101110101001101011100001011101011001
Automatische Datenoptimierung mit 12c/11g (Information Lifecycle Mgmt.):
Transparente Konzepte nutzen, die nicht die Sicherheit und Kontrolle komplexer machen.
Eine
Table
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.31
Erhöhte und4.
31
Ein Vier-Augenprinzip kann z.B. mit DB Vault erzwungen werden.
organisatorisches
Vieraugenprinzip
½ PASSWORD
xxyyzz
½ PASSWORD
ssttuu
Procurement
Finance
Export
Datapump
Data Unloader
DUAL Connect Check
Rule Set: Dual Connect for Unloader
and Approver
• Rule 1: Check if approver and
Unloader is logged in
• Rule 2: Allow Connect for other
users
• Map Command: Map command
CONNECT to Rule Set
CONNECT for export Data
Data Loader
Approver
CONNECT for approvalCONNECT for export Data
HR
erzwungenes
Vieraugenprinzip
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.32
• Umgang mit sensiblen Daten
• Kein oder wenig Datenschutz
eingestellt
• Daten außerhalb der Datenbank
nicht geschützt
• Keine Sicherheitszonen definiert
• Keine Überwachung des Zugriffs
• Kontrollverlust, wenn die Daten
die DB verlassen
Erhöhte und
Datenschutz für sensible Daten einstellen, gerade dann wenn die Daten die DB verlassen.
4.
Datenschutz einstellen?
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.33
Risiken und Anforderungen
müssen bekannt sein, nur dann
kann man sich schützen
• HA Anforderungen nicht immer
definiert
• Glaube vs. Wissen
• Backup falsch aufgesetzt
• Wenig Schutz vor geplanten
Ausfallzeiten (Transient logical
Standy, Rolling Upgrades)
entsprechend Anforderungen
Verfügbarkeitsanforderungen erfüllen und nicht nur vor ungeplanten Ausfallzeiten schützen.
5.
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.34
Gesetze erfordern eine
Protokollierung!
• Trotz gesetzlicher Anforderungen kein
Audit eingestellt
• Objektzugriffe, werden nicht oder sehr
selten protokolliert
• Wichtige SYS-Objekte werden nicht
überwacht
• Unerlaubte Zugriffe werden nicht
erkannt
• Keine Überwachung des Zugriffs auf
sensible Objekte wie SYS.% und
Anwendungsobjekte
Schwaches oder kein
Audit ist unerläßlich, damit man die Kontrolle nicht verliert. Es gibt keine Ausreden!
6.
Gesetzliche Anforderungen erfüllt?
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.35
YOUR FUTURE
SECURE
Hat das einen Nutzen?
Warum?
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.36
Source: Darwin Underwriters Insurance: Data Loss Calculator.
http://www.tech-404.com/calculator.html
Beispiel:
50.000 gestohlene Datensätze
Generelle Aussage: Ein Datendiebstahl wird immer hohe Aufwände erzeugen.
Kostenrahmen
$6,6 - 9,9 Million
50.000 gestohlene Datensätze kosten ein Unternehmen durchschnittlich > 1 Mill. €
Interne
Analyse
Kunden
Info
Strafen
Poneman Institut sagt
88%88% der DatendiebstähleDatendiebstähle entstehen nicht
durch Cracker, sondern sind auf
NachlässigkeitNachlässigkeit zurückzuführen!
Quelle: http://www.computerwoche.de/a/datendiebstahl-kommt-opfer-
immer-teurer-zu-stehen,1886090
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.37
Technologie
Lösungen
Geschäfts-
anforderungen
Produktivität
erhöhen
Risiko
vermindern
Finden Sie Ihren
Return on Investment
Direkter monetärer ROI
• Menschlichen Aufwand verrringern
• Kostenintensive Verzögerungen
verringern
• Kosten für Compliance/Security
verringern
Indirekter monetärer ROI
• Produktivität erhöhen und Risiken
verringern
• Wissen erlangen (weg von GLAUBEN)
• Erhöhung der Kontrolle durch Transpa-
renz dadurch bessere Entscheidungen
• Vereinfachtes Compliance Reporting
• Frühzeitige Erkennung von Bedrohungen
durch
gering
Hoch
Hoch
Reactive
Tactical
Transparent
Strategic
Enterprise
Kosten,Aufwand,Risiko
Agilität
Legende
Maturity
Levels
Business Drivers: Effizienz, Kosteneinsparung, Architektur, Rationalisierung.
• Zentrale Sicht
auf Sicherheit
und
Identifäten,
Single source
of Truth
• Kritscher
Datenschutz
wird
erzwungen
• Reaktives
Daten und
User Manage-
ment
• Manuelles und
Aufwand-
intensives
Audit
• Ineffizient,
Overhead,
Redundanzen
• User Lifecycle
Management
• Standardi-
siertes
Schutz-
framework
• Sicherer
Infoaustausch
• Real-time
Auditing,
Alerting und
automatische
Korrekturen
• Nachhaltige
und transpa-
rente Sicher-
heits security
Praktiken
Unterschied zw.
und
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.39
KONTROLLIEREN
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.40
VERHINDERN
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.41
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.42
YOUR FUTURE
SECURE
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.43
• 1-Tages-Workshop in Potsdam
• Die Top Issues im Bereich DB
Sicherheit und wie man diese
beseitigt
• Am 11.Dezember bei Oracle
Potsdam
Hands-on Workshop
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.44
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.45
• Eine vollständig dokumentierte
Vorgehensweise die Sicherheit
der DB zu überprüfen
• Vollgestopft mit Best Practices,
Tools und vielen Erkenntnissen
• Ab Okt. 2013 im Handel erhältlich
Werbung in eigener Sache
Copyright © 2013, Oracle and/or its affiliates. All rights reserved.46

Weitere ähnliche Inhalte

Andere mochten auch

Groups 2010.08: facebook Alternativen (Digital Sustainability)
Groups 2010.08: facebook Alternativen (Digital Sustainability)Groups 2010.08: facebook Alternativen (Digital Sustainability)
Groups 2010.08: facebook Alternativen (Digital Sustainability)
Marcus Dapp
 
20110217 web 2.0 präsentation quadriga
20110217 web 2.0 präsentation quadriga20110217 web 2.0 präsentation quadriga
20110217 web 2.0 präsentation quadriga
Newsjunkie_GER
 
Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...
Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...
Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...Marcus Dapp
 
Niereninsuffizienz und Thrombozytenfunktionshemmung
Niereninsuffizienz und ThrombozytenfunktionshemmungNiereninsuffizienz und Thrombozytenfunktionshemmung
Niereninsuffizienz und Thrombozytenfunktionshemmung
Thomas Gary
 
Gefahren von Social Media
Gefahren von Social MediaGefahren von Social Media
Gefahren von Social Media
Malte Landwehr
 
Xerox star
Xerox starXerox star
Xerox star
Bálint Major
 
Kunden in Sozialen Netzen
Kunden in Sozialen NetzenKunden in Sozialen Netzen
Kunden in Sozialen Netzen
VCAT Consulting GmbH
 
Vereinsdaten pflegen für Chöre im Schwäbischen Chorverband
Vereinsdaten pflegen für Chöre im Schwäbischen ChorverbandVereinsdaten pflegen für Chöre im Schwäbischen Chorverband
Vereinsdaten pflegen für Chöre im Schwäbischen Chorverband
Johannes Pfeffer
 
Internetagenturen
InternetagenturenInternetagenturen
Internetagenturenidealogues
 
Social Media 2012 / Online-Handel 2012
Social Media 2012 / Online-Handel 2012Social Media 2012 / Online-Handel 2012
Social Media 2012 / Online-Handel 2012Kolle Rebbe GmbH
 
40 Thesen Unternehmenskommunikation, 2005
40 Thesen Unternehmenskommunikation, 200540 Thesen Unternehmenskommunikation, 2005
40 Thesen Unternehmenskommunikation, 2005Dr. Volker Klenk
 
Facebook Startseite
Facebook StartseiteFacebook Startseite
Facebook Startseite
Malte Landwehr
 
SEO Patente
SEO PatenteSEO Patente
SEO Patente
Malte Landwehr
 
Zeitreise mit geo.admin.ch http://geo.admin.ch/
Zeitreise mit geo.admin.ch http://geo.admin.ch/ Zeitreise mit geo.admin.ch http://geo.admin.ch/
Zeitreise mit geo.admin.ch http://geo.admin.ch/
geoportal of the federal authorities of the Swiss Confederation
 
Training 2
Training 2Training 2
Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)
Carsten Muetzlitz
 
Businessday Wirtschaftsfrauen 2012
Businessday Wirtschaftsfrauen 2012Businessday Wirtschaftsfrauen 2012
guitar hero- para principiantes
guitar hero- para principiantesguitar hero- para principiantes
guitar hero- para principiantes
devorarmando
 
Vielfältige Rekrutierungswege für Nachwuchskräfte
Vielfältige Rekrutierungswege für NachwuchskräfteVielfältige Rekrutierungswege für Nachwuchskräfte
Vielfältige Rekrutierungswege für Nachwuchskräfte
VCAT Consulting GmbH
 

Andere mochten auch (20)

Groups 2010.08: facebook Alternativen (Digital Sustainability)
Groups 2010.08: facebook Alternativen (Digital Sustainability)Groups 2010.08: facebook Alternativen (Digital Sustainability)
Groups 2010.08: facebook Alternativen (Digital Sustainability)
 
20110217 web 2.0 präsentation quadriga
20110217 web 2.0 präsentation quadriga20110217 web 2.0 präsentation quadriga
20110217 web 2.0 präsentation quadriga
 
Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...
Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...
Guest Lecture 2011.06 - Georg Greve - Mit FOSS Geld verdienen (Digital Sustai...
 
Niereninsuffizienz und Thrombozytenfunktionshemmung
Niereninsuffizienz und ThrombozytenfunktionshemmungNiereninsuffizienz und Thrombozytenfunktionshemmung
Niereninsuffizienz und Thrombozytenfunktionshemmung
 
Gefahren von Social Media
Gefahren von Social MediaGefahren von Social Media
Gefahren von Social Media
 
Xerox star
Xerox starXerox star
Xerox star
 
Kunden in Sozialen Netzen
Kunden in Sozialen NetzenKunden in Sozialen Netzen
Kunden in Sozialen Netzen
 
Vereinsdaten pflegen für Chöre im Schwäbischen Chorverband
Vereinsdaten pflegen für Chöre im Schwäbischen ChorverbandVereinsdaten pflegen für Chöre im Schwäbischen Chorverband
Vereinsdaten pflegen für Chöre im Schwäbischen Chorverband
 
SEO Schulung
SEO SchulungSEO Schulung
SEO Schulung
 
Internetagenturen
InternetagenturenInternetagenturen
Internetagenturen
 
Social Media 2012 / Online-Handel 2012
Social Media 2012 / Online-Handel 2012Social Media 2012 / Online-Handel 2012
Social Media 2012 / Online-Handel 2012
 
40 Thesen Unternehmenskommunikation, 2005
40 Thesen Unternehmenskommunikation, 200540 Thesen Unternehmenskommunikation, 2005
40 Thesen Unternehmenskommunikation, 2005
 
Facebook Startseite
Facebook StartseiteFacebook Startseite
Facebook Startseite
 
SEO Patente
SEO PatenteSEO Patente
SEO Patente
 
Zeitreise mit geo.admin.ch http://geo.admin.ch/
Zeitreise mit geo.admin.ch http://geo.admin.ch/ Zeitreise mit geo.admin.ch http://geo.admin.ch/
Zeitreise mit geo.admin.ch http://geo.admin.ch/
 
Training 2
Training 2Training 2
Training 2
 
Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)
 
Businessday Wirtschaftsfrauen 2012
Businessday Wirtschaftsfrauen 2012Businessday Wirtschaftsfrauen 2012
Businessday Wirtschaftsfrauen 2012
 
guitar hero- para principiantes
guitar hero- para principiantesguitar hero- para principiantes
guitar hero- para principiantes
 
Vielfältige Rekrutierungswege für Nachwuchskräfte
Vielfältige Rekrutierungswege für NachwuchskräfteVielfältige Rekrutierungswege für Nachwuchskräfte
Vielfältige Rekrutierungswege für Nachwuchskräfte
 

Ähnlich wie DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank auf Sicherheit überprüft?

Sensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle DatenbankSensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle Datenbank
Ulrike Schwinn
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Carsten Muetzlitz
 
Oracle Private & Public Database-as-a-Service
Oracle Private & Public Database-as-a-ServiceOracle Private & Public Database-as-a-Service
Oracle Private & Public Database-as-a-Service
oraclebudb
 
Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2
Ulrike Schwinn
 
Oracle Database 12c Release 2
Oracle Database 12c Release 2 Oracle Database 12c Release 2
Oracle Database 12c Release 2
oraclebudb
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
QAware GmbH
 
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und RecoveryZeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
oraclebudb
 
AOUG 2019 Oracle Centrally Managed Users 18c / 19c
AOUG 2019 Oracle Centrally Managed Users 18c / 19cAOUG 2019 Oracle Centrally Managed Users 18c / 19c
AOUG 2019 Oracle Centrally Managed Users 18c / 19c
Stefan Oehrli
 
Überblick Oracle Datenbank 12c
Überblick Oracle Datenbank 12cÜberblick Oracle Datenbank 12c
Überblick Oracle Datenbank 12c
Ileana Somesan
 
Secure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstSecure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin Obst
Carsten Muetzlitz
 
Implementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerImplementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise Manager
Martin Obst
 
Uwe Ricken – IT-Tage 2015 – Workshop: MS SQL Server Optimierung
Uwe Ricken – IT-Tage 2015 – Workshop: MS SQL Server OptimierungUwe Ricken – IT-Tage 2015 – Workshop: MS SQL Server Optimierung
Uwe Ricken – IT-Tage 2015 – Workshop: MS SQL Server Optimierung
Informatik Aktuell
 
Deployment von Entwicklungsumgebungen eines TYPO3-Intranets mit Vagrant
Deployment von Entwicklungsumgebungen eines TYPO3-Intranets mit VagrantDeployment von Entwicklungsumgebungen eines TYPO3-Intranets mit Vagrant
Deployment von Entwicklungsumgebungen eines TYPO3-Intranets mit Vagrant
Christoph Möller
 
Trivadis triCast Oracle Centrally Managed Users 18/19c
Trivadis triCast Oracle Centrally Managed Users 18/19cTrivadis triCast Oracle Centrally Managed Users 18/19c
Trivadis triCast Oracle Centrally Managed Users 18/19c
Stefan Oehrli
 
Roadshow Oracle Database 12c: News & Features
Roadshow Oracle Database 12c: News & FeaturesRoadshow Oracle Database 12c: News & Features
Roadshow Oracle Database 12c: News & Features
Digicomp Academy AG
 
Apache Solr vs. Elasticsearch - And The Winner Is...! Ein Vergleich der Shoot...
Apache Solr vs. Elasticsearch - And The Winner Is...! Ein Vergleich der Shoot...Apache Solr vs. Elasticsearch - And The Winner Is...! Ein Vergleich der Shoot...
Apache Solr vs. Elasticsearch - And The Winner Is...! Ein Vergleich der Shoot...
SHI Search | Analytics | Big Data
 
DOAG Webinar Oracle und Docker
DOAG Webinar Oracle und DockerDOAG Webinar Oracle und Docker
DOAG Webinar Oracle und Docker
Stefan Oehrli
 
Skalierung & Performance
Skalierung & PerformanceSkalierung & Performance
Skalierung & Performanceglembotzky
 
20181120_DOAG_OracleNoSQLDB_KPatenge
20181120_DOAG_OracleNoSQLDB_KPatenge20181120_DOAG_OracleNoSQLDB_KPatenge
20181120_DOAG_OracleNoSQLDB_KPatenge
Karin Patenge
 

Ähnlich wie DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank auf Sicherheit überprüft? (20)

Sensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle DatenbankSensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle Datenbank
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
 
Oracle Private & Public Database-as-a-Service
Oracle Private & Public Database-as-a-ServiceOracle Private & Public Database-as-a-Service
Oracle Private & Public Database-as-a-Service
 
Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2
 
Oracle Database 12c Release 2
Oracle Database 12c Release 2 Oracle Database 12c Release 2
Oracle Database 12c Release 2
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
 
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und RecoveryZeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
 
AOUG 2019 Oracle Centrally Managed Users 18c / 19c
AOUG 2019 Oracle Centrally Managed Users 18c / 19cAOUG 2019 Oracle Centrally Managed Users 18c / 19c
AOUG 2019 Oracle Centrally Managed Users 18c / 19c
 
Überblick Oracle Datenbank 12c
Überblick Oracle Datenbank 12cÜberblick Oracle Datenbank 12c
Überblick Oracle Datenbank 12c
 
Secure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstSecure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin Obst
 
Implementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerImplementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise Manager
 
Uwe Ricken – IT-Tage 2015 – Workshop: MS SQL Server Optimierung
Uwe Ricken – IT-Tage 2015 – Workshop: MS SQL Server OptimierungUwe Ricken – IT-Tage 2015 – Workshop: MS SQL Server Optimierung
Uwe Ricken – IT-Tage 2015 – Workshop: MS SQL Server Optimierung
 
Cryption proflyer de
Cryption proflyer deCryption proflyer de
Cryption proflyer de
 
Deployment von Entwicklungsumgebungen eines TYPO3-Intranets mit Vagrant
Deployment von Entwicklungsumgebungen eines TYPO3-Intranets mit VagrantDeployment von Entwicklungsumgebungen eines TYPO3-Intranets mit Vagrant
Deployment von Entwicklungsumgebungen eines TYPO3-Intranets mit Vagrant
 
Trivadis triCast Oracle Centrally Managed Users 18/19c
Trivadis triCast Oracle Centrally Managed Users 18/19cTrivadis triCast Oracle Centrally Managed Users 18/19c
Trivadis triCast Oracle Centrally Managed Users 18/19c
 
Roadshow Oracle Database 12c: News & Features
Roadshow Oracle Database 12c: News & FeaturesRoadshow Oracle Database 12c: News & Features
Roadshow Oracle Database 12c: News & Features
 
Apache Solr vs. Elasticsearch - And The Winner Is...! Ein Vergleich der Shoot...
Apache Solr vs. Elasticsearch - And The Winner Is...! Ein Vergleich der Shoot...Apache Solr vs. Elasticsearch - And The Winner Is...! Ein Vergleich der Shoot...
Apache Solr vs. Elasticsearch - And The Winner Is...! Ein Vergleich der Shoot...
 
DOAG Webinar Oracle und Docker
DOAG Webinar Oracle und DockerDOAG Webinar Oracle und Docker
DOAG Webinar Oracle und Docker
 
Skalierung & Performance
Skalierung & PerformanceSkalierung & Performance
Skalierung & Performance
 
20181120_DOAG_OracleNoSQLDB_KPatenge
20181120_DOAG_OracleNoSQLDB_KPatenge20181120_DOAG_OracleNoSQLDB_KPatenge
20181120_DOAG_OracleNoSQLDB_KPatenge
 

Mehr von Carsten Muetzlitz

Einführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle DeutschlandEinführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle Deutschland
Carsten Muetzlitz
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Carsten Muetzlitz
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal Soszynski
Carsten Muetzlitz
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Carsten Muetzlitz
 
Oracle Secure Patching Concept
Oracle Secure Patching ConceptOracle Secure Patching Concept
Oracle Secure Patching Concept
Carsten Muetzlitz
 
Oracle Application Express enabled to use central User Management (LDAP) (in ...
Oracle Application Express enabled to use central User Management (LDAP) (in ...Oracle Application Express enabled to use central User Management (LDAP) (in ...
Oracle Application Express enabled to use central User Management (LDAP) (in ...
Carsten Muetzlitz
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)
Carsten Muetzlitz
 

Mehr von Carsten Muetzlitz (7)

Einführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle DeutschlandEinführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle Deutschland
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal Soszynski
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
 
Oracle Secure Patching Concept
Oracle Secure Patching ConceptOracle Secure Patching Concept
Oracle Secure Patching Concept
 
Oracle Application Express enabled to use central User Management (LDAP) (in ...
Oracle Application Express enabled to use central User Management (LDAP) (in ...Oracle Application Express enabled to use central User Management (LDAP) (in ...
Oracle Application Express enabled to use central User Management (LDAP) (in ...
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)
 

DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank auf Sicherheit überprüft?

  • 1. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.1
  • 2. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.2 Wann haben Sie das letzte Mal die Sicherheit Ihrer Datenbank geprüft? Carsten Mützlitz (Oracle)
  • 3. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.3 YOUR FUTURE SECURE
  • 4. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.4 AGENDA 15:00
  • 5. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.5 CONTROLCONTROL GEHT es EIGENTLICH bei der
  • 6. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.6 SECURITY INSIDE OUT RISIKEN sind unter KONTROLLERISIKEN sind unter KONTROLLE REALITÄT oder WUNSCH?REALITÄT oder WUNSCH? BEDROHUNGEN VERHINDERNBEDROHUNGEN VERHINDERN
  • 7. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.7 SECURITY BETWEEN SYSTEMS SECURITY AT EACH LAYER SECURITY BETWEEN LAYERS S E C U R I T Y S E C U R I T Y S E C U R I T Y S E C U R I T Y S E C U R I T Y S E C U R I T Y S E C U R I T Y S E C U R I T Y S E C U R I T Y S E C U R I T Y S E C U R I T Y S E C U R I T Y S E C U R I T Y S E C U R I T Y Vorweg I muss betrachtet werden FOKUSFOKUS
  • 8. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.8 The best weapon with which to defend information is information! Copyright © 2013, Oracle and/or its affiliates. All rights reserved.8 Vorweg II: You even a Siehe Beispiel Spiegel – Online http://www.spiegel.de/netzwelt/web/carna-botnet-internet-zensus-mit-hacker-methoden-a-890225.html • Ziel das Internet zu vermessen: • Telnet Scanner scannt die Router im Internet ab mit Standard-Kennwörtern mit root:root, admin:admin Scans an beliebige IP-Adressen - Hat bei Hunderttausenden von Rechnern funktioniert • Ergebnis: Aufbau eines Botznets mit 420.000 Rechnern zur Vermessung des Internets
  • 9. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.9 SERVICE Verfügbarkeit Compliance Nachhaltig- keit Konfiguration Zugriffs- kontrolle Monitoring Audit aus vielen Konzepte sind vorhanden. Aber leider teilweise gar nicht oder falsch implementiert!
  • 10. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.10 • Sichere Konfiguration? • Verfügbarkeit umgesetzt? • Überwachung eingestellt? • Zugriffskontrolle implementiert? • Compliance und Nachhaltigkeit vorbereitet? zeigen einen neutralen aber besorgten Blick auf die Hunderte DB Sec. Reviews
  • 11. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.11 Nichts, was man nicht besser machen kann 1. Kaum Wissen und keine Verantwortungen (AKVs) definiert Copyright © 2013, Oracle and/or its affiliates. All rights reserved.11 2. Selten eigene Mindestsicherheit implementiert 3. Schwache Zugriffskontrolle und Zwecktrennung 4. Erhöhte Komplexität / falsche Konzepte 5. Verfügbarkeit entsprechend Anforderungen? 6. Schwaches oder kein Audit/Überwachung und zusammengefasst
  • 12. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.12 • Schutzbedarf der Daten nicht definiert und Daten selten klassifiziert • Kaum Wissen über gesetzliche Anforderungen • Kaum wirkliches Wissen über den notwendigen Schutzbedarf • Wenig definierte Verantwortung • Kaum Wissen über neue Funktionen/Konzepte und abgelaufene Funktionen Kaum über den notwendigen Organisatorische Lösung innerhalb der Unternehmung ist gefordert. 1.
  • 13. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.13 • Kein Mindest-Audit eingestellt • Kein Password-Management • Kein Profiling/Resourcen-Mgmt. • Unsicherer Umgang mit Accounts und Privilegien • Kein Patching Konzept • Falsches (Public) DB Links Setup • Keine sichere Konfiguration • Viele Default Einstellungen Keine eigene implementiert Secure DB Configuration in der Online Dokumentation nutzen und anpassen. 2. 11.2: Keeping your database secure: http://docs.oracle.com/cd/E25054_01/network.1111/e16543/guidelines.htm 12.1: Keeping your database secure: http://docs.oracle.com/cd/E16655_01/network.121/e17607/guidelines.htm#CHDCEBFA
  • 14. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.14 Keine eigene implementiert Nicht, wie oft gepachted werden muss, sondern wann gepachted werden muss! Graceperiode beachten! 2. Patching: Oracle Patch Management Best Practice http://www.oracle.com/us/support/assurance/leveraging-cpu-wp-164638.pdf Auch wenn Tausende Instancen zu bedienen sind, sollte man im Vorfeld entscheiden, wann gepatched werden muss
  • 15. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.15 Keine eigene implementiert Pro Benutzergruppem ein Profil. Password-Komplexität einstellen mind. 9 Zeichen. 2. Profiling/PW-Mgmt:
  • 16. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.16 Keine eigene implementiert Aktivieren Sie eine definierte Mindestsicherheit für alle Datenbanken. 2. Sicheres DB Link Setup Endanwender sichtbar PW-Änderungen ... ... Die Autorisierung übernimmt meistens die Anwendung, denn nur die kennt den Enduser
  • 17. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.17 Implementieren Sie diese 10 Schritte und erweitern Sie diese entsprechend des Schutzbedarfs. 1. Password für SYS / SYSTEM • Passwords ändern und starke Komplexität wählen 2. Lock, expire und PW ändern für ungenutzte User • Installieren Sie nur das, was benötigt wird • Siehe hierzu Note 472937.1 3. Zugriff auf Oracle Home und Files einschränken • Der oracle Account sollte alle Files besitzen • Kein Benutzer außerhalb der Oracle Gruppen sollte Zugriff auf die Files haben 4. Review Database Privileges • Das Konzept „least privilege“ sollte angewendet sein • Siehe Note 1347470.1 - Master Note For Privileges And Roles 5. Revoke Privileges from Public • Vorsichtige Vergabe von Privilegien an PUBLIC 6. Data Dictionary schützen • O7_DICTIONARY_ACCESSIBILITY=FALSE 7. Set REMOTE_OS_AUTHENT to FALSE (8i, 9i, 10g) • DB wird keiner Client-Authentizierung trauen 8. Listener und Netzwerkverbindungen schützen • Listener schützen auf Basis der Oracle Guidelines • Netzwerk verschlüsseln mit jeder DB Edition 9. Datenbank Host schützen • Firewall nutzen • Gehärtete Betriebssysteme (Windows/Unix) • Patches zeitnah einspielen (CPU und Security Alerts) 10. Prüfung der Oracle Security Alerts und CPUs • Neuste Informationen abonnieren • Jedes Security Patch Update überprüfen und wenn nötig zeitnah einspielen 10 Schritte für eine Mindestsicherheit: 10 Basic Steps to Make Your DB Secure from Attacks [ID 1545816.1] Keine eigene implementiert2.
  • 18. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.18 • Kein least Privileg Konzept • Zugriffskonzepte ausgehebelt • Standardrollen (wie RESOURCE) • Public übermächtig • Falsches Rollenverständnis (DBA) • Keine Zwecktrennung (Apps- Owner, DBAs greifen auf APP zu, Account-Mgmt. über viele User) Komplexe und kaum Trotz implementierter Zugriffskontrolle wird diese ausgehebelt und Gesetze nicht erfüllt. 3. Zwecktrennung Privileged Users Public DB Links, DB Links auf die gleiche DB und Grants an Public
  • 19. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.19 Komplexe und kaum3. • Zu komplexe Rollen Konzepte • Zu viele nicht notwendige Grants • Nutzung von Standardrollen • Doppelte Rollen • Redundante Privilegien • Komplexität ist die Grundbedrohung der Kontrolle • Trotz komplexem Konzept Aushebelung, z.B. durch Grants an Public und DB Links Komplexität beherrscht die Zugriffskontrolle:
  • 20. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.20 Komplexe und kaum3. • Berechtigungen an Rollen und User • keine einheitlichen Konzepte implementiert • Entstehung von Redundanzen • Kontrolle in komplexen Umgebungen sehr unwahrscheinlich • Keine Rollen, nur direkte Grants = Mehraufwand wenn gleicher Zugriff für mehr als ein User notwendig Komplexität beherrscht die Zugriffskontrolle:
  • 21. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.21 Komplexe und kaum3. • Anwendungsowner und –user werden nicht korrekt getrennt • Anwendungsowner bekommen zu viele Berechtigungen • Keine Kontrolle unerlaubter Zugriffe z.B. - Anwendung oder - SQL Developer greift zu • Konzepte werden nicht erzwungen • Zwecktrennung wird nicht beachtet • Audit wird nicht eingeschaltet • DBAs sind nicht zuständig Hochprivilegierte Anwendungsowner: SchemaSchema OOwnerwner SchemaSchema APPUSERAPPUSER RELEASERELEASE ManagerManager Install and change objects Admins Endbenutzer Apps-Server mit DBA Rolemit DBA Role Falsches Setup Hat man keinen Ein- fluß dieses Setup zu ändern, sollte man für eigene Setups wie DB Links, Reporting- user etc. Anwend- ungsuser aktivieren, die minimale Rechte besitzen.
  • 22. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.22 Komplexe und kaum3. • Wer greift auf die DB zu? • DB Link Setup entsprechend Least Privileg? • Public DB Links sind sehr gefährlich • Zwecktrennung implementiert? - DBA greift auf Anwendungs- objekte in einer entfernten DB zu • DB Links nicht sicher konfiguriert (MOS Doc ID 264872.1 bekannt oder Hinweis im License-Guide?) DB Links: host10.de …. host2.de host1.de DB Zugriffe über DB Links zu entfernten DBs Zugriffe über DB Links zu entfernten DBs Zugriffe von entfernter DB über den DBLINK-User Zugriffe von entfernter DB über den DBLINK-User Teilweise starke Privilegien. Keine Protokollierung! Teilweise starke Privilegien. Keine Protokollierung! Mit 12c besseres Audit möglich, auch die entfernten DB Link Zugriffe (auch mit 11g) können überwacht werden
  • 23. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.23 Komplexe und kaum3. • Zu viele ANY Grants (kein Least Privileg Konzept?) • Zu viele Grants gefährlicher Rollen (IMP FULL DB) • Kein Schutz für gefährliche Rollen (Secure Application Roles) implementiert • Keine Überwachung der Nutzung gefährlicher Privilegien Gefährliche Privilegien: DB Privilege Analysis mit 12c Create… Drop… Modify… DBA role APPADMIN role SELECT ANY… ALTER USER… BECOME USER… EXP_FULL_DB… DBA role …
  • 24. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.24 Komplexe und kaum3. • Password-File ist erstellt • Remote-Administrierung wird nicht ausgeführt • Die DBAs nutzen ein Terminal am lokalen Server (ssh/telnet) ? Wofür braucht man dann eine Password-Datei? Password-Datei: DB …………… …………… …………… …………… … PASSWORD-File INIT.ORA REMOTE_LOGIN_PASSWORDFILE = EXCLUSIVE Admins Administration immer über die Konsole als „oracle“ Unix-User: sqlplus / as sysdba Eingeschaltete Multithreading Architektur in 12c erfordert eine Password-Datei für die SYS- Authentisierung. ALTER SYSTEM SET threaded_execution=TRUE SCOPE=SPFILE;
  • 25. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.25 Komplexe und kaum3. • Trotz Forderung aus Gesetzen (DSV/LDSG) sind DBAs selten personalisiert • Gearbeitet wird stattdessen als „oracle“, SYS und SYSTEM • Wofür wird SYS und wofür SYSTEM genutzt? Personalisierung: SYSSYS SYSTEMSYSTEM DBADBA NameName Kunden DBA Standard SYSDBA Standard DBA Kunde DBA Standard Oracle DBA Standard Oracle SYSDBA Falsches Setup
  • 26. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.26 Komplexe und kaum3. • Keine personalisierten DBAs • DB Links mit vollem Zugriff • Apps-Owner für Anwendung und Tools wie SQL Developer in Gebrauch • DB-Accounts mit vollem Zugriff auf alle Objekte • Keine Trennung entsprechend AVKs • Keine Zwecktrennung im Auditing (FGA) • Jeder DB User darf alles machen (PUBLIC GRANTS) Unerlaubte Zugriffe/Zwecktrennung: APPS-Owner Endbenutzer Apps-Server APPS-User Endbenutzer Apps-Server Falsches SetupRichtiges Setup Hat man keinen Ein- fluß dieses Setup zu ändern, sollte man für eigene Setups wie DB Links, Reporting- user etc. Anwend- ungsuser aktivieren, die minimale Rechte besitzen.
  • 27. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.27 Komplexe und kaum3. • Keine Trennung entsprechend AVKs • Gerade in der Administration kann jeder DBA alles machen • DBA Separation of Duty nicht implementiert • Keine delegated Administration • Kein einheitliches Account- Management Zwecktrennung:
  • 28. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.28 Komplexe und kaum3. • Autorisierung nur in der Anwendung • Anwendungssicherheit muss perfekt sein • Es wird auf den Anwendungsowner mit all seinen Berechtigungen operiert • Endbenutzer nicht bekannt Autorisierung in der Anwendung: Mögliche Schutzmaßnahme: DB Firewall oder Enduser sichtbar machen und in DB autorisieren. Schema OSchema Ownerwner Schema APPUSERSchema APPUSER DBA SYSTEMDBA SYSTEM Administratiert die DB Shared Admins CONNECT APPS APPSAPPS Gesicherte Leitung, Zugriff über die Anwendung Endusers Client: Browser oder Fat Client Installation Application Server Berechtigungen: CONNECT RESOURCE UNLIMITED TABLESPACE SELECT ANY, DELETE ANY... Connection autorisiert für den kompletten Datenzugriff (DML, DDL) Unerlaubte Zugriffe nicht sichtbar, kein Audit aktiviert Falsches Setup
  • 29. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.29 Lösung transparentes ILM • Falsche Konzepte erhöhen die Komplexität bzgl. der Zugriffskontrolle erheblich • Keine Autorisierung in der DB, kein garantierter Schutz in der Anwendung • Kein übergreifender Schutz von Daten auch außerhalb der DB Erhöhte und Komplexe Konzepte im Umgang mit Daten generieren eine kaum mögliche Kontrolle. 4. APPS-Database APPS-Schema: APPS-Schema Copy:
  • 30. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.30 Erhöhte und4. 0101101110101010010100100100001000 1010101101001011010011100001010010 Archive Data 011100001010001011011 101010100101001001000 010001010101101001011 010101001010010010001 30 Hot Data Aktueller Datenbestand Warm Data 1010101011101010011010111000010100 0101101110101010010100100100001000 1010101101001011010011100001010010 0101000010010000100010101011010010 Datenbestand im mittleren Zugriff 1000010100100101001010110111000010 101010101110101001101011100001010001011011 101010100101001001000010001010101101001011 010011100001010010010100001001000010001010 101010101110101001101011100001010001011011 Archivierte Daten 01110101010010 10000100010101 01011100001010 10101010111010100110101 11000010100010110111010 10100101001001000010001 01010110100101101001110 00010100100101000010010 00010001010101110011010 10100101001001000010001 1110010100100101001010110111011010 101010101110101001101011100001011101011001 Automatische Datenoptimierung mit 12c/11g (Information Lifecycle Mgmt.): Transparente Konzepte nutzen, die nicht die Sicherheit und Kontrolle komplexer machen. Eine Table
  • 31. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.31 Erhöhte und4. 31 Ein Vier-Augenprinzip kann z.B. mit DB Vault erzwungen werden. organisatorisches Vieraugenprinzip ½ PASSWORD xxyyzz ½ PASSWORD ssttuu Procurement Finance Export Datapump Data Unloader DUAL Connect Check Rule Set: Dual Connect for Unloader and Approver • Rule 1: Check if approver and Unloader is logged in • Rule 2: Allow Connect for other users • Map Command: Map command CONNECT to Rule Set CONNECT for export Data Data Loader Approver CONNECT for approvalCONNECT for export Data HR erzwungenes Vieraugenprinzip
  • 32. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.32 • Umgang mit sensiblen Daten • Kein oder wenig Datenschutz eingestellt • Daten außerhalb der Datenbank nicht geschützt • Keine Sicherheitszonen definiert • Keine Überwachung des Zugriffs • Kontrollverlust, wenn die Daten die DB verlassen Erhöhte und Datenschutz für sensible Daten einstellen, gerade dann wenn die Daten die DB verlassen. 4. Datenschutz einstellen?
  • 33. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.33 Risiken und Anforderungen müssen bekannt sein, nur dann kann man sich schützen • HA Anforderungen nicht immer definiert • Glaube vs. Wissen • Backup falsch aufgesetzt • Wenig Schutz vor geplanten Ausfallzeiten (Transient logical Standy, Rolling Upgrades) entsprechend Anforderungen Verfügbarkeitsanforderungen erfüllen und nicht nur vor ungeplanten Ausfallzeiten schützen. 5.
  • 34. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.34 Gesetze erfordern eine Protokollierung! • Trotz gesetzlicher Anforderungen kein Audit eingestellt • Objektzugriffe, werden nicht oder sehr selten protokolliert • Wichtige SYS-Objekte werden nicht überwacht • Unerlaubte Zugriffe werden nicht erkannt • Keine Überwachung des Zugriffs auf sensible Objekte wie SYS.% und Anwendungsobjekte Schwaches oder kein Audit ist unerläßlich, damit man die Kontrolle nicht verliert. Es gibt keine Ausreden! 6. Gesetzliche Anforderungen erfüllt?
  • 35. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.35 YOUR FUTURE SECURE Hat das einen Nutzen? Warum?
  • 36. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.36 Source: Darwin Underwriters Insurance: Data Loss Calculator. http://www.tech-404.com/calculator.html Beispiel: 50.000 gestohlene Datensätze Generelle Aussage: Ein Datendiebstahl wird immer hohe Aufwände erzeugen. Kostenrahmen $6,6 - 9,9 Million 50.000 gestohlene Datensätze kosten ein Unternehmen durchschnittlich > 1 Mill. € Interne Analyse Kunden Info Strafen Poneman Institut sagt 88%88% der DatendiebstähleDatendiebstähle entstehen nicht durch Cracker, sondern sind auf NachlässigkeitNachlässigkeit zurückzuführen! Quelle: http://www.computerwoche.de/a/datendiebstahl-kommt-opfer- immer-teurer-zu-stehen,1886090
  • 37. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.37 Technologie Lösungen Geschäfts- anforderungen Produktivität erhöhen Risiko vermindern Finden Sie Ihren Return on Investment Direkter monetärer ROI • Menschlichen Aufwand verrringern • Kostenintensive Verzögerungen verringern • Kosten für Compliance/Security verringern Indirekter monetärer ROI • Produktivität erhöhen und Risiken verringern • Wissen erlangen (weg von GLAUBEN) • Erhöhung der Kontrolle durch Transpa- renz dadurch bessere Entscheidungen • Vereinfachtes Compliance Reporting • Frühzeitige Erkennung von Bedrohungen durch
  • 38. gering Hoch Hoch Reactive Tactical Transparent Strategic Enterprise Kosten,Aufwand,Risiko Agilität Legende Maturity Levels Business Drivers: Effizienz, Kosteneinsparung, Architektur, Rationalisierung. • Zentrale Sicht auf Sicherheit und Identifäten, Single source of Truth • Kritscher Datenschutz wird erzwungen • Reaktives Daten und User Manage- ment • Manuelles und Aufwand- intensives Audit • Ineffizient, Overhead, Redundanzen • User Lifecycle Management • Standardi- siertes Schutz- framework • Sicherer Infoaustausch • Real-time Auditing, Alerting und automatische Korrekturen • Nachhaltige und transpa- rente Sicher- heits security Praktiken Unterschied zw. und
  • 39. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.39 KONTROLLIEREN
  • 40. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.40 VERHINDERN
  • 41. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.41
  • 42. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.42 YOUR FUTURE SECURE
  • 43. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.43 • 1-Tages-Workshop in Potsdam • Die Top Issues im Bereich DB Sicherheit und wie man diese beseitigt • Am 11.Dezember bei Oracle Potsdam Hands-on Workshop
  • 44. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.44
  • 45. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.45 • Eine vollständig dokumentierte Vorgehensweise die Sicherheit der DB zu überprüfen • Vollgestopft mit Best Practices, Tools und vielen Erkenntnissen • Ab Okt. 2013 im Handel erhältlich Werbung in eigener Sache
  • 46. Copyright © 2013, Oracle and/or its affiliates. All rights reserved.46