SlideShare ist ein Scribd-Unternehmen logo

Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic

Carsten Muetzlitz
Carsten Muetzlitz

Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic

Technologie
1 von 17
Downloaden Sie, um offline zu lesen
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Share with #ODSD2015 OracleDirect Security Day 2015 Bitte Fragen über den WebEx Chat. Danke.
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Safe Harbor Statement The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle. OracleDirect Security Day 2015 3
Security Day 2015 Eine geniale Lösung für das Benutzermanagement Suvad Sahovic Systemberatung Potsdam OracleDirect SECURITY Inside-Out
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Referent: Kurz vorgestellt 5 • Suvad Sahovic – Unterstützt Deutschlands Daten sicher(er) zu machen , ORACLE Potsdam OracleDirect Security Day 2015
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Agenda OracleDirect Security Day 2015 6 Informationssicherheit als Prozess - Wo stehen wir? Kurze Einführung – Was ist die Ausgangssituation? Die Lösung – Wofür soll sie/das gut sein? 1 2 3
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 Das Informationssicherheitskonzept beruht auf einem Risikomodell und beleuchtet die Organisation und die Prozesse INFORMATIONSSICHERHEIT als Prozess Sicherheitsprozess Initialaktivitäten Laufende Aktivitäten Umsetzungen / Betrieb Prozesse Sicherheitsstrategie Risikomanagement Sicherheitsmgmt. Schutz Informationswerte (Vetraulichkeit, Integrität) Sicherstellung der Verfügbarkeit Disaster Recovery /Business Continuity Planning Monitoring Auditing Bereiche Technisch Physisch Organisatorisch Systeme (HW& OS) Netze Software Daten Build Operate Ablauf Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung Risikomanagement Security Policy, Standards & Procedures Sicherheits- organisation Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Sicherheitszonen Zugangskontrollen Zutrittsicherungs- sytemeFirewalls Netzwerkdesign Clustering Netzwerkmgmt. Virenschutz- management Sichere OS System- Aktualisierung SW-Design Verbindlichkeit Datenklassifik. Datenträger System- performance Monitoring CM Hot-Backup Gebäudesicherheit Personelle Sicherheit Arbeitsplatz Schutz vor Elem- entarereignissen Notfallpläne (Contingency Plans) Intrusion Detection Systems Gebäude- überwachung Videoaufzeichnung Activity Logging Sicherheitsaudits Vulnerability Checks Sicherheitsmanagement Security Vision, Strategie für den Umgang mit unternehmenskritischen Infrastrukturen und Informationswerten Governance HR-Prozesse Betriebl. Praktiken Awareness Training Backup, Backup-Facitilites Logging, Evaluierung, Behandlung von Sicherheitsvorfällen System Recovery Informationssicherheit ist ein Prozess, der alle Teile eines Unternehmens be- trifft. Es reicht nicht zu denken: “Die IT Abteilung wird mich schon schützen” 7 Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN SW-Design Verbindlichkeit
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Agenda OracleDirect Security Day 2015 8 Informationssicherheit als Prozess - Wo stehen wir? Kurze Einführung – Was ist die Ausgangssituation? Die Lösung – Wofür soll sie/das gut sein? 1 2 3
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | Komplexität bedeutet auch Verlust der Kontrolle Komplexitätsberechung einer typischen Umgebung ComplexDBAMGMT = Count(DBAs) x Count (DB Instances) Zur Erinnerung: Das LDSG und die DSVO stellen hierfür konkrete Anforderungen. Bei jeder administrativen Tätigkeit muss stets der Ausführende ermittelt werden können. Auch Oracle empfiehlt den Einsatz von personalisierten DBAs. SYS wird nur in Ausnahmenfällen genutzt und SYSTEM wird gesperrt. Hinzu kommt, dass bestimmte Zertifizierungen (wie z.B. BSI) eine regelmäßige Änderung der Passwörter fordert. Gegeben (Ist-Situation): Eine Unternehmung betreibt 100 Datenbanken inkl. Entwicklung, Test, Integration und Abnahme DBs. Diese Datenbanken werden von 5 DBAs betreut. Jeder DBA ist in jeder DB lokal angelegt. Zusätzlich zu den Datenbanken besteht ein zentrales Benutzerrepository (MS Active Directory) 5 DBAs x 100 DB InstancesComplexDBAMGMT = 500ComplexDBAMGMT =
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | Inkonsequenz bedeutet auch Verlust der Kontrolle Passwort Mangement – das größte Übel Zur Erinnerung: BDSG $9 Abs.3 Gegeben (Ist-Situation): Eine Unternehmung betreibt 100 Datenbanken inkl. Entwicklung, Test, Integration und Abnahme DBs. DBA Passwordwechsel erfolgt (hoffentlich) regelmäßig z.B. 4/Jahr. Zusätzlich zu den Datenbanken besteht ein zentrales Benutzerrepository (MS Active Directory) Pro User: ComplexPWDMGMT = 100 DB Inst. x 4 PWD Wechsel 400ComplexPWDMGMT =
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 11 Personalisierung ist komplex Wie sieht die Realität aus? Anonym! DBA SYS oder SYSTEM Wegen der Komplexität werden wichtige Maßnahmen nicht implementiert! Wesentliche Maßnahmen für einen sicheren Datenbank-Betrieb werden nicht implementiert 1. Kein Passwortwechsel 2. Keine Zwecktrennung 3. Keine personalisierten DBAs, alle DBAs arbeiten mit SYS und SYSTEM. 4. Etc.
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Agenda OracleDirect Security Day 2015 12 Informationssicherheit als Prozess - Wo stehen wir? Kurze Einführung – Was ist die Ausgangssituation? Die Lösung – Wofür soll sie/das gut sein? 1 2 3
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 13 Viele positive Nebeneffekte Business Cases • Bus.Case #1: DBA, Entwickler erhalten automatisch DBA/DEV Privilegien • Bus.Case #2: DBA/AppUser Funktionstrennung • Bus.Case #3: DEV/Release Mgr. Funktionstrennung • Bus.Case #4: Bestehende Kerberos Authentifizierung in der DB • Bus.Case #5: Bestehende Kerberos Authentifizierung bei Oracle Linux • Bus.Case #6: Bestehende Kerberos Authentifizierung bei DB Tools (SQL Developer, MS Office,...) • Bus.Case #7: SYSDBA ohne Passwordfile • Bus.Case #8: Batch User für Batch Jobs
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 14 Bestehende Infrastruktur nachhaltig nutzen Welche Infrastruktur brauche ich? ORA DB ORA DB ORA DB ORA DB
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 15 Viele positive Nebeneffekte Benefits • Zentralisiertes Password Management - Erzwingung der Passwortrichtlinien durch Einsatz der bestehenden Infrastruktur • Einhaltung und Erzwingung der unternehmerischen und gesetzlichen Sicherheitsrichtlinien. Vorhandene Inkonsequenzen, falsche oder falsche implementierte Security Konzepte, verursacht durch menschliches Versagen, werden ausgeschlossen. • Erzwingung von Least Privilege Konzept. Durchgehendes Konzept, welches nicht umgegangen werden kann. • Zentralisierte Benutzerauthentifizierung - durch bestehende Infrastruktur (Oracle Datenbank und MS Active Directory) • Zwecktrennung - Account Management und Applikations/DB Management wird voneinander getrennt. • Reduzierung der Komplexität - durch Zentralisierung und Auslagerung werden viele Betriebsaufgaben überflüssig. • Starke Authentifizierung (Kerberos) - in der Oracle DB Welt, die bereits in Ihrem Unternehmen weitgehend genutzt wird. • Keine User Repository Redundanzen. Es wird Ihr bestehendes User Repository (typischerweise MS Active Directory) als führendes Benutzer Verzeichnisdienst verwendet. • Reduzierung vieler administrativen DB Aufgaben. Bei den DBAs entfallen viele Aufgaben z.B. im Bereich User Management, Password Mgmt,...,die nicht anderweitig ausgelagert werden, sondern die einfach entfallen. Es wird die bestehende Infrastruktur dafür verwendet. • Single Sign On. Es wird bestehendes unternehmensweites Single Sign On (basierend auf Kerberos) nachhaltig genutzt. • Eindeutigkeit und bessere Nachvollziehbarkeit.
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 16 Die nachfolgende Präsentation OracleDirect Security Day 2015 • 16:45 Uhr: Sichere Speicherung von Daten in der Cloud und Live- Hack auf eine ungeschützte Datenbank - Test prüft die wesentliche Funktionalität
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic

Empfohlen

Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Carsten Muetzlitz
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasCarsten Muetzlitz
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitCarsten Muetzlitz
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiCarsten Muetzlitz
 
Secure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstSecure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstCarsten Muetzlitz
 
Ihr IT-Systemhaus aus Köln
Ihr IT-Systemhaus aus KölnIhr IT-Systemhaus aus Köln
Ihr IT-Systemhaus aus KölnFilipe Felix
 
(Wie) Funktioniert Cloud-basiertes Wissensmanagement?
(Wie) Funktioniert Cloud-basiertes Wissensmanagement?(Wie) Funktioniert Cloud-basiertes Wissensmanagement?
(Wie) Funktioniert Cloud-basiertes Wissensmanagement?Pumacy
 
Wie finde ich die beste VPN Lösung für mein Unternehmen?
Wie finde ich die beste VPN Lösung für mein Unternehmen?Wie finde ich die beste VPN Lösung für mein Unternehmen?
Wie finde ich die beste VPN Lösung für mein Unternehmen?HOB
 

Empfohlen

Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Carsten Muetzlitz
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasCarsten Muetzlitz
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitCarsten Muetzlitz
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiCarsten Muetzlitz
 
Secure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstSecure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstCarsten Muetzlitz
 
Ihr IT-Systemhaus aus Köln
Ihr IT-Systemhaus aus KölnIhr IT-Systemhaus aus Köln
Ihr IT-Systemhaus aus KölnFilipe Felix
 
(Wie) Funktioniert Cloud-basiertes Wissensmanagement?
(Wie) Funktioniert Cloud-basiertes Wissensmanagement?(Wie) Funktioniert Cloud-basiertes Wissensmanagement?
(Wie) Funktioniert Cloud-basiertes Wissensmanagement?Pumacy
 
Wie finde ich die beste VPN Lösung für mein Unternehmen?
Wie finde ich die beste VPN Lösung für mein Unternehmen?Wie finde ich die beste VPN Lösung für mein Unternehmen?
Wie finde ich die beste VPN Lösung für mein Unternehmen?HOB
 
Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Sopra Steria Consulting
 
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldONE Schweiz
 
Dokumentenschutz mit Sealpath Enterprise - Shortfacts DE
Dokumentenschutz mit Sealpath Enterprise - Shortfacts DEDokumentenschutz mit Sealpath Enterprise - Shortfacts DE
Dokumentenschutz mit Sealpath Enterprise - Shortfacts DEIntellicomp GmbH
 
Enterprise user security manuskript zum vortrag doag 2014
Enterprise user security manuskript zum vortrag doag 2014Enterprise user security manuskript zum vortrag doag 2014
Enterprise user security manuskript zum vortrag doag 2014Marcel Pils
 
Der Weg zum vernetzten Spital: Von Silos zum Workflow
Der Weg zum vernetzten Spital: Von Silos zum WorkflowDer Weg zum vernetzten Spital: Von Silos zum Workflow
Der Weg zum vernetzten Spital: Von Silos zum WorkflowNetcetera
 
Webcast: Prozess Monitoring in Azure (und on premise) mit dem IntelliMon
Webcast: Prozess Monitoring in Azure (und on premise) mit dem IntelliMonWebcast: Prozess Monitoring in Azure (und on premise) mit dem IntelliMon
Webcast: Prozess Monitoring in Azure (und on premise) mit dem IntelliMonQUIBIQ Hamburg
 
Information Security Geschäftsdaten in fremden Händen Sopra Steria Consulting
Information Security Geschäftsdaten in fremden Händen Sopra Steria ConsultingInformation Security Geschäftsdaten in fremden Händen Sopra Steria Consulting
Information Security Geschäftsdaten in fremden Händen Sopra Steria ConsultingSopra Steria Consulting
 
Groups 2010.15 Mobile Plattformen (Digital Sustainability)
Groups 2010.15 Mobile Plattformen (Digital Sustainability)Groups 2010.15 Mobile Plattformen (Digital Sustainability)
Groups 2010.15 Mobile Plattformen (Digital Sustainability)Marcus Dapp
 
Innovatives Web- und Instore-Marketing - Web-Applikationen für den Tourismus
Innovatives Web- und Instore-Marketing - Web-Applikationen für den TourismusInnovatives Web- und Instore-Marketing - Web-Applikationen für den Tourismus
Innovatives Web- und Instore-Marketing - Web-Applikationen für den TourismusVCAT Consulting GmbH
 
Website
WebsiteWebsite
Websitedilaraakgunes
 
Apps und iPad
Apps und iPadApps und iPad
Apps und iPadidealogues
 
Innovationen durch Netzwerke - Beispiele aus Niedersachsen
Innovationen durch Netzwerke - Beispiele aus NiedersachsenInnovationen durch Netzwerke - Beispiele aus Niedersachsen
Innovationen durch Netzwerke - Beispiele aus NiedersachsenMario Leupold
 
Barkämp
BarkämpBarkämp
BarkämpMario Leupold
 
trewq32
trewq32trewq32
trewq32sd67svg
 
Mobile Strategien und systematische Einführung in Unternehmen - Hagen Sexauer
Mobile Strategien und systematische Einführung in Unternehmen - Hagen SexauerMobile Strategien und systematische Einführung in Unternehmen - Hagen Sexauer
Mobile Strategien und systematische Einführung in Unternehmen - Hagen SexauerHagen Sexauer
 
Sami Khalaji Notfälle in der Zahnmedizin
Sami Khalaji Notfälle in der ZahnmedizinSami Khalaji Notfälle in der Zahnmedizin
Sami Khalaji Notfälle in der ZahnmedizinSamiKhalaji
 
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...Carsten Muetzlitz
 
Yaniv blumenfeld glacier_global_partners_beschwort_beschwerde_wegen_nichtzahl...
Yaniv blumenfeld glacier_global_partners_beschwort_beschwerde_wegen_nichtzahl...Yaniv blumenfeld glacier_global_partners_beschwort_beschwerde_wegen_nichtzahl...
Yaniv blumenfeld glacier_global_partners_beschwort_beschwerde_wegen_nichtzahl...schnuckiputz
 
Social Media für KMUs - Konkreter Nutzen oder Verschwendung von Ressourcen
Social Media für KMUs - Konkreter Nutzen oder Verschwendung von RessourcenSocial Media für KMUs - Konkreter Nutzen oder Verschwendung von Ressourcen
Social Media für KMUs - Konkreter Nutzen oder Verschwendung von RessourcenVCAT Consulting GmbH
 
Flyer "Männerchor plus..."
Flyer "Männerchor plus..."Flyer "Männerchor plus..."
Flyer "Männerchor plus..."Johannes Pfeffer
 
Training 2
Training 2Training 2
Training 2Hogeschool van Amsterdam
 
Drogerien im Social Web - Hagen Sexauer
Drogerien im Social Web - Hagen SexauerDrogerien im Social Web - Hagen Sexauer
Drogerien im Social Web - Hagen SexauerHagen Sexauer
 

Weitere ähnliche Inhalte

Was ist angesagt?

Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Sopra Steria Consulting
 
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldONE Schweiz
 
Dokumentenschutz mit Sealpath Enterprise - Shortfacts DE
Dokumentenschutz mit Sealpath Enterprise - Shortfacts DEDokumentenschutz mit Sealpath Enterprise - Shortfacts DE
Dokumentenschutz mit Sealpath Enterprise - Shortfacts DEIntellicomp GmbH
 
Enterprise user security manuskript zum vortrag doag 2014
Enterprise user security manuskript zum vortrag doag 2014Enterprise user security manuskript zum vortrag doag 2014
Enterprise user security manuskript zum vortrag doag 2014Marcel Pils
 
Der Weg zum vernetzten Spital: Von Silos zum Workflow
Der Weg zum vernetzten Spital: Von Silos zum WorkflowDer Weg zum vernetzten Spital: Von Silos zum Workflow
Der Weg zum vernetzten Spital: Von Silos zum WorkflowNetcetera
 
Webcast: Prozess Monitoring in Azure (und on premise) mit dem IntelliMon
Webcast: Prozess Monitoring in Azure (und on premise) mit dem IntelliMonWebcast: Prozess Monitoring in Azure (und on premise) mit dem IntelliMon
Webcast: Prozess Monitoring in Azure (und on premise) mit dem IntelliMonQUIBIQ Hamburg
 
Information Security Geschäftsdaten in fremden Händen Sopra Steria Consulting
Information Security Geschäftsdaten in fremden Händen Sopra Steria ConsultingInformation Security Geschäftsdaten in fremden Händen Sopra Steria Consulting
Information Security Geschäftsdaten in fremden Händen Sopra Steria ConsultingSopra Steria Consulting
 

Was ist angesagt? (7)

Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting
 
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
 
Dokumentenschutz mit Sealpath Enterprise - Shortfacts DE
Dokumentenschutz mit Sealpath Enterprise - Shortfacts DEDokumentenschutz mit Sealpath Enterprise - Shortfacts DE
Dokumentenschutz mit Sealpath Enterprise - Shortfacts DE
 
Enterprise user security manuskript zum vortrag doag 2014
Enterprise user security manuskript zum vortrag doag 2014Enterprise user security manuskript zum vortrag doag 2014
Enterprise user security manuskript zum vortrag doag 2014
 
Der Weg zum vernetzten Spital: Von Silos zum Workflow
Der Weg zum vernetzten Spital: Von Silos zum WorkflowDer Weg zum vernetzten Spital: Von Silos zum Workflow
Der Weg zum vernetzten Spital: Von Silos zum Workflow
 
Webcast: Prozess Monitoring in Azure (und on premise) mit dem IntelliMon
Webcast: Prozess Monitoring in Azure (und on premise) mit dem IntelliMonWebcast: Prozess Monitoring in Azure (und on premise) mit dem IntelliMon
Webcast: Prozess Monitoring in Azure (und on premise) mit dem IntelliMon
 
Information Security Geschäftsdaten in fremden Händen Sopra Steria Consulting
Information Security Geschäftsdaten in fremden Händen Sopra Steria ConsultingInformation Security Geschäftsdaten in fremden Händen Sopra Steria Consulting
Information Security Geschäftsdaten in fremden Händen Sopra Steria Consulting
 

Andere mochten auch

Groups 2010.15 Mobile Plattformen (Digital Sustainability)
Groups 2010.15 Mobile Plattformen (Digital Sustainability)Groups 2010.15 Mobile Plattformen (Digital Sustainability)
Groups 2010.15 Mobile Plattformen (Digital Sustainability)Marcus Dapp
 
Innovatives Web- und Instore-Marketing - Web-Applikationen für den Tourismus
Innovatives Web- und Instore-Marketing - Web-Applikationen für den TourismusInnovatives Web- und Instore-Marketing - Web-Applikationen für den Tourismus
Innovatives Web- und Instore-Marketing - Web-Applikationen für den TourismusVCAT Consulting GmbH
 
Innovationen durch Netzwerke - Beispiele aus Niedersachsen
Innovationen durch Netzwerke - Beispiele aus NiedersachsenInnovationen durch Netzwerke - Beispiele aus Niedersachsen
Innovationen durch Netzwerke - Beispiele aus NiedersachsenMario Leupold
 
Mobile Strategien und systematische Einführung in Unternehmen - Hagen Sexauer
Mobile Strategien und systematische Einführung in Unternehmen - Hagen SexauerMobile Strategien und systematische Einführung in Unternehmen - Hagen Sexauer
Mobile Strategien und systematische Einführung in Unternehmen - Hagen SexauerHagen Sexauer
 
Sami Khalaji Notfälle in der Zahnmedizin
Sami Khalaji Notfälle in der ZahnmedizinSami Khalaji Notfälle in der Zahnmedizin
Sami Khalaji Notfälle in der ZahnmedizinSamiKhalaji
 
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...Carsten Muetzlitz
 
Yaniv blumenfeld glacier_global_partners_beschwort_beschwerde_wegen_nichtzahl...
Yaniv blumenfeld glacier_global_partners_beschwort_beschwerde_wegen_nichtzahl...Yaniv blumenfeld glacier_global_partners_beschwort_beschwerde_wegen_nichtzahl...
Yaniv blumenfeld glacier_global_partners_beschwort_beschwerde_wegen_nichtzahl...schnuckiputz
 
Social Media für KMUs - Konkreter Nutzen oder Verschwendung von Ressourcen
Social Media für KMUs - Konkreter Nutzen oder Verschwendung von RessourcenSocial Media für KMUs - Konkreter Nutzen oder Verschwendung von Ressourcen
Social Media für KMUs - Konkreter Nutzen oder Verschwendung von RessourcenVCAT Consulting GmbH
 
Flyer "Männerchor plus..."
Flyer "Männerchor plus..."Flyer "Männerchor plus..."
Flyer "Männerchor plus..."Johannes Pfeffer
 
Drogerien im Social Web - Hagen Sexauer
Drogerien im Social Web - Hagen SexauerDrogerien im Social Web - Hagen Sexauer
Drogerien im Social Web - Hagen SexauerHagen Sexauer
 
Groups 2010.09: Free/Open Spectrum (Digital Sustainability)
Groups 2010.09: Free/Open Spectrum (Digital Sustainability)Groups 2010.09: Free/Open Spectrum (Digital Sustainability)
Groups 2010.09: Free/Open Spectrum (Digital Sustainability)Marcus Dapp
 

Andere mochten auch (20)

Groups 2010.15 Mobile Plattformen (Digital Sustainability)
Groups 2010.15 Mobile Plattformen (Digital Sustainability)Groups 2010.15 Mobile Plattformen (Digital Sustainability)
Groups 2010.15 Mobile Plattformen (Digital Sustainability)
 
Innovatives Web- und Instore-Marketing - Web-Applikationen für den Tourismus
Innovatives Web- und Instore-Marketing - Web-Applikationen für den TourismusInnovatives Web- und Instore-Marketing - Web-Applikationen für den Tourismus
Innovatives Web- und Instore-Marketing - Web-Applikationen für den Tourismus
 
Website
WebsiteWebsite
Website
 
Apps und iPad
Apps und iPadApps und iPad
Apps und iPad
 
Innovationen durch Netzwerke - Beispiele aus Niedersachsen
Innovationen durch Netzwerke - Beispiele aus NiedersachsenInnovationen durch Netzwerke - Beispiele aus Niedersachsen
Innovationen durch Netzwerke - Beispiele aus Niedersachsen
 
Barkämp
BarkämpBarkämp
Barkämp
 
trewq32
trewq32trewq32
trewq32
 
Mobile Strategien und systematische Einführung in Unternehmen - Hagen Sexauer
Mobile Strategien und systematische Einführung in Unternehmen - Hagen SexauerMobile Strategien und systematische Einführung in Unternehmen - Hagen Sexauer
Mobile Strategien und systematische Einführung in Unternehmen - Hagen Sexauer
 
Sami Khalaji Notfälle in der Zahnmedizin
Sami Khalaji Notfälle in der ZahnmedizinSami Khalaji Notfälle in der Zahnmedizin
Sami Khalaji Notfälle in der Zahnmedizin
 
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
 
Yaniv blumenfeld glacier_global_partners_beschwort_beschwerde_wegen_nichtzahl...
Yaniv blumenfeld glacier_global_partners_beschwort_beschwerde_wegen_nichtzahl...Yaniv blumenfeld glacier_global_partners_beschwort_beschwerde_wegen_nichtzahl...
Yaniv blumenfeld glacier_global_partners_beschwort_beschwerde_wegen_nichtzahl...
 
Social Media für KMUs - Konkreter Nutzen oder Verschwendung von Ressourcen
Social Media für KMUs - Konkreter Nutzen oder Verschwendung von RessourcenSocial Media für KMUs - Konkreter Nutzen oder Verschwendung von Ressourcen
Social Media für KMUs - Konkreter Nutzen oder Verschwendung von Ressourcen
 
Flyer "Männerchor plus..."
Flyer "Männerchor plus..."Flyer "Männerchor plus..."
Flyer "Männerchor plus..."
 
Training 2
Training 2Training 2
Training 2
 
Drogerien im Social Web - Hagen Sexauer
Drogerien im Social Web - Hagen SexauerDrogerien im Social Web - Hagen Sexauer
Drogerien im Social Web - Hagen Sexauer
 
Story Maps und Bundesgeodienste: Mit „geo“ mehr Informationen vermitteln (sw...
Story Maps und Bundesgeodienste: Mit „geo“ mehr Informationen vermitteln (sw...Story Maps und Bundesgeodienste: Mit „geo“ mehr Informationen vermitteln (sw...
Story Maps und Bundesgeodienste: Mit „geo“ mehr Informationen vermitteln (sw...
 
Storytelling - Investor Relations
Storytelling - Investor RelationsStorytelling - Investor Relations
Storytelling - Investor Relations
 
SS2011
SS2011SS2011
SS2011
 
Groups 2010.09: Free/Open Spectrum (Digital Sustainability)
Groups 2010.09: Free/Open Spectrum (Digital Sustainability)Groups 2010.09: Free/Open Spectrum (Digital Sustainability)
Groups 2010.09: Free/Open Spectrum (Digital Sustainability)
 
Kneipenabend
KneipenabendKneipenabend
Kneipenabend
 

Ähnlich wie Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic

Implementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerImplementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerMartin Obst
 
Oracle Security Übersicht
Oracle Security ÜbersichtOracle Security Übersicht
Oracle Security Übersichtoraclebudb
 
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"Eileen Erdmann
 
Einführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle DeutschlandEinführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle DeutschlandCarsten Muetzlitz
 
Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Harald Erb
 
Dv 20 sdlc_oss_automation
Dv 20 sdlc_oss_automationDv 20 sdlc_oss_automation
Dv 20 sdlc_oss_automationTorsten Glunde
 
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ..."Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...Bernhard Schimunek
 
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und RecoveryZeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recoveryoraclebudb
 
Infrastruktur agil bauen - der DBA im SAFe-Umfeld
Infrastruktur agil bauen - der DBA im SAFe-UmfeldInfrastruktur agil bauen - der DBA im SAFe-Umfeld
Infrastruktur agil bauen - der DBA im SAFe-UmfeldDaniel Steiger
 
SnT DataCenter Services
SnT DataCenter ServicesSnT DataCenter Services
SnT DataCenter ServicesS&T AG
 
20181120_DOAG_OracleNoSQLDB_KPatenge
20181120_DOAG_OracleNoSQLDB_KPatenge20181120_DOAG_OracleNoSQLDB_KPatenge
20181120_DOAG_OracleNoSQLDB_KPatengeKarin Patenge
 
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?GWAVA
 
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARMExperteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARMThomas Maier
 
Oracle AVDF in der Praxis
Oracle AVDF in der PraxisOracle AVDF in der Praxis
Oracle AVDF in der PraxisTrivadis
 
Firmenpräsentation clavis it 2011 kurz, deutsch
Firmenpräsentation clavis it 2011 kurz, deutschFirmenpräsentation clavis it 2011 kurz, deutsch
Firmenpräsentation clavis it 2011 kurz, deutschMartin Frischknecht
 
Firmenpräsi(kurz) clavis IT 2011
Firmenpräsi(kurz) clavis IT 2011Firmenpräsi(kurz) clavis IT 2011
Firmenpräsi(kurz) clavis IT 2011Martin Frischknecht
 
Artikel: Professional Computing: IDM und IL: Fundamente zur Abbildung von Ges...
Artikel: Professional Computing: IDM und IL: Fundamente zur Abbildung von Ges...Artikel: Professional Computing: IDM und IL: Fundamente zur Abbildung von Ges...
Artikel: Professional Computing: IDM und IL: Fundamente zur Abbildung von Ges...Peter Affolter
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmeNoCodeHardening
 
Oracle Database 12c Release 2
Oracle Database 12c Release 2 Oracle Database 12c Release 2
Oracle Database 12c Release 2 oraclebudb
 

Ähnlich wie Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic (20)

Implementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerImplementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise Manager
 
Oracle Security Übersicht
Oracle Security ÜbersichtOracle Security Übersicht
Oracle Security Übersicht
 
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
 
Einführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle DeutschlandEinführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle Deutschland
 
Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!
 
Dv 20 sdlc_oss_automation
Dv 20 sdlc_oss_automationDv 20 sdlc_oss_automation
Dv 20 sdlc_oss_automation
 
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ..."Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
 
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und RecoveryZeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
 
Infrastruktur agil bauen - der DBA im SAFe-Umfeld
Infrastruktur agil bauen - der DBA im SAFe-UmfeldInfrastruktur agil bauen - der DBA im SAFe-Umfeld
Infrastruktur agil bauen - der DBA im SAFe-Umfeld
 
SnT DataCenter Services
SnT DataCenter ServicesSnT DataCenter Services
SnT DataCenter Services
 
20181120_DOAG_OracleNoSQLDB_KPatenge
20181120_DOAG_OracleNoSQLDB_KPatenge20181120_DOAG_OracleNoSQLDB_KPatenge
20181120_DOAG_OracleNoSQLDB_KPatenge
 
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?
GWAVACon 2015: Microsoft MVP - Ist die Cloud wirklich sicher?
 
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARMExperteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
 
Oracle AVDF in der Praxis
Oracle AVDF in der PraxisOracle AVDF in der Praxis
Oracle AVDF in der Praxis
 
Firmenpräsentation clavis it 2011 kurz, deutsch
Firmenpräsentation clavis it 2011 kurz, deutschFirmenpräsentation clavis it 2011 kurz, deutsch
Firmenpräsentation clavis it 2011 kurz, deutsch
 
Firmenpräsi(kurz) clavis IT 2011
Firmenpräsi(kurz) clavis IT 2011Firmenpräsi(kurz) clavis IT 2011
Firmenpräsi(kurz) clavis IT 2011
 
Artikel: Professional Computing: IDM und IL: Fundamente zur Abbildung von Ges...
Artikel: Professional Computing: IDM und IL: Fundamente zur Abbildung von Ges...Artikel: Professional Computing: IDM und IL: Fundamente zur Abbildung von Ges...
Artikel: Professional Computing: IDM und IL: Fundamente zur Abbildung von Ges...
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
 
Lean Collaboration
Lean CollaborationLean Collaboration
Lean Collaboration
 
Oracle Database 12c Release 2
Oracle Database 12c Release 2 Oracle Database 12c Release 2
Oracle Database 12c Release 2
 

Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic

  • 1.
  • 2. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Share with #ODSD2015 OracleDirect Security Day 2015 Bitte Fragen über den WebEx Chat. Danke.
  • 3. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Safe Harbor Statement The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle. OracleDirect Security Day 2015 3
  • 4. Security Day 2015 Eine geniale Lösung für das Benutzermanagement Suvad Sahovic Systemberatung Potsdam OracleDirect SECURITY Inside-Out
  • 5. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Referent: Kurz vorgestellt 5 • Suvad Sahovic – Unterstützt Deutschlands Daten sicher(er) zu machen , ORACLE Potsdam OracleDirect Security Day 2015
  • 6. Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Agenda OracleDirect Security Day 2015 6 Informationssicherheit als Prozess - Wo stehen wir? Kurze Einführung – Was ist die Ausgangssituation? Die Lösung – Wofür soll sie/das gut sein? 1 2 3
  • 7. Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 Das Informationssicherheitskonzept beruht auf einem Risikomodell und beleuchtet die Organisation und die Prozesse INFORMATIONSSICHERHEIT als Prozess Sicherheitsprozess Initialaktivitäten Laufende Aktivitäten Umsetzungen / Betrieb Prozesse Sicherheitsstrategie Risikomanagement Sicherheitsmgmt. Schutz Informationswerte (Vetraulichkeit, Integrität) Sicherstellung der Verfügbarkeit Disaster Recovery /Business Continuity Planning Monitoring Auditing Bereiche Technisch Physisch Organisatorisch Systeme (HW& OS) Netze Software Daten Build Operate Ablauf Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung Risikomanagement Security Policy, Standards & Procedures Sicherheits- organisation Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Sicherheitszonen Zugangskontrollen Zutrittsicherungs- sytemeFirewalls Netzwerkdesign Clustering Netzwerkmgmt. Virenschutz- management Sichere OS System- Aktualisierung SW-Design Verbindlichkeit Datenklassifik. Datenträger System- performance Monitoring CM Hot-Backup Gebäudesicherheit Personelle Sicherheit Arbeitsplatz Schutz vor Elem- entarereignissen Notfallpläne (Contingency Plans) Intrusion Detection Systems Gebäude- überwachung Videoaufzeichnung Activity Logging Sicherheitsaudits Vulnerability Checks Sicherheitsmanagement Security Vision, Strategie für den Umgang mit unternehmenskritischen Infrastrukturen und Informationswerten Governance HR-Prozesse Betriebl. Praktiken Awareness Training Backup, Backup-Facitilites Logging, Evaluierung, Behandlung von Sicherheitsvorfällen System Recovery Informationssicherheit ist ein Prozess, der alle Teile eines Unternehmens be- trifft. Es reicht nicht zu denken: “Die IT Abteilung wird mich schon schützen” 7 Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN SW-Design Verbindlichkeit
  • 8. Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Agenda OracleDirect Security Day 2015 8 Informationssicherheit als Prozess - Wo stehen wir? Kurze Einführung – Was ist die Ausgangssituation? Die Lösung – Wofür soll sie/das gut sein? 1 2 3
  • 9. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | Komplexität bedeutet auch Verlust der Kontrolle Komplexitätsberechung einer typischen Umgebung ComplexDBAMGMT = Count(DBAs) x Count (DB Instances) Zur Erinnerung: Das LDSG und die DSVO stellen hierfür konkrete Anforderungen. Bei jeder administrativen Tätigkeit muss stets der Ausführende ermittelt werden können. Auch Oracle empfiehlt den Einsatz von personalisierten DBAs. SYS wird nur in Ausnahmenfällen genutzt und SYSTEM wird gesperrt. Hinzu kommt, dass bestimmte Zertifizierungen (wie z.B. BSI) eine regelmäßige Änderung der Passwörter fordert. Gegeben (Ist-Situation): Eine Unternehmung betreibt 100 Datenbanken inkl. Entwicklung, Test, Integration und Abnahme DBs. Diese Datenbanken werden von 5 DBAs betreut. Jeder DBA ist in jeder DB lokal angelegt. Zusätzlich zu den Datenbanken besteht ein zentrales Benutzerrepository (MS Active Directory) 5 DBAs x 100 DB InstancesComplexDBAMGMT = 500ComplexDBAMGMT =
  • 10. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | Inkonsequenz bedeutet auch Verlust der Kontrolle Passwort Mangement – das größte Übel Zur Erinnerung: BDSG $9 Abs.3 Gegeben (Ist-Situation): Eine Unternehmung betreibt 100 Datenbanken inkl. Entwicklung, Test, Integration und Abnahme DBs. DBA Passwordwechsel erfolgt (hoffentlich) regelmäßig z.B. 4/Jahr. Zusätzlich zu den Datenbanken besteht ein zentrales Benutzerrepository (MS Active Directory) Pro User: ComplexPWDMGMT = 100 DB Inst. x 4 PWD Wechsel 400ComplexPWDMGMT =
  • 11. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 11 Personalisierung ist komplex Wie sieht die Realität aus? Anonym! DBA SYS oder SYSTEM Wegen der Komplexität werden wichtige Maßnahmen nicht implementiert! Wesentliche Maßnahmen für einen sicheren Datenbank-Betrieb werden nicht implementiert 1. Kein Passwortwechsel 2. Keine Zwecktrennung 3. Keine personalisierten DBAs, alle DBAs arbeiten mit SYS und SYSTEM. 4. Etc.
  • 12. Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Agenda OracleDirect Security Day 2015 12 Informationssicherheit als Prozess - Wo stehen wir? Kurze Einführung – Was ist die Ausgangssituation? Die Lösung – Wofür soll sie/das gut sein? 1 2 3
  • 13. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 13 Viele positive Nebeneffekte Business Cases • Bus.Case #1: DBA, Entwickler erhalten automatisch DBA/DEV Privilegien • Bus.Case #2: DBA/AppUser Funktionstrennung • Bus.Case #3: DEV/Release Mgr. Funktionstrennung • Bus.Case #4: Bestehende Kerberos Authentifizierung in der DB • Bus.Case #5: Bestehende Kerberos Authentifizierung bei Oracle Linux • Bus.Case #6: Bestehende Kerberos Authentifizierung bei DB Tools (SQL Developer, MS Office,...) • Bus.Case #7: SYSDBA ohne Passwordfile • Bus.Case #8: Batch User für Batch Jobs
  • 14. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 14 Bestehende Infrastruktur nachhaltig nutzen Welche Infrastruktur brauche ich? ORA DB ORA DB ORA DB ORA DB
  • 15. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 15 Viele positive Nebeneffekte Benefits • Zentralisiertes Password Management - Erzwingung der Passwortrichtlinien durch Einsatz der bestehenden Infrastruktur • Einhaltung und Erzwingung der unternehmerischen und gesetzlichen Sicherheitsrichtlinien. Vorhandene Inkonsequenzen, falsche oder falsche implementierte Security Konzepte, verursacht durch menschliches Versagen, werden ausgeschlossen. • Erzwingung von Least Privilege Konzept. Durchgehendes Konzept, welches nicht umgegangen werden kann. • Zentralisierte Benutzerauthentifizierung - durch bestehende Infrastruktur (Oracle Datenbank und MS Active Directory) • Zwecktrennung - Account Management und Applikations/DB Management wird voneinander getrennt. • Reduzierung der Komplexität - durch Zentralisierung und Auslagerung werden viele Betriebsaufgaben überflüssig. • Starke Authentifizierung (Kerberos) - in der Oracle DB Welt, die bereits in Ihrem Unternehmen weitgehend genutzt wird. • Keine User Repository Redundanzen. Es wird Ihr bestehendes User Repository (typischerweise MS Active Directory) als führendes Benutzer Verzeichnisdienst verwendet. • Reduzierung vieler administrativen DB Aufgaben. Bei den DBAs entfallen viele Aufgaben z.B. im Bereich User Management, Password Mgmt,...,die nicht anderweitig ausgelagert werden, sondern die einfach entfallen. Es wird die bestehende Infrastruktur dafür verwendet. • Single Sign On. Es wird bestehendes unternehmensweites Single Sign On (basierend auf Kerberos) nachhaltig genutzt. • Eindeutigkeit und bessere Nachvollziehbarkeit.
  • 16. Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 16 Die nachfolgende Präsentation OracleDirect Security Day 2015 • 16:45 Uhr: Sichere Speicherung von Daten in der Cloud und Live- Hack auf eine ungeschützte Datenbank - Test prüft die wesentliche Funktionalität