SlideShare ist ein Scribd-Unternehmen logo
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Security Inside Out
Oracle 12c - Daten schützen und compliant sein
Heinz-Wilhelm Fabry
Senior Leitender Systemberater
Business Unit Database
Januar 2015
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Safe Harbor Statement
The following is intended to outline our general product direction. It is intended for
information purposes only, and may not be incorporated into any contract. It is not a
commitment to deliver any material, code, or functionality, and should not be relied upon
in making purchasing decisions. The development, release, and timing of any features or
functionality described for Oracle’s products remains at the sole discretion of Oracle.
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
80% der IT Security Programme gehen an der Datenbank vorbei
Was macht Datenbanken so verwundbar?
Netzwerk Security
SIEM
Endpoint Security
Web Application
Firewall
Email Security
Authentifizierung &
Benutzer Security
Datenbank
Sicherheit
"Die amerikanischen
Unternehmen merken es,
wenn sie angegriffen werden -
die deutschen nicht."
Computerwoche März 2012
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Höchste Sicherheit durch Schutz auf allen Ebenen
Aktivitäten überwachen
Auditieren und Berichten
DETEKTION
Redigieren und Maskieren
Verschlüsseln
PRÄVENTION ADMINISTRATION
Sensible Daten finden
Privilegien analysieren
Privilegierte Benutzer
kontrollieren
Database Firewall Konfigurationen verwalten
4
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Höchste Sicherheit durch Schutz auf allen Ebenen
Aktivitäten überwachen
Auditieren und Berichten
DETEKTION
Redigieren und Maskieren
Verschlüsseln
PRÄVENTION ADMINISTRATION
Sensible Daten finden
Privilegien analysieren
Privilegierte Benutzer
kontrollieren
Database Firewall Konfigurationen verwalten
5
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Verschlüsseln ist die Basis
• Anwendungen / Trigger rufen das API auf
• Kein automatisches Schlüsselmanagement
• Package stellt Prozeduren und Funktionen zur Verfügung
– Zum Verschlüsseln und Entschlüsseln
– Zum Arbeiten mit Prüfsummen
In allen Editionen prozedural mit DBMS_CRYPTO
CREATE OR REPLACE FUNCTION crypt (eingabe IN VARCHAR2) RETURN RAW IS
v_rohdaten RAW(200);
v_schluessel RAW(32);
v_verschluesselung PLS_INTEGER := DBMS_CRYPTO.ENCRYPT_AES256 +
DBMS_CRYPTO.CHAIN_CBC + DBMS_CRYPTO.PAD_ZERO;
BEGIN
...
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
• Schützt Daten auf Speichermedien
• Erfordert keine Änderungen von
vorhandenen Anwendungen
• Enthält das Schlüssel Management
• Systembelastung vernachlässigbar
• Integriert in die Oracle Technologien
– Exadata, Advanced Compression, ASM,
Golden Gate, DataPump, RMAN ...
Verschlüsseln ist die Basis
Speichermedien
Backups
Exports
Dezentrale
Aufbewahrung
Anwendungen
Nur Enterprise Edition (EE): Oracle Advanced Security - Transparent Data Encryption (TDE)
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Transparent Data Encryption (TDE)
• Neue, eigene Syntax zur Verwaltung von Wallet und HSM
– Voraussetzung ADMINISTER KEY MANAGEMENT Privileg oder SYSKM
– Schlüssel können importiert, exportiert, zusammengeführt (merge) und automatisch
gesichert werden
• Neue Views zur besseren Kontrolle von Wallets und Schlüsseln
– V$ENCRYPTION_WALLET, V$ENCRYPTION_KEYS und andere
ADMINISTER KEY MANAGEMENT CREATE KEYSTORE
'$ORACLE_HOME/network/admin' IDENTIFIED BY einpasswort;
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Oracle Key Vault
• HSM mit Anwendungsschwerpunkt TDE
• Ausserdem Wallet Repository für
– Wallets / Keystores der Oracle Datenbank
– Wallets / Keystores der Oracle Middleware
– Java Keystores (JKS)
– Java Cryptography Extension Keystores
(JCEKS)
– SSH Key Files
– Kerberos Keytabs
Die perfekte Ergänzung für TDE
9
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Höchste Sicherheit durch Schutz auf allen Ebenen
Aktivitäten überwachen
Auditieren und Berichten
DETEKTION
Redigieren und Maskieren
Verschlüsseln
PRÄVENTION ADMINISTRATION
Sensible Daten finden
Privilegien analysieren
Privilegierte Benutzer
kontrollieren
Database Firewall Konfigurationen verwalten
10
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Was ist Data Redaction?
• Unkenntlich Machen von
DATENAUSGABEN in Echtzeit
– Zu steuern über Bedingungen
• Bibliothek mit gängigen Mustern ist
im Lieferumfang enthalten
• Transparent für Anwendungen,
Datenbankadministratoren und
Benutzer
Oracle Advanced Security Option (ASO) in RDBMS 12.1 & 11.2.0.4
Kreditkarten
4451-2172-9841-4368
5106-8395-2095-5938
7830-0032-0294-1827
Redaction Policy
xxxx-xxxx-xxxx-4368 4451-2172-9841-4368
Call Center Mitarbeiter Rechnungsabteilung
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Was geht?
• FULL
– Auf Datenbankebene definierbarer Default
• PARTIAL
– Festzulegender Teil (von - bis) des Eintrags wird geändert
• RANDOM
• REGEXP
Package DBMS_REDACT
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Was sollte man sonst noch wissen?
• Anwendbar sowohl auf Views als auch auf Tabellen
– Nur Werte aus der SELECT Liste werden unkenntlich gemacht
• Nicht alle Datentypen werden vollständig unterstützt
– Zum Beispiel Teile von BLOBs, CLOBs nicht unkenntlich zu machen
• Objekte von SYS und SYSTEM können nicht unkenntlich gemacht werden
• SYS und SYSTEM sehen IMMER den Originalwert
– EXEMPT REDACTION POLICY
– EXEMPT REDACTION POLICY aus EXP FULL DATABASE
• Ausführungspläne geben keinen Hinweis auf das unkenntlich Machen
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Data Redaction in EM Cloud Control 12c und SQL*Developer
Graphische Unterstützung schon heute
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Daten für Entwicklung und Test maskieren
• Sensible Daten durch typgerechte
harmlose Daten ersetzen
• Referentielle Integrität wird erhalten
• Bibliothek mit editierbaren Vorlagen
und Formaten ist im Lieferumfang
enthalten
• Vorlagen für Anwendungen
verfügbar
• Unterstützt auch das Maskieren in
Nicht-Oracle Datenbanken
Oracle Enterprise Manager Cloud Control Data Masking and Subsetting Pack
NAME SOZIALVERSNR GEHALT
Wilson 323—23-1111 60.000
Zuckerberg 252-34-1345 40.000
NAME SOZIALVERSNR GEHALT
AGUILAR 203-33-3234 40.000
BENSON 323-22-2943 60.000
Production
Entwicklung, Test
Produktion
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Höchste Sicherheit durch Schutz auf allen Ebenen
Aktivitäten überwachen
Auditieren und Berichten
DETEKTION
Redigieren und Maskieren
Verschlüsseln
PRÄVENTION ADMINISTRATION
Sensible Daten finden
Privilegien analysieren
Privilegierte Benutzer
kontrollieren
Database Firewall Konfigurationen verwalten
16
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Funktionen trennen, Aufgaben verteilen, least privilege
• Oracle Data Guard Administration mit Data Guard Broker oder DGMGRL
• SYSDG Benutzer und Privileg
• Backup mit RMAN oder SQL*Plus
• SYSBACKUP Benutzer und Privileg
• Wallet Administration im Kontext von ASO (TDE)
• SYSKM Benutzer und Privileg
• Die Benutzer SYSDG, SYSBACKUP und SYSKM können nicht mit DROP USER
gelöscht werden
Wichtige Verwaltungstätigkeiten ohne SYSDBA
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Festlegung im Rahmen der Software Installation
Wichtige Verwaltungstätigkeiten ohne SYSDBA
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Kontrolle privilegierter Benutzer
• Database Vault (DV)
– Zugriff von DBAs auf Benutzerdaten
einschränken
– Realms schützen ganze Bereiche
– Ausführung von SQL Befehlen über
Umgebungsvariablen zu steuern
– Fertige Regelwerke für gängige
Anwendungen verfügbar
Compliance, least privilege, Trennen von Funktionen und Aufgaben
Procurement
HR
Finance
SELECT * FROM finance.customers
Anwendungs-DBA
Anwendung
Security-DBA
DBA
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Database Vault (DV)
• Im neuen Release in jeder Installation enthalten
– Nachträgliche Konfiguration mit DBCA oder auf der Kommandozeile
– Ein- und ausschaltbar, sofern die Privilegien IN DER DATENBANK dazu vorliegen
• Unterschiedliche Datenbanken aus einem ORACLE_HOME können mit oder
ohne DV (unterschiedlich) konfiguriert werden
• Installation immer ohne Database Vault Administrator (dva)
– Verwaltung über EM Cloud Control oder Kommandozeile
Installation, Ein- und Auschalten
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Oracle Label Security (OLS)
Zugriffe über Labels steuern
Zugriff auf einen Datensatz nur, wenn
das Label des Datensatzes und das
Label des Benutzers 'kompatibel' sind
Labels + Privilegien
Session Datensätze Label
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Enterprise Edition - Virtual Private Database
• Ergänzt SQL-GRANTs auf Tabellenebene
• Mit einer Tabelle oder einem View wird eine sogenannte POLICY
verbunden
– POLICY = Zeichenkette, die durch eine Funktion erstellt wird
• Zeichenkette wird als zusätzliche WHERE-Bedingung automatisch an jeden Befehl angehängt
– Benutzer sehen nur die Daten, die sie laut Policy sehen dürfen
WHERE abtnr = 10
WHERE angnr = 1234
SELECT * FROM mitarbeiter;
Manager
Verkäufer
Policyidentische Abfrage +
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Höchste Sicherheit durch Schutz auf allen Ebenen
Aktivitäten überwachen
Auditieren und Berichten
DETEKTION
Redigieren und Maskieren
Verschlüsseln
PRÄVENTION ADMINISTRATION
Sensible Daten finden
Privilegien analysieren
Privilegierte Benutzer
kontrollieren
Database Firewall Konfigurationen verwalten
23
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Auditing
• Default und SYS Auditing
– -> Betriebssystem
• Standard Auditing (Systemprivilegien, Befehle, Objekte)
– -> SYS.AUD$ oder Betriebssystem in proprietärem Format oder XML
• Fine Grained Auditing (Auditieren in Abhängigkeit von Bedingungen)
– -> SYS.FGA_LOG$ oder Betriebssystem in proprietärem Format oder XML
• Database Vault Auditing
– -> DVSYS.AUDIT_TRAIL$
Oracle Database 11g Release 2
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Das neue Auditing
• Unified Audit Trail
– Policies steuern das Auditing, nicht Initialisierungsparameter
• AUDSYS ist Eigentümer des Audit Trail
– Nur eine Tabelle im Tablespace SYSAUX
• Zugriff auf den Audit Trail nur für Rollen AUDADMIN und AUDVIEWER
– Gilt auch für eigene Objekte
• Unterstützt RMAN, Data Pump und Direct Path Loader
• Bessere Performance
unified auditing
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Einrichten
• Aktivierung nicht über Initialierungsparameter, sondern über den
Programmcode des RDBMS
– Nach der Installation des Programmcodes oder Upgrade standardmässig sind sowohl
traditionelles als auch unified Auditing aktiviert
– Umschalten auf ausschliesslich unified auditing
• Datenbank und Listener stoppen
• Aktiviert oder nicht aktiviert?
SELECT value FROM v$option
WHERE parameter = 'Unified Auditing';
cd $ORACLE_HOME/rdbms/lib
make -f ins_rdbms.mk uniaud_on ioracle
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Konfigurieren - Policy anlegen
• Vergleichbar mit dem Einrichten des FGA (Policies)
CREATE AUDIT POLICY zumbeispiel
PRIVILEGES SELECT ANY TABLE
ACTIONS CREATE USER, ALTER USER,
SELECT ON SCOTT.EMP
ROLES RESOURCE
WHEN 'SYS_CONTEXT(''USERENV'', ''MODULE'') <>
(''PERSVERW'')'
EVALUATE PER STATEMENT
CONTAINER = CURRENT; -- nur in einer cdb
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Komponenten auditieren
• Komponenten sind
– Data Pump
– Database Vault
– Data Mining
– Label Security
– Real Application Security
– SQL Loader direct loads
• Auditing des RMAN wird über den RMAN selbst gesteuert
CREATE AUDIT POLICYzumbeispiel
ACTIONS COMPONENT = DATAPUMP ALL -- IMPORT oder EXPORT
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Höchste Sicherheit durch Schutz auf allen Ebenen
Aktivitäten überwachen
Auditieren und Berichten
DETEKTION
Redigieren und Maskieren
Verschlüsseln
PRÄVENTION ADMINISTRATION
Sensible Daten finden
Privilegien analysieren
Privilegierte Benutzer
kontrollieren
Database Firewall Konfigurationen verwalten
29
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Oracle Audit Vault and Database Firewall
• Konsolidiertes Auditing über Oracle
und nicht Oracle Datenbanken sowie
weitere IT Komponenten
– SDK zum Erstellen eigener Agenten für
beliebige andere IT Komponenten
• Vorgefertigte und eigene Berichte
und Testate
• Alerts
• Software Appliance
Oracle Audit Vault Server
Audit Daten &
Event Logs
Policies
Vorgefertigte
und eigene
Berichte
Alerts!
BS &
Storage
Directories
Databanken
Weitere
Security
Analyst
Auditor
SOC
Repository
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Oracle Audit Vault and Database Firewall
 Überwacht das Netzwerk, erkennt
und blockt bei Bedarf illegale
Aktivitäten
 Analysiert SQL in einem
patentierten, höchst genauen
Verfahren in Echtzeit
 Kann sowohl mit Positiv- als auch
mit Negativlisten (Whitelists /
Blacklists) arbeiten
 Software Appliance
Database Firewall
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Oracle Audit Vault and Database Firewall
Vorgefertigte
und eigene
Berichte
Alerts !
Firewall Events
Benutzer
Anwendungen
Database Firewall
Erlauben
Protokollieren
Alarmieren
Ersetzen
Blocken
Audit Daten
Audit Vault
Repository
BS, Directory, Dateisystem &
beliebige Audit LogsPolicies
(Baselines)
Security
Analyst
Auditor
SOC
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Höchste Sicherheit durch Schutz auf allen Ebenen
Aktivitäten überwachen
Auditieren und Berichten
DETEKTION
Redigieren und Maskieren
Verschlüsseln
PRÄVENTION ADMINISTRATION
Sensible Daten finden
Privilegien analysieren
Privilegierte Benutzer
kontrollieren
Database Firewall Konfigurationen verwalten
33
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Privilege Analysis - least privilege durchsetzen
 Im laufenden Betrieb least privilege
umsetzen durch Entzug nicht benötigter
Privilegien und Rollen
 Mit dem Package
DBMS_PRIVILEGE_CAPTURE die
verwendeten Privilegien und Rollen
erfassen sowie Berichtsdaten generieren
 Aus Hilfstabellen Berichte über die
verwendeten oder nicht verwendeten
Privilegien und Rollen erzeugen
Gehört zu Oracle Database Vault
Privilege Analysis
Create…
Drop…
Modify…
DBA role
APPADMIN role
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Oracle Enterprise Manager 12c
• Sensible Daten und Datenbanken
finden
– Restricted Use NUR DER FINDING
FUNKTIONALITÄT für alle Security
Optionen (ASO, DV, OLS)
• Ziel: Sensible Daten angemessen
schützen: Verschlüsseln, redigieren,
maskieren, ...
Data Finding Funktionalität
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Oracle Enterprise Manager 12c
• Konfigurationen verwalten
– Datenbanken finden und klassifizieren
– Nach Vorgaben wie best practices oder
Industriestandards analysieren
– Nicht authorisierte Veränderungen
erkennen
– Automatisches Wiederherstellen des
gewünschten Zustands
– Patching und Provisionierung
Oracle Database Lifecycle Management Pack
Discover
Scan & Monitor
Patch
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Höchste Sicherheit durch Schutz auf allen Ebenen
Aktivitäten überwachen
Auditieren und Berichten
DETEKTION
Redigieren und Maskieren
Verschlüsseln
PRÄVENTION ADMINISTRATION
Sensible Daten finden
Privilegien analysieren
Privilegierte Benutzer
kontrollieren
Database Firewall Konfigurationen verwalten
37
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Oracle Database Security - Informationsmaterial
http://www.oracle.com/us/products/database/security/overview/index.html
• Datenblätter
• Whitepaper
• Webcasts
• Fallstudien
• Veranstaltungen
• Neuigkeiten
• …
38
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Informationen in deutscher Sprache
39
Communities
DBA Community
APEX Community
Security Community
• Veranstaltungen
– http://tinyurl.com/odd12c
• Mobile App der BU DB
– http://tinyurl.com/oraclebudb
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.
Oracle Security Übersicht

Weitere ähnliche Inhalte

Andere mochten auch

Keytool, OpenSSL und Co. Wofür nehme ich was und Warum?
Keytool, OpenSSL und Co. Wofür nehme ich was und Warum?Keytool, OpenSSL und Co. Wofür nehme ich was und Warum?
Keytool, OpenSSL und Co. Wofür nehme ich was und Warum?
Jan Dittberner
 
11 nützliche Funktionen, die Ihre Firewall bieten sollte!
11 nützliche Funktionen, die Ihre Firewall bieten sollte!11 nützliche Funktionen, die Ihre Firewall bieten sollte!
11 nützliche Funktionen, die Ihre Firewall bieten sollte!
Filipe Felix
 
Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch
Anbindung einer externen pfSense Firewall - Webinar 2016, deutschAnbindung einer externen pfSense Firewall - Webinar 2016, deutsch
Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch
Askozia
 
SharePoint als ECM / EIM
SharePoint als ECM / EIMSharePoint als ECM / EIM
SharePoint als ECM / EIMFLorian Laumer
 
Verschlüsselung
VerschlüsselungVerschlüsselung
Verschlüsselung
Benno Alexander Ommerborn
 
Lazio powerpoint
Lazio powerpointLazio powerpoint
Lazio powerpoint
Merrie Weber
 
Wie Sie Ihr Unternehmen vor Cyber-Attacken schützen können - webinar 2017, de...
Wie Sie Ihr Unternehmen vor Cyber-Attacken schützen können - webinar 2017, de...Wie Sie Ihr Unternehmen vor Cyber-Attacken schützen können - webinar 2017, de...
Wie Sie Ihr Unternehmen vor Cyber-Attacken schützen können - webinar 2017, de...
Askozia
 
Digital Transformation - Play along or die
Digital Transformation - Play along or dieDigital Transformation - Play along or die
Digital Transformation - Play along or die
Stefan F. Dieffenbacher
 
Digital banking: Why are banks not performing as well as they could do?
Digital banking: Why are banks not performing as well as they could  do?Digital banking: Why are banks not performing as well as they could  do?
Digital banking: Why are banks not performing as well as they could do?
Stefan F. Dieffenbacher
 
Digital Strategy: what it is, why it is needed & how it integrates with your ...
Digital Strategy: what it is, why it is needed & how it integrates with your ...Digital Strategy: what it is, why it is needed & how it integrates with your ...
Digital Strategy: what it is, why it is needed & how it integrates with your ...
Stefan F. Dieffenbacher
 
eBusiness - IT Security & Unternehmensgründung
eBusiness - IT Security & UnternehmensgründungeBusiness - IT Security & Unternehmensgründung
eBusiness - IT Security & Unternehmensgründung
Iulius Gutberlet
 
Network Security
Network SecurityNetwork Security
Network Security
Jonathan Weiss
 
Abschlusspräsentation
AbschlusspräsentationAbschlusspräsentation
Abschlusspräsentation
MFG Innovationsagentur
 
Verschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisVerschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und Praxis
Peter Tröger
 
Pivotal Digital Transformation Forum: Digital Disruption: The Outlook
Pivotal Digital Transformation Forum: Digital Disruption: The OutlookPivotal Digital Transformation Forum: Digital Disruption: The Outlook
Pivotal Digital Transformation Forum: Digital Disruption: The Outlook
VMware Tanzu
 
JSN Tendo konfigurationshandbuch
JSN Tendo konfigurationshandbuchJSN Tendo konfigurationshandbuch
JSN Tendo konfigurationshandbuch
JoomlaShine
 
Zukunft der E Books
Zukunft der E BooksZukunft der E Books
Zukunft der E Books
Ralf Stockmann
 
Verkaufsgespräch 2.0. Wie das iPad vor Ort begeistern kann.
Verkaufsgespräch 2.0. Wie das iPad vor Ort begeistern kann.Verkaufsgespräch 2.0. Wie das iPad vor Ort begeistern kann.
Verkaufsgespräch 2.0. Wie das iPad vor Ort begeistern kann.
Franz von Vacano
 
fauna europea
fauna europea fauna europea
fauna europea
Jhoan0605
 
web2.0
web2.0web2.0

Andere mochten auch (20)

Keytool, OpenSSL und Co. Wofür nehme ich was und Warum?
Keytool, OpenSSL und Co. Wofür nehme ich was und Warum?Keytool, OpenSSL und Co. Wofür nehme ich was und Warum?
Keytool, OpenSSL und Co. Wofür nehme ich was und Warum?
 
11 nützliche Funktionen, die Ihre Firewall bieten sollte!
11 nützliche Funktionen, die Ihre Firewall bieten sollte!11 nützliche Funktionen, die Ihre Firewall bieten sollte!
11 nützliche Funktionen, die Ihre Firewall bieten sollte!
 
Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch
Anbindung einer externen pfSense Firewall - Webinar 2016, deutschAnbindung einer externen pfSense Firewall - Webinar 2016, deutsch
Anbindung einer externen pfSense Firewall - Webinar 2016, deutsch
 
SharePoint als ECM / EIM
SharePoint als ECM / EIMSharePoint als ECM / EIM
SharePoint als ECM / EIM
 
Verschlüsselung
VerschlüsselungVerschlüsselung
Verschlüsselung
 
Lazio powerpoint
Lazio powerpointLazio powerpoint
Lazio powerpoint
 
Wie Sie Ihr Unternehmen vor Cyber-Attacken schützen können - webinar 2017, de...
Wie Sie Ihr Unternehmen vor Cyber-Attacken schützen können - webinar 2017, de...Wie Sie Ihr Unternehmen vor Cyber-Attacken schützen können - webinar 2017, de...
Wie Sie Ihr Unternehmen vor Cyber-Attacken schützen können - webinar 2017, de...
 
Digital Transformation - Play along or die
Digital Transformation - Play along or dieDigital Transformation - Play along or die
Digital Transformation - Play along or die
 
Digital banking: Why are banks not performing as well as they could do?
Digital banking: Why are banks not performing as well as they could  do?Digital banking: Why are banks not performing as well as they could  do?
Digital banking: Why are banks not performing as well as they could do?
 
Digital Strategy: what it is, why it is needed & how it integrates with your ...
Digital Strategy: what it is, why it is needed & how it integrates with your ...Digital Strategy: what it is, why it is needed & how it integrates with your ...
Digital Strategy: what it is, why it is needed & how it integrates with your ...
 
eBusiness - IT Security & Unternehmensgründung
eBusiness - IT Security & UnternehmensgründungeBusiness - IT Security & Unternehmensgründung
eBusiness - IT Security & Unternehmensgründung
 
Network Security
Network SecurityNetwork Security
Network Security
 
Abschlusspräsentation
AbschlusspräsentationAbschlusspräsentation
Abschlusspräsentation
 
Verschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und PraxisVerschlüsselung in Theorie und Praxis
Verschlüsselung in Theorie und Praxis
 
Pivotal Digital Transformation Forum: Digital Disruption: The Outlook
Pivotal Digital Transformation Forum: Digital Disruption: The OutlookPivotal Digital Transformation Forum: Digital Disruption: The Outlook
Pivotal Digital Transformation Forum: Digital Disruption: The Outlook
 
JSN Tendo konfigurationshandbuch
JSN Tendo konfigurationshandbuchJSN Tendo konfigurationshandbuch
JSN Tendo konfigurationshandbuch
 
Zukunft der E Books
Zukunft der E BooksZukunft der E Books
Zukunft der E Books
 
Verkaufsgespräch 2.0. Wie das iPad vor Ort begeistern kann.
Verkaufsgespräch 2.0. Wie das iPad vor Ort begeistern kann.Verkaufsgespräch 2.0. Wie das iPad vor Ort begeistern kann.
Verkaufsgespräch 2.0. Wie das iPad vor Ort begeistern kann.
 
fauna europea
fauna europea fauna europea
fauna europea
 
web2.0
web2.0web2.0
web2.0
 

Ähnlich wie Oracle Security Übersicht

Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Carsten Muetzlitz
 
Roadshow Oracle Database 12c: News & Features
Roadshow Oracle Database 12c: News & FeaturesRoadshow Oracle Database 12c: News & Features
Roadshow Oracle Database 12c: News & Features
Digicomp Academy AG
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
Carsten Muetzlitz
 
Oracle Data Guard: Mit oder ohne Broker?
Oracle Data Guard: Mit oder ohne Broker?Oracle Data Guard: Mit oder ohne Broker?
Oracle Data Guard: Mit oder ohne Broker?
Dierk Lenz
 
Sensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle DatenbankSensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle Datenbank
Ulrike Schwinn
 
Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2
Ulrike Schwinn
 
Oracle Database 12c Release 2
Oracle Database 12c Release 2 Oracle Database 12c Release 2
Oracle Database 12c Release 2
oraclebudb
 
Oracle Datenbank Manageability
Oracle Datenbank ManageabilityOracle Datenbank Manageability
Oracle Datenbank Manageability
oraclebudb
 
Oracle Database Backup Service
Oracle Database Backup ServiceOracle Database Backup Service
Oracle Database Backup Service
Trivadis
 
Oracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin BergerOracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin Berger
Désirée Pfister
 
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und RecoveryZeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
oraclebudb
 
Automatisiertes disaster recovery testing mit der oracle cloud
Automatisiertes disaster recovery testing mit der oracle cloudAutomatisiertes disaster recovery testing mit der oracle cloud
Automatisiertes disaster recovery testing mit der oracle cloud
Trivadis
 
Überblick Oracle Datenbank 12c
Überblick Oracle Datenbank 12cÜberblick Oracle Datenbank 12c
Überblick Oracle Datenbank 12c
Ileana Somesan
 
Secure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstSecure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin Obst
Carsten Muetzlitz
 
Implementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerImplementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise Manager
Martin Obst
 
Oracle AVDF in der Praxis
Oracle AVDF in der PraxisOracle AVDF in der Praxis
Oracle AVDF in der Praxis
Trivadis
 
Barracuda Lösungen
Barracuda LösungenBarracuda Lösungen
DOAG 2014 - Enterprise User Security Von der Business Rolle bis in die Datenbank
DOAG 2014 - Enterprise User Security Von der Business Rolle bis in die DatenbankDOAG 2014 - Enterprise User Security Von der Business Rolle bis in die Datenbank
DOAG 2014 - Enterprise User Security Von der Business Rolle bis in die Datenbank
Marcel Pils
 
Oracle Private & Public Database-as-a-Service
Oracle Private & Public Database-as-a-ServiceOracle Private & Public Database-as-a-Service
Oracle Private & Public Database-as-a-Service
oraclebudb
 

Ähnlich wie Oracle Security Übersicht (20)

Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
 
Roadshow Oracle Database 12c: News & Features
Roadshow Oracle Database 12c: News & FeaturesRoadshow Oracle Database 12c: News & Features
Roadshow Oracle Database 12c: News & Features
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
 
Oracle Data Guard: Mit oder ohne Broker?
Oracle Data Guard: Mit oder ohne Broker?Oracle Data Guard: Mit oder ohne Broker?
Oracle Data Guard: Mit oder ohne Broker?
 
Sensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle DatenbankSensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle Datenbank
 
Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2
 
Oracle Database 12c Release 2
Oracle Database 12c Release 2 Oracle Database 12c Release 2
Oracle Database 12c Release 2
 
Oracle Datenbank Manageability
Oracle Datenbank ManageabilityOracle Datenbank Manageability
Oracle Datenbank Manageability
 
Oracle Database Backup Service
Oracle Database Backup ServiceOracle Database Backup Service
Oracle Database Backup Service
 
Oracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin BergerOracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin Berger
 
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und RecoveryZeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
Zeros Data Loss Recovery Appliance (ZDLRA) - Neue Wege für Backup und Recovery
 
Automatisiertes disaster recovery testing mit der oracle cloud
Automatisiertes disaster recovery testing mit der oracle cloudAutomatisiertes disaster recovery testing mit der oracle cloud
Automatisiertes disaster recovery testing mit der oracle cloud
 
Überblick Oracle Datenbank 12c
Überblick Oracle Datenbank 12cÜberblick Oracle Datenbank 12c
Überblick Oracle Datenbank 12c
 
Secure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstSecure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin Obst
 
Implementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise ManagerImplementierbare Sicherheitsregeln im Enterprise Manager
Implementierbare Sicherheitsregeln im Enterprise Manager
 
Oracle AVDF in der Praxis
Oracle AVDF in der PraxisOracle AVDF in der Praxis
Oracle AVDF in der Praxis
 
Barracuda Lösungen
Barracuda LösungenBarracuda Lösungen
Barracuda Lösungen
 
Cryption proflyer de
Cryption proflyer deCryption proflyer de
Cryption proflyer de
 
DOAG 2014 - Enterprise User Security Von der Business Rolle bis in die Datenbank
DOAG 2014 - Enterprise User Security Von der Business Rolle bis in die DatenbankDOAG 2014 - Enterprise User Security Von der Business Rolle bis in die Datenbank
DOAG 2014 - Enterprise User Security Von der Business Rolle bis in die Datenbank
 
Oracle Private & Public Database-as-a-Service
Oracle Private & Public Database-as-a-ServiceOracle Private & Public Database-as-a-Service
Oracle Private & Public Database-as-a-Service
 

Oracle Security Übersicht

  • 1. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Security Inside Out Oracle 12c - Daten schützen und compliant sein Heinz-Wilhelm Fabry Senior Leitender Systemberater Business Unit Database Januar 2015
  • 2. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Safe Harbor Statement The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.
  • 3. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 80% der IT Security Programme gehen an der Datenbank vorbei Was macht Datenbanken so verwundbar? Netzwerk Security SIEM Endpoint Security Web Application Firewall Email Security Authentifizierung & Benutzer Security Datenbank Sicherheit "Die amerikanischen Unternehmen merken es, wenn sie angegriffen werden - die deutschen nicht." Computerwoche März 2012
  • 4. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Höchste Sicherheit durch Schutz auf allen Ebenen Aktivitäten überwachen Auditieren und Berichten DETEKTION Redigieren und Maskieren Verschlüsseln PRÄVENTION ADMINISTRATION Sensible Daten finden Privilegien analysieren Privilegierte Benutzer kontrollieren Database Firewall Konfigurationen verwalten 4
  • 5. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Höchste Sicherheit durch Schutz auf allen Ebenen Aktivitäten überwachen Auditieren und Berichten DETEKTION Redigieren und Maskieren Verschlüsseln PRÄVENTION ADMINISTRATION Sensible Daten finden Privilegien analysieren Privilegierte Benutzer kontrollieren Database Firewall Konfigurationen verwalten 5
  • 6. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Verschlüsseln ist die Basis • Anwendungen / Trigger rufen das API auf • Kein automatisches Schlüsselmanagement • Package stellt Prozeduren und Funktionen zur Verfügung – Zum Verschlüsseln und Entschlüsseln – Zum Arbeiten mit Prüfsummen In allen Editionen prozedural mit DBMS_CRYPTO CREATE OR REPLACE FUNCTION crypt (eingabe IN VARCHAR2) RETURN RAW IS v_rohdaten RAW(200); v_schluessel RAW(32); v_verschluesselung PLS_INTEGER := DBMS_CRYPTO.ENCRYPT_AES256 + DBMS_CRYPTO.CHAIN_CBC + DBMS_CRYPTO.PAD_ZERO; BEGIN ...
  • 7. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. • Schützt Daten auf Speichermedien • Erfordert keine Änderungen von vorhandenen Anwendungen • Enthält das Schlüssel Management • Systembelastung vernachlässigbar • Integriert in die Oracle Technologien – Exadata, Advanced Compression, ASM, Golden Gate, DataPump, RMAN ... Verschlüsseln ist die Basis Speichermedien Backups Exports Dezentrale Aufbewahrung Anwendungen Nur Enterprise Edition (EE): Oracle Advanced Security - Transparent Data Encryption (TDE)
  • 8. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Transparent Data Encryption (TDE) • Neue, eigene Syntax zur Verwaltung von Wallet und HSM – Voraussetzung ADMINISTER KEY MANAGEMENT Privileg oder SYSKM – Schlüssel können importiert, exportiert, zusammengeführt (merge) und automatisch gesichert werden • Neue Views zur besseren Kontrolle von Wallets und Schlüsseln – V$ENCRYPTION_WALLET, V$ENCRYPTION_KEYS und andere ADMINISTER KEY MANAGEMENT CREATE KEYSTORE '$ORACLE_HOME/network/admin' IDENTIFIED BY einpasswort;
  • 9. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Oracle Key Vault • HSM mit Anwendungsschwerpunkt TDE • Ausserdem Wallet Repository für – Wallets / Keystores der Oracle Datenbank – Wallets / Keystores der Oracle Middleware – Java Keystores (JKS) – Java Cryptography Extension Keystores (JCEKS) – SSH Key Files – Kerberos Keytabs Die perfekte Ergänzung für TDE 9
  • 10. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Höchste Sicherheit durch Schutz auf allen Ebenen Aktivitäten überwachen Auditieren und Berichten DETEKTION Redigieren und Maskieren Verschlüsseln PRÄVENTION ADMINISTRATION Sensible Daten finden Privilegien analysieren Privilegierte Benutzer kontrollieren Database Firewall Konfigurationen verwalten 10
  • 11. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Was ist Data Redaction? • Unkenntlich Machen von DATENAUSGABEN in Echtzeit – Zu steuern über Bedingungen • Bibliothek mit gängigen Mustern ist im Lieferumfang enthalten • Transparent für Anwendungen, Datenbankadministratoren und Benutzer Oracle Advanced Security Option (ASO) in RDBMS 12.1 & 11.2.0.4 Kreditkarten 4451-2172-9841-4368 5106-8395-2095-5938 7830-0032-0294-1827 Redaction Policy xxxx-xxxx-xxxx-4368 4451-2172-9841-4368 Call Center Mitarbeiter Rechnungsabteilung
  • 12. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Was geht? • FULL – Auf Datenbankebene definierbarer Default • PARTIAL – Festzulegender Teil (von - bis) des Eintrags wird geändert • RANDOM • REGEXP Package DBMS_REDACT
  • 13. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Was sollte man sonst noch wissen? • Anwendbar sowohl auf Views als auch auf Tabellen – Nur Werte aus der SELECT Liste werden unkenntlich gemacht • Nicht alle Datentypen werden vollständig unterstützt – Zum Beispiel Teile von BLOBs, CLOBs nicht unkenntlich zu machen • Objekte von SYS und SYSTEM können nicht unkenntlich gemacht werden • SYS und SYSTEM sehen IMMER den Originalwert – EXEMPT REDACTION POLICY – EXEMPT REDACTION POLICY aus EXP FULL DATABASE • Ausführungspläne geben keinen Hinweis auf das unkenntlich Machen
  • 14. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Data Redaction in EM Cloud Control 12c und SQL*Developer Graphische Unterstützung schon heute
  • 15. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Daten für Entwicklung und Test maskieren • Sensible Daten durch typgerechte harmlose Daten ersetzen • Referentielle Integrität wird erhalten • Bibliothek mit editierbaren Vorlagen und Formaten ist im Lieferumfang enthalten • Vorlagen für Anwendungen verfügbar • Unterstützt auch das Maskieren in Nicht-Oracle Datenbanken Oracle Enterprise Manager Cloud Control Data Masking and Subsetting Pack NAME SOZIALVERSNR GEHALT Wilson 323—23-1111 60.000 Zuckerberg 252-34-1345 40.000 NAME SOZIALVERSNR GEHALT AGUILAR 203-33-3234 40.000 BENSON 323-22-2943 60.000 Production Entwicklung, Test Produktion
  • 16. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Höchste Sicherheit durch Schutz auf allen Ebenen Aktivitäten überwachen Auditieren und Berichten DETEKTION Redigieren und Maskieren Verschlüsseln PRÄVENTION ADMINISTRATION Sensible Daten finden Privilegien analysieren Privilegierte Benutzer kontrollieren Database Firewall Konfigurationen verwalten 16
  • 17. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Funktionen trennen, Aufgaben verteilen, least privilege • Oracle Data Guard Administration mit Data Guard Broker oder DGMGRL • SYSDG Benutzer und Privileg • Backup mit RMAN oder SQL*Plus • SYSBACKUP Benutzer und Privileg • Wallet Administration im Kontext von ASO (TDE) • SYSKM Benutzer und Privileg • Die Benutzer SYSDG, SYSBACKUP und SYSKM können nicht mit DROP USER gelöscht werden Wichtige Verwaltungstätigkeiten ohne SYSDBA
  • 18. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Festlegung im Rahmen der Software Installation Wichtige Verwaltungstätigkeiten ohne SYSDBA
  • 19. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Kontrolle privilegierter Benutzer • Database Vault (DV) – Zugriff von DBAs auf Benutzerdaten einschränken – Realms schützen ganze Bereiche – Ausführung von SQL Befehlen über Umgebungsvariablen zu steuern – Fertige Regelwerke für gängige Anwendungen verfügbar Compliance, least privilege, Trennen von Funktionen und Aufgaben Procurement HR Finance SELECT * FROM finance.customers Anwendungs-DBA Anwendung Security-DBA DBA
  • 20. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Database Vault (DV) • Im neuen Release in jeder Installation enthalten – Nachträgliche Konfiguration mit DBCA oder auf der Kommandozeile – Ein- und ausschaltbar, sofern die Privilegien IN DER DATENBANK dazu vorliegen • Unterschiedliche Datenbanken aus einem ORACLE_HOME können mit oder ohne DV (unterschiedlich) konfiguriert werden • Installation immer ohne Database Vault Administrator (dva) – Verwaltung über EM Cloud Control oder Kommandozeile Installation, Ein- und Auschalten
  • 21. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Oracle Label Security (OLS) Zugriffe über Labels steuern Zugriff auf einen Datensatz nur, wenn das Label des Datensatzes und das Label des Benutzers 'kompatibel' sind Labels + Privilegien Session Datensätze Label
  • 22. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Enterprise Edition - Virtual Private Database • Ergänzt SQL-GRANTs auf Tabellenebene • Mit einer Tabelle oder einem View wird eine sogenannte POLICY verbunden – POLICY = Zeichenkette, die durch eine Funktion erstellt wird • Zeichenkette wird als zusätzliche WHERE-Bedingung automatisch an jeden Befehl angehängt – Benutzer sehen nur die Daten, die sie laut Policy sehen dürfen WHERE abtnr = 10 WHERE angnr = 1234 SELECT * FROM mitarbeiter; Manager Verkäufer Policyidentische Abfrage +
  • 23. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Höchste Sicherheit durch Schutz auf allen Ebenen Aktivitäten überwachen Auditieren und Berichten DETEKTION Redigieren und Maskieren Verschlüsseln PRÄVENTION ADMINISTRATION Sensible Daten finden Privilegien analysieren Privilegierte Benutzer kontrollieren Database Firewall Konfigurationen verwalten 23
  • 24. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Auditing • Default und SYS Auditing – -> Betriebssystem • Standard Auditing (Systemprivilegien, Befehle, Objekte) – -> SYS.AUD$ oder Betriebssystem in proprietärem Format oder XML • Fine Grained Auditing (Auditieren in Abhängigkeit von Bedingungen) – -> SYS.FGA_LOG$ oder Betriebssystem in proprietärem Format oder XML • Database Vault Auditing – -> DVSYS.AUDIT_TRAIL$ Oracle Database 11g Release 2
  • 25. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Das neue Auditing • Unified Audit Trail – Policies steuern das Auditing, nicht Initialisierungsparameter • AUDSYS ist Eigentümer des Audit Trail – Nur eine Tabelle im Tablespace SYSAUX • Zugriff auf den Audit Trail nur für Rollen AUDADMIN und AUDVIEWER – Gilt auch für eigene Objekte • Unterstützt RMAN, Data Pump und Direct Path Loader • Bessere Performance unified auditing
  • 26. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Einrichten • Aktivierung nicht über Initialierungsparameter, sondern über den Programmcode des RDBMS – Nach der Installation des Programmcodes oder Upgrade standardmässig sind sowohl traditionelles als auch unified Auditing aktiviert – Umschalten auf ausschliesslich unified auditing • Datenbank und Listener stoppen • Aktiviert oder nicht aktiviert? SELECT value FROM v$option WHERE parameter = 'Unified Auditing'; cd $ORACLE_HOME/rdbms/lib make -f ins_rdbms.mk uniaud_on ioracle
  • 27. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Konfigurieren - Policy anlegen • Vergleichbar mit dem Einrichten des FGA (Policies) CREATE AUDIT POLICY zumbeispiel PRIVILEGES SELECT ANY TABLE ACTIONS CREATE USER, ALTER USER, SELECT ON SCOTT.EMP ROLES RESOURCE WHEN 'SYS_CONTEXT(''USERENV'', ''MODULE'') <> (''PERSVERW'')' EVALUATE PER STATEMENT CONTAINER = CURRENT; -- nur in einer cdb
  • 28. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Komponenten auditieren • Komponenten sind – Data Pump – Database Vault – Data Mining – Label Security – Real Application Security – SQL Loader direct loads • Auditing des RMAN wird über den RMAN selbst gesteuert CREATE AUDIT POLICYzumbeispiel ACTIONS COMPONENT = DATAPUMP ALL -- IMPORT oder EXPORT
  • 29. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Höchste Sicherheit durch Schutz auf allen Ebenen Aktivitäten überwachen Auditieren und Berichten DETEKTION Redigieren und Maskieren Verschlüsseln PRÄVENTION ADMINISTRATION Sensible Daten finden Privilegien analysieren Privilegierte Benutzer kontrollieren Database Firewall Konfigurationen verwalten 29
  • 30. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Oracle Audit Vault and Database Firewall • Konsolidiertes Auditing über Oracle und nicht Oracle Datenbanken sowie weitere IT Komponenten – SDK zum Erstellen eigener Agenten für beliebige andere IT Komponenten • Vorgefertigte und eigene Berichte und Testate • Alerts • Software Appliance Oracle Audit Vault Server Audit Daten & Event Logs Policies Vorgefertigte und eigene Berichte Alerts! BS & Storage Directories Databanken Weitere Security Analyst Auditor SOC Repository
  • 31. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Oracle Audit Vault and Database Firewall  Überwacht das Netzwerk, erkennt und blockt bei Bedarf illegale Aktivitäten  Analysiert SQL in einem patentierten, höchst genauen Verfahren in Echtzeit  Kann sowohl mit Positiv- als auch mit Negativlisten (Whitelists / Blacklists) arbeiten  Software Appliance Database Firewall
  • 32. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Oracle Audit Vault and Database Firewall Vorgefertigte und eigene Berichte Alerts ! Firewall Events Benutzer Anwendungen Database Firewall Erlauben Protokollieren Alarmieren Ersetzen Blocken Audit Daten Audit Vault Repository BS, Directory, Dateisystem & beliebige Audit LogsPolicies (Baselines) Security Analyst Auditor SOC
  • 33. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Höchste Sicherheit durch Schutz auf allen Ebenen Aktivitäten überwachen Auditieren und Berichten DETEKTION Redigieren und Maskieren Verschlüsseln PRÄVENTION ADMINISTRATION Sensible Daten finden Privilegien analysieren Privilegierte Benutzer kontrollieren Database Firewall Konfigurationen verwalten 33
  • 34. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Privilege Analysis - least privilege durchsetzen  Im laufenden Betrieb least privilege umsetzen durch Entzug nicht benötigter Privilegien und Rollen  Mit dem Package DBMS_PRIVILEGE_CAPTURE die verwendeten Privilegien und Rollen erfassen sowie Berichtsdaten generieren  Aus Hilfstabellen Berichte über die verwendeten oder nicht verwendeten Privilegien und Rollen erzeugen Gehört zu Oracle Database Vault Privilege Analysis Create… Drop… Modify… DBA role APPADMIN role
  • 35. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Oracle Enterprise Manager 12c • Sensible Daten und Datenbanken finden – Restricted Use NUR DER FINDING FUNKTIONALITÄT für alle Security Optionen (ASO, DV, OLS) • Ziel: Sensible Daten angemessen schützen: Verschlüsseln, redigieren, maskieren, ... Data Finding Funktionalität
  • 36. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Oracle Enterprise Manager 12c • Konfigurationen verwalten – Datenbanken finden und klassifizieren – Nach Vorgaben wie best practices oder Industriestandards analysieren – Nicht authorisierte Veränderungen erkennen – Automatisches Wiederherstellen des gewünschten Zustands – Patching und Provisionierung Oracle Database Lifecycle Management Pack Discover Scan & Monitor Patch
  • 37. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Höchste Sicherheit durch Schutz auf allen Ebenen Aktivitäten überwachen Auditieren und Berichten DETEKTION Redigieren und Maskieren Verschlüsseln PRÄVENTION ADMINISTRATION Sensible Daten finden Privilegien analysieren Privilegierte Benutzer kontrollieren Database Firewall Konfigurationen verwalten 37
  • 38. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Oracle Database Security - Informationsmaterial http://www.oracle.com/us/products/database/security/overview/index.html • Datenblätter • Whitepaper • Webcasts • Fallstudien • Veranstaltungen • Neuigkeiten • … 38
  • 39. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. Informationen in deutscher Sprache 39 Communities DBA Community APEX Community Security Community • Veranstaltungen – http://tinyurl.com/odd12c • Mobile App der BU DB – http://tinyurl.com/oraclebudb
  • 40. Copyright © 2014, Oracle and/or its affiliates. All rights reserved.