BASEL BERN BRUGG DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. GENF HAMBURG KOPENHAGEN LAUSANNE MÜNCHEN STUTTGART WIEN ZÜRICH Oracle 12c Security Features Datenbank Security im Überblick Stefan Oehrli
BASEL BERN BRUGG DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. GENF HAMBURG KOPENHAGEN LAUSANNE MÜNCHEN STUTTGART WIEN ZÜRICH
Oracle 12c Security Features Datenbank Security im Überblick
Stefan Oehrli
Unser Unternehmen.
SOUG SIG - Oracle 12c Security Features 2 11. Juni 2015
Trivadis ist führend bei der IT-Beratung, der Systemintegration, dem Solution Engineering und der Erbringung von IT-Services mit Fokussierung auf - und -Technologien in der Schweiz, Deutschland, Österreich und Dänemark. Trivadis erbringt ihre Leistungen aus den strategischen Geschäftsfeldern: Trivadis Services übernimmt den korrespondierenden Betrieb Ihrer IT Systeme.
B E T R I E B
KOPENHAGEN
MÜNCHEN
LAUSANNE BERN
ZÜRICH BRUGG
GENF
HAMBURG
DÜSSELDORF
FRANKFURT
STUTTGART
FREIBURG
BASEL
WIEN
Mit über 600 IT- und Fachexperten bei Ihnen vor Ort.
SOUG SIG - Oracle 12c Security Features 3 11. Juni 2015
14 Trivadis Niederlassungen mit über 600 Mitarbeitenden.
Über 200 Service Level Agreements.
Mehr als 4'000 Trainingsteilnehmer.
Forschungs- und Entwicklungs-budget: CHF 5.0 Mio. / EUR 4.0 Mio.
Finanziell unabhängig und nachhaltig profitabel.
Erfahrung aus mehr als 1'900 Projekten pro Jahr bei über 800 Kunden.
Unsere Fachkompetenz aus über 1'900 Projekten pro Jahr.
SOUG SIG - Oracle 12c Security Features 4 11. Juni 2015
Neben Unternehmen der IT-Branche gehören hierzu auch Software-Häuser und IT-Tochtergesellschaften grösserer Unternehmen.
Banken & Versicherungen
Informatik*
Öffentlicher Sektor
Industrie
Automotive
Chemie & Pharma
Transport & Logistik
Telco
Handel Diverse
*
Stefan Oehrli
SOUG SIG - Oracle 12c Security Features 11. Juni 2015
Solution Manager BDS SEC
Seit 1997 IT-Bereich tätig
Seit 2008 bei der Trivadis AG
Seit 2010 Disziplin Manager SEC INFR
Seit 2014 Solution Manager BDS Security Skills
Backup & Recovery Oracle Advanced Security Audit Vault und Database Firewall, Database Vault Team / Projekt Management
IT Erfahrung DB Administration und DB
Security Lösungen Administration komplexer,
heterogenen Umgebungen Datenbank Teamleiter
Spezialgebiet Datenbank Sicherheit Security und Betrieb Security Konzepte Security Reviews Oracle Backup & Recovery
5
11. Juni 2015 SOUG SIG - Oracle 12c Security Features
Technik allein bringt Sie nicht weiter. Man muss wissen, wie man sie richtig nutzt.
6
Agenda
SOUG SIG - Oracle 12c Security Features 7 11. Juni 2015
1. Einleitung 2. Authentifizierung 3. Autorisierung 4. Audit 5. Vertraulichkeit der Daten 6. Fazit
Einleitung
SOUG SIG - Oracle 12c Security Features 8 11. Juni 2015
Oracle 12c bringt viele Neuerungen im Bereich Datenbanksicherheit
Mit Oracle 12.1.0.2 gibt es einige kleinere „Nachbesserungen“
Nicht alle Security Features sind in jedem Fall sinnvoll und einfach zuzusetzen
Überblich über die grösseren 12c Security Features und die Anpassungen mit 12.1.0.2
Authentifizierung – Passwörter
SOUG SIG - Oracle 12c Security Features 9 11. Juni 2015
Oracle 12.1.0.1 unterstützte noch die gleichen Passwort Hash‘s wie Oracle 11g
– Pre Oracle 11g DES basierter nicht case sensitiver Hash
– Oracle 11g SHA-1 basierter case sensitiver Hash
Oracle 12.1.0.2 unterstütz neu zusätzlich SHA-2 respektive SHA-512 für die Passwortauthentifizierung
SEC_CASE_SENSITIVE_LOGON ist deprecated
– Längerfristig nur noch case sensitive Passwörter
Authentifizierung – Passwörter
SOUG SIG - Oracle 12c Security Features 10 11. Juni 2015
SELECT username,password_versions FROM dba_users WHERE username IN('KING','SCOTT'); USERNAME PASSWORD_VERSIONS ---------- ----------------- KING 10G 11G 12C SCOTT 10G 11G
Password Hash Versionen in DBA_USERS
Authentifizierung – Passwörter
SOUG SIG - Oracle 12c Security Features 11 11. Juni 2015
SELECT name, password, spare4 FROM user$ WHERE name IN ('KING','SCOTT') NAME PASSWORD SPARE4 -------- ---------------- --------------------------------------------- KING 0E4005A81F0389BA S:78522F258DD7DB5C088641FFFE42442D644DE9BCD18 30F637EB0BE422F3B;H:2D13058177735CBC2D043BEEA ED75841;T:62AEE2CB3D58076E0DE52D6CBF141DBE1E1 8B2CA224B3E339E397D472B4675D0C865A85361B43C17 4086FF6D084BFC72B4366E95257E045A6B034C13893E2 DDF06EB76DDA1F74D5788FA99327A92E867 SCOTT F894844C34402B67 S:246F9C42B021F4F6AF9C6F20EDA9F44B0C19029295A 0346AEACAE64BB472
Password Hash in USER$
Authentifizierung – Passwörter
SOUG SIG - Oracle 12c Security Features 12 11. Juni 2015
SQL> ALTER USER scott IDENTIFIED BY VALUES 'F894844C34402B67;S:246F9C42B021F4F6AF9C6F20EDA9F44B0C19029295A0346AEACAE64BB472'; SQL> ALTER USER scott IDENTIFIED BY VALUES 'T:22EF025563BAA20B3F8EF612CA3 86FD86B24BEC4BFFF6DD88AC945ECC228F34463B650F8F34DF8101965D135E46C961F31AC8A69EBC9B2D4561F4E53655334685D5C84680177468C585E8982F2A62FF8;S:246F9C42B0 21F4F6AF9C6F20EDA9F44B0C19029295A0346AEACAE64BB472'; SQL> SELECT username,password_versions FROM dba_users WHERE username='SCOTT'; USERNAME PASSWORD_VERSIONS ---------- ----------------- SCOTT 11G 12C
Identified by values mit einem oder mehreren Hashes
Authentifizierung – Passwörter
SOUG SIG - Oracle 12c Security Features 13 11. Juni 2015
SQL> ALTER USER scott IDENTIFIED BY VALUES 'Password Not Set'; ALTER USER scott IDENTIFIED BY VALUES 'Password Not Set' * ERROR at line 1: ORA-02153: invalid VALUES password string SQL> ALTER USER scott IDENTIFIED BY VALUES '1234567890ABCDEF'; User altered.
Setzen eines „unmöglichen“ Password Hashes mit 12.1.0.2 so nicht mehr möglich
Alternative zum sperren des Accounts
ORA-01017: invalid username/password; logon denied versus ORA-28000: the account is locked
Authentifizierung – Anmeldeprozess
SOUG SIG - Oracle 12c Security Features 14 11. Juni 2015
Ist der Oracle Anmeldeprozess sicher?
Der reine Authentifizierungsprozess, wenn gepatched ist relativ sicher
– Sicherheitslücke im Anmeldeprozess CVE-2012-3137
– Geflickt in den SPU / PSU seit Oktober 2012
– Informationen in MOS Note 1492721.1 und 1493990.1
Das Risiko bleiben die Passwörter...
Festlegen der Oracle Version respektive Anmeldeprozess
– SQLNET.ALLOWED_LOGON_VERSION (deprecated)
– SQLNET. ALLOWED_LOGON_VERSION_SERVER
– SQLNET. ALLOWED_LOGON_VERSION_CLIENT
Authentifizierung – Anmeldeprozess
SOUG SIG - Oracle 12c Security Features 15 11. Juni 2015
Logon Version
Password Version
Fähigkeit Client Bedeutung
12a 12c O7L_MR Nur 12.1.0.2 oder neuere Clients können verbinden
12 11g, 12c O5L_NP Nur Clients mit dem Critical Patch Update CPUOct2012 oder neuer bzw. 11.2.0.3 Clients mit einem äquivalenten Update können verbinden
11 10
10g, 11g, 12c O5L
Oracle 10g Datenbanken oder neuere Clients können verbinden Ältere Clients als 11.2.0.3, welche das Critical Patch Update CPUOct2012 nicht installiert haben, müssen 10g Passwörter verwenden.
9 10g, 11g, 12c O4L Oracle 9i Datenbanken oder neuere Clients können verbinden
8 10g, 11g, 12c O3L Oracle 8i Datenbanken oder neuere Clients können verbinden.
Authentifizierung – Passwort Profile
SOUG SIG - Oracle 12c Security Features 16 11. Juni 2015
In Oracle 12c wurde das utlpwdmg.sql Script verbessert / ergänzt
– Neue Funktionen um Anpassungen zu vereinfachen
– Verbesserte Passwortfunktion
– Password Profile enthält Empfehlungen gemäss Center for Internet Security (CIS Oracle 11g) oder Department of Defense (Database STIG v8R1)
Das Script wird immer noch nicht automatisch ausgeführt
Neue Funktionen können in eigenen Passwortfunktion weiterverwendet werden
– ora_string_distance Berechnung des Unterschiedes zwischen zwei Strings nach dem Levenshtein
– ora_complexity_check Prüfen der Passwortkomplexität eines Strings
Authentifizierung – Passwort Profile
SOUG SIG - Oracle 12c Security Features 17 11. Juni 2015
Funktion Pas
swor
d Lä
nge
Zeic
hen
[a-z
] [A
-Z]
Gro
ssbu
chst
aben
[A-Z
]
Kle
inbu
chst
aben
[a-z
]
Num
mer
n [0
-9]
Son
derz
eich
en
Stri
ng U
nter
schi
ed
Zusä
tzlic
he P
rüfu
ng
Kommentar
verify_function 4 1 - - 1 1 3 ✔1 10g Funktion
verify_function_11g 8 1 - - 1 - 3 ✔2 11g Funktion
ora12c_verify_function 8 1 - - 1 - 3 ✔3 Standard
ora12c_strong_verify_function 9 - 2 2 2 1 4 -
Authentifizierung – Kerberos
SOUG SIG - Oracle 12c Security Features 18 11. Juni 2015
Netzwerkverschlüsselung (native / SSL) und Starke Authentifizierung (Kerberos / RADIUS) benötigen keine zusätzliche Lizenz
In Oracle 12c wurde ein komplett neuer Kerberos Stack implementiert
– Erlaubt fall back auf weitere Authentifizierungsmethoden
– Gibt aber immer noch oder wieder Oracle Bugs...
Keytab File für Oracle 12c darf nur AES Crypto‘s enthalten (eben, Bugs....)
Unterschied in der Konfiguration für Oracle 11g und Oracle 12c
– 11g SQLNET.KERBEROS5_CC_NAME = OSMSFT://
– 12c SQLNET.KERBEROS5_CC_NAME = MSLSA
Authentifizierung – Kerberos
SOUG SIG - Oracle 12c Security Features 19 11. Juni 2015
SQLNET.KERBEROS5_CC_NAME=OSMSFT:// SQLNET.AUTHENTICATION_SERVICES= (kerberos5pre,kerberos5) SQLNET.KERBEROS5_CONF =c:\kerberos\krb5.conf SQLNET.KERBEROS5_CONF_MIT = true
Workarounds für gemischte Oracle 11g und Oracle 12c Umgebungen
Keytab File mit ausschliesslich AES Crypto‘s
Verwendung von kerberos5pre Parameter
sqlnet.ora auf dem Client (Auszug)
Authentifizierung – Proxy
SOUG SIG - Oracle 12c Security Features 20 11. Juni 2015
Benutzer sollen mit persönlichen Accounts arbeiten
– Nachvollziehbarkeit sicherstellen und Verantwortlichkeiten trennen
Teilweise weitere Bedürfnisse wie z.B. Schema update des Anwendungsschemas
Arbeiten mit Proxy Authentifizierung seit mehreren Oracle Releases möglich
– Benutzer A erhält das Recht sich als Benutzer B an der Datenbank anzumelden
– Authentifizierung findet anhand des Benutzers A statt
– Rechte in der Datenbank des Benutzers B
Authentifizierung – Proxy
SOUG SIG - Oracle 12c Security Features 21 11. Juni 2015
SQL> ALTER USER oehrli REVOKE CONNECT THROUGH hr;
Revoke der Proxy Rechte
SQL> ALTER USER oehrli GRANT CONNECT THROUGH hr WITH ROLE hr_clerk;
Zuweisen des Proxy Rechtes
SQL> ALTER USER oehrli GRANT CONNECT THROUGH hr;
Festlegen der Rollen, welche vom Proxy aktiviert werden dürfen
Authentifizierung – Proxy
SOUG SIG - Oracle 12c Security Features 22 11. Juni 2015
SQL> connect oehrli[scott]/manager ERROR: ORA-28000: the account is locked Warning: You are no longer connected to ORACLE. SQL> SELECT username,account_status FROM dba_users WHERE username IN ('OEHRLI','SCOTT') USERNAME ACCOUNT_STATUS ---------- --------------- SCOTT LOCKED OEHRLI OPEN
User darf nicht gelocked sein
Authentifizierung – Proxy
SOUG SIG - Oracle 12c Security Features 23 11. Juni 2015
ALTER USER hr PROXY ONLY CONNECT;
Anwendungsschema kann nicht gesperrt werden
– Workaround durch setzen eines unmöglichen Passwortes
Neu mit 12.1.0.2 Proxy Only Connect
– Kein direktes Login mehr möglich, Zugriff nur via Proxy Benutzer
Festlegen eines Proxy Only Accounts
SQL> CONNECT hr/hr ERROR: ORA-28058: login is allowed only through a proxy
Fehler beim direkten Login
Authentifizierung – Proxy
SOUG SIG - Oracle 12c Security Features 24 11. Juni 2015
SQL> SELECT username,proxy_only_connect FROM dba_users WHERE username='HR'; USERNAME PROXY_ONLY_CONNECT ------------ ------------------ HR Y
Information dazu in DBA_USERS
SQL> ALTER USER hr CANCEL PROXY ONLY CONNECT;
Proxy only Ausschalten
Autorisierung – READ / READ ANY TABLE Privileg
SOUG SIG - Oracle 12c Security Features 25 11. Juni 2015
Kein echter „nur lese“ Zugriff möglich
Neues System respektive Objekt Privileg READ, READ ANY TABLE
– Ausschliesslich lese Zugriff
– Kein Locking
SQL> SELECT ... FROM scott.emp FOR UPDATE;
Bei einem regulären SELECT / SELECT ANY kann der Benutzer die Tabelle / Zeile sperren z.B
Autorisierung – Privilege Capture
SOUG SIG - Oracle 12c Security Features 26 11. Juni 2015
Erfassung und Auswertung der Datenbank Privilegien zur Laufzeit
– Für Benutzer, Sessions, Rollen oder PUBLIC
– Anzeigen von benutzten SYSTEM, OBJEKT und PUBLIC Privilegien
– Anzeigen wie der Benutzer zu den Privilegien gekommen ist d.h. Privilege Path
– Anzeigen von nichtverwendeten Privilegien
Ereichen des “least privilege” Prinzips
– Datenbank und Anwendung “sicherer” machen
Autorisierung – Privilege Capture
SOUG SIG - Oracle 12c Security Features 27 11. Juni 2015
dbms_privilege_capture.enable_capture('dba_privilege_analysis‘)
Aktivieren der Capture Policy
dbms_privilege_capture.create_capture( name => 'dba_privilege_analysis', type => dbms_privilege_capture.g_context, condition=> q'[sys_context('USERENV', 'SESSION_USER‘)='SCOTT']');
Erstellen der Capture Policy
Aktivieren der Capture Policy
Tätigkeit, Job ausführen und anschliessen Capture Policy wieder Stoppen
Autorisierung – Verschiedenes
SOUG SIG - Oracle 12c Security Features 28 11. Juni 2015
Integration Oracle Database Vault
– Nicht mehr teil des Oracle Kernels
– Bleibt auch beim DB Clonen / Restoren „aktiv“
Verbesserte Performance von Database Vault
Neue Mandatory Realms
Audit – Übersicht Unified Audit
SOUG SIG - Oracle 12c Security Features 29 11. Juni 2015
Standardmässiges Auditing der Audit Konfiguration
– Protokolieren jedes Events der die Audit Konfiguration modifiziert
– Protokolieren jeder Modifikation des Audit Trails und der Einstellungen
Schnelle Audit Engine, einfachere Kontrolle des Zugriffes, verbesserte Performance
– Minimale Mehrbelastung bei der Verarbeitung (Audit Datensätze werden in einem Proprietären Format abgespeichert)
– Minimale Mehrbelastung bei Transaktionen (Audit Datensätze werden in ein Buffer geschrieben)
Audit – Fast Audit Engine
SOUG SIG - Oracle 12c Security Features 30 11. Juni 2015
Queued Mode
– Standard Einstellung
– Audit Datensätze werden in der SGA zwischen gespeichert
– Konfigurierbar mit UNIFIED_AUDIT_SGA_QUEUE_SIZE (1MB bis 30MB)
Immediate Mode
– Audit Datensätze werden direkt in den Audit Trail geschrieben
Audit – Ups...
SOUG SIG - Oracle 12c Security Features 31 11. Juni 2015
Audit Datenverlust seit dem letzten Flush auf Disk
Alternative bleibt der Immediate Write Mode
Verhalten im Queued wird durch INIT.ORA Parameter gesteuert
– unified_audit_sga_queue_size – _unified_audit_flush_interval – _unified_audit_flush_threshold
Audit – Übersicht Unified Audit
SOUG SIG - Oracle 12c Security Features 32 11. Juni 2015
Der Unified Audit Trail speichert auch Audit Informationen für:
– Fine Grained Audit (FGA)
– Data Pump
– Oracle RMAN
– Oracle Label Security (OLS)
– Oracle Database Vault (DV)
– Real Application Security (RAS)
Verwenden von dedizierten Spalten
Komponenten wie DataPump sind explizit mit einer Audit Policy zu definieren
Audit – Übersicht Unified Audit
SOUG SIG - Oracle 12c Security Features 33 11. Juni 2015
Auditing für Oracle Database Vault (DV)
– Wird durch das DV Framework definiert
– Änderungen an der DV Konfiguration werden auditiert
– DV Verstösse werden mit DV Realm definiert etc.
RMAN Operationen werden standardmässig überwacht
– Erfolgreiche RMAN Backup‘s
– Erfolgreiche RMAN Restores
– List und Report Statements
– Aber nicht alles … z.B. delete archivelog all;
Audit – Übersicht Unified Audit
SOUG SIG - Oracle 12c Security Features 34 11. Juni 2015
SELECT event_timestamp, dbusername, rman_operation, rman_object_type, rman_device_type FROM unified_audit_trail WHERE action_name = 'RMAN ACTION' ORDER BY event_timestamp
Verwenden von dedizierten Spalten
– RMAN_OPERATION, RMAN_OBJECT_TYPE, RMAN_DEVICE_TYPE
– DP_TEXT_PARAMETERS1, DP_BOOLEAN_PARAMETERS1
Audit – Audit Policies
SOUG SIG - Oracle 12c Security Features 35 11. Juni 2015
Audit Policies sind Container für Audit Einstellungen
– Verwendet um ACTIONS, PRIVILEGES, OBJECTS zu Auditiren
– Basieren auf Systemweiten oder Objekt Spezifischen Audit Optionen
– Können direkt Rollen enthalten
– Können Bedingungen, Ausnahmen enthalten
– Werden mit dem Statement AUDIT und NOAUDIT Ein- bzw. Ausgeschaltet
Bedingungen können aktuell nur Oracle Funktionen enthalten. Kundenspezifische PL/SQL Funktionen werden nicht unterstütz
Audit Daten werden immer in den UNIFIED_AUDIT_TRAIL geschrieben
Audit – Audit Policies
SOUG SIG - Oracle 12c Security Features 36 11. Juni 2015
AUDIT POLICY hr_employees_pol EXCEPT HR;
Aktivieren einer Audit Policy
CREATE AUDIT POLICY dba_pol ROLE DBA; CREATE AUDIT POLICY hr_employees_pol PRIVILEGES CREATE TABLE ACTIONS UPDATE ON HR.EMPLOYEES WHEN q'[SYS_CONTEXT('USERENV', 'IDENTIFICATION_TYPE'='EXTERNAL']' EVALUATE PER STATEMENT;
Erstellen einer Audit Policy mit Bedingung und Ausnahme
Audit – Audit Policies
SOUG SIG - Oracle 12c Security Features 37 11. Juni 2015
SQL> SELECT * FROM audit_unified_enabled_policies; USER_NAME POLICY_NAME ENABLED_ SUC FAI ----------- ----------------- -------- --- --- SCOTT_DBA ORA_ACCOUNT_MGMT BY YES YES ALL USERS ORA_SECURECONFIG BY YES YES
Aktive Audit Policies
Audit – Default Audit Policies
SOUG SIG - Oracle 12c Security Features 38 11. Juni 2015
ORA_SECURECONFIG (aktiv)
– Überwachung der Audit Konfiguration und des Audit Trails
ORA_LOGON_FAILURES (aktiv) Neu mit Oracle 12.1.0.2
– Überwachung von Logon/Logoff
ORA_ACCOUNT_MGMT
– Erstellen von Benutzer und Rollen und Vergabe von Rechten
ORA_DATABASE_PARAMETER
– Änderung der Datenbank Parameter beziehungsweise SPFile
Je nach Oracle 12c Release weitere Default Policies z.B
– ORA_CIS_RECOMMENDATIONS
Audit – Mixed Mode
SOUG SIG - Oracle 12c Security Features 39 11. Juni 2015
Standard bei Neuinstallationen
Traditionelles und Unified Audit zusammen (Mixed Mode)
– Traditionelles Audit (pre 12c) funktioniert weiterhin in 12c
– All Audit Einstellungen die in 11g R2 Konfiguriert wurden bleiben
Spezielle Unified Audit Feature funktionieren nicht z.B kein RMAN Audit
Aktive Audit Policies schreiben Daten in UNIFIED_AUDIT_TRAIL
– Gefahr der doppelten Datensammlung
– z.B. AUDIT CREATE SESSION und ORA_LOGON_FAILURES
UNIFIED_AUDIT_SESSIONID und SESSIONID sind im Mixed Mode unterschiedlich
Audit – Migrationsarbeiten
SOUG SIG - Oracle 12c Security Features 40 11. Juni 2015
Gute Gelegenheit für die Definition eines „Audit Konzeptes“
– Was soll überwacht werden?
– Wie lange sollen die Rohdaten aufbewahrt werden?
– Wer wertet die Audit Daten aus?
Analyse der bestehenden Audit Konfiguration
– Wird SYSLOG verwendet?
– Welcher AUDIT_TRAIL wird verwendet
– Kundenspezifisches Housekeeping und/oder Trigger basiertes Audit
Audit – Migrationsarbeiten
SOUG SIG - Oracle 12c Security Features 41 11. Juni 2015
Analyse der bestehenden Audit Statements
– Ältere MOS Note 1019552.6 Script to Show Audit Options/Audit Trail
– Auswerten der Informationen aus DBA_PRIV_AUDIT_OPTS, DBA_OBJ_AUDIT_OPTS, DBA_STMT_AUDIT_OPTS, etc
Erstellen neuer Audit Policies
– Abdecken der Bestehenden Bedürfnisse
– Ggf. direkt Rollen überwachen. Z.B die DBA Rolle
Neue Audit Policies verifizieren
– Wird alles wie gewünscht überwacht?
– Achtung doppelte Datensammlung
Audit – Unified Mode
SOUG SIG - Oracle 12c Security Features 42 11. Juni 2015
SELECT parameter,value FROM v$option WHERE parameter='Unified Auditing';
PARAMETER Value ------------------ --------- Unified Auditing TRUE
Kontrolle der Unified Audit Option
cd $ORACLE_HOME/rdbms/lib make -f ins_rdbms.mk uniaud_on ioracle
Aktivieren den Unified Audit Mode benötig Neustart der Datenbank
Option wird in die Binaries „gelinkt“
– Siehe auch MOS Note 1567006.1
Audit – Unified Mode
SOUG SIG - Oracle 12c Security Features 43 11. Juni 2015
Aktivieren der neue Audit Policies
Anpassen des Housekeeping mit DBMS_AUDIT_MGMT
– Definition von Purge Jobs
Bereinigung der altern Audit Statements
– Löschen bzw. NOAUDIT xyz
Audit – Unified Mode
SOUG SIG - Oracle 12c Security Features 44 11. Juni 2015
Audit – Unified Mode
SOUG SIG - Oracle 12c Security Features 45 11. Juni 2015
Audit – Standby / Read Only
SOUG SIG - Oracle 12c Security Features 46 11. Juni 2015
Unified Audit funktioniert auch bei:
– Standby Datenbanken
– Read only Datenbanken
Unified Audit verwendet $ORACLE_BASE/audit um Binär Dateien anzulegen, wenn die DB nicht geöffnet oder schreibbar ist
– Transparenter Zugriff durch den UNIFIED_AUDIT_TRAIL View
– Dateien können mit DBMS_AUDIT_MGMT.LOAD_UNIFIED_AUDIT_FILES in die Datenbank geladen werden
Mit 12.1.0.2 funktioniert das Houskeeping mit DBMS_AUDIT_MGMT auch für Read Only Datenbanken
Vertraulichkeit der Daten – Verschiedenes
SOUG SIG - Oracle 12c Security Features 47 11. Juni 2015
SHA-2 Kryptographisch Hash Funktion auch in DBMS_CRYPTO
FIPS-Certified Cryptographic Modules
orapki Kommando unterstützt die Konvertierung des Oracle Wallets mit AES256 Algorithmus
Oracle 12c Wallets und Schlüssel Management
– Neue Attribute für die Schlüssel mit zusätzlichen Informationen
– Neue Kommandos konsolidieren verschiedene Aktionen, welche früher mit unterschiedlichen Tools abgedeckt wurden
– Importieren / Exportieren der Schlüssel aus den Wallets
Unterstützung für Oracle Key Vault
Vertraulichkeit der Daten – Data Redaction
SOUG SIG - Oracle 12c Security Features 48 11. Juni 2015
Maskieren der Daten bei der Ausgabe / Darstellung
– Z.B Kredit Karten, Sozialversicherungsnummern etc
Vertraulichkeit der Daten – Data Redaction
SOUG SIG - Oracle 12c Security Features 49 11. Juni 2015
dbms_redact.add_policy( object_schema => 'HR', object_name => 'EMPLOYEES', column_name => 'SALARY', policy_name => 'HR_redact_salary', function_type => dbms_redact.full, expression => q'[sys_context('USERENV', 'SESSION_USER')!='EUGEN']');
Data redact wird abhängig von Bedingungen ausgeführt
– Mit SYS_CONTEXT prüfen von User/Rolle, IP Adresse, Client Identifier, …
– App User/Rolle oder andere Information aus der Anwendung
– Unterstütze Funktionen: SYS_CONTEXT(), V(), NV() oder DOMINATES () Keine Custom PL/SQL
Fazit
SOUG SIG - Oracle 12c Security Features 50 11. Juni 2015
Verwendung der aktuellen Passwort Hash Funktionen Logon Protokolle mit sinnvollen Password Regeln sind ein „must have“
Unified Audit Trail bietet bezüglich Administration, Sicherheit und Performance wesentliche Verbesserungen
Neue Audit Policies erlauben das einfach Zusammenfassen der Audit Bedingungen
Authentifizierung wurde wesentlich verbessert, muss nur noch „eingesetzt“ werden
Fragen und Antworten... Stefan Oehrli Solution Manager / Trivadis Partner
Tel.: +41 58 459 55 55 [email protected]
11. Juni 2015 SOUG SIG - Oracle 12c Security Features 51