Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



20.07.2020

Baramundi

Pomoc w czasie pandemii.
20.07.2020

Stop infekcjom

CloudGuard
17.07.2020

Analiza zagrożeń

Kaspersky Threat Attribution Engine
17.07.2020

Strażnik danych

QGD-1602P
16.07.2020

Dysk przemysłowy

Transcend MTE352T
16.07.2020

Połączenie sił

Fugaku
16.07.2020

Brama bezpieczeństwa

Check Point 1570R
23.06.2020

PLNOG Online

PLNOG Online
23.06.2020

Nowe zagrożenie

Ramsay

Oracle Database Vault – ograniczanie uprawnień dla autoryzacji systemowej

Data publikacji: 19-06-2015 Autor: Kamil Stawiarski

Środowiska skonsolidowane są narażone nie tylko na ataki z zewnątrz. Obecnie jednym z głównych problemów jest czynnik ludzki, a za bezpieczeństwo danych wrażliwych odpowiadają administratorzy, mający bezpośredni dostęp do warstwy systemu operacyjnego. Jednym ze sposobów ograniczania uprawnień dla autoryzacji systemowej SYSDBA jest Oracle Database Vault.

W poprzednim artykule („IT Professional” 5/2015, s. 46) opisane zostały techniki eskalacji uprawnień pozwalające na wykonanie dowolnej komendy systemu operacyjnego z poziomu klienta Oracle – np. SQLDeveloper – dzięki użyciu odpowiednio wysokich uprawnień bazowych, takich jak np. CREATE ANY DIRECTORY. Posiadanie uprawnień DBA (Database Administrator) dla jednej bazy równoznaczne jest z posiadaniem uprawnień SYSDBA dla wszystkich instancji, do których można zalogować się, wykorzystując autoryzację systemową użytkownika będącego właścicielem oprogramowania Oracle.

Powyższy problem nabiera znaczenia przede wszystkim w środowiskach skonsolidowanych, w których liczba baz danych dla poszczególnych systemów liczona jest w dziesiątkach. W takiej sytuacji wystarczy jedna dziurawa baza, aby możliwe było uzyskanie dostępu do wszystkich pozostałych baz danych. Jednak warto pamiętać, że środowiska skonsolidowane nie są narażone jedynie na ataki z zewnątrz. W dzisiejszych czasach jednym z głównych problemów jest czynnik ludzki.

> DATABASE VAULT – ZAAWANSOWANA OCHRONA

Jednym ze sposobów ograniczania uprawnień dla autoryzacji systemowej SYSDBA jest Oracle Database Vault – produkt, który jest osobno płatną opcją dostępną dla bazy Enterprise Edition. Zgodnie z najnowszym cennikiem obowiązującym w momencie pisania artykułu (tinyurl.com/ceny-oracle) za każdy procesor licencyjny trzeba zapłacić 11 500 dol.

Oracle Database Vault jest narzędziem zapewniającym zaawansowaną ochronę wrażliwych danych aplikacji przed nieautoryzowanym działaniem osób postronnych, wynikającym z eskalacji uprawnień lub pozyskania dostępu za pomocą metod socjotechnicznych do konta bazodanowego z wysokimi uprawnieniami (np. do roli SYSDBA). Implementacja tego mechanizmu jest w większości przypadków transparentnym rozwiązaniem z punktu widzenia aplikacji, pozwalającym na budowanie chronionych obszarów (tzw. REALM), bez konieczności czasochłonnego i kosztownego modyfikowania kodu źródłowego systemu.

Produkt Database Vault zapewnia blokadę dostępu do wrażliwych danych poprzez interfejs bazodanowy nawet w przypadku nieuprawnionego dostępu do systemu operacyjnego. Dzięki temu jest on również świetną ochroną przed potencjalnymi błędami, jakie mogą zostać popełnione przez początkujących administratorów. Opisywane rozwiązanie wbudowane jest w binaria bazy danych w wersji Enterprise Edition, a jego wdrożenie jest stosunkowo proste, niezależnie do wykorzystywanej wersji bazy danych czy systemu operacyjnego.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"