Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.05.2020

Cloud Native Universe

Jako patron medialny zapraszamy programistów wdrażających lub integrujących się z dowolną...
26.03.2020

Koniec certyfikatów...

MCSA, MCSD i MCSA
26.03.2020

Odświeżony OS

FortiOS 6.4
26.03.2020

Bezpieczeństwo w chmurze

Cisco SecureX
26.03.2020

Modernizacja IT

Nowości w VMware Tanzu
26.03.2020

Krytyczne zagrożenie dla...

Nowa groźna podatność
26.03.2020

Laptopy dla wymagających

Nowe ThinkPady T, X i L
26.03.2020

Serwerowe ARM-y

Ampere Altra
26.03.2020

Energooszczędny monitor

Philips 243B1

Oracle Database Vault – ograniczanie uprawnień dla autoryzacji systemowej

Data publikacji: 19-06-2015 Autor: Kamil Stawiarski

Środowiska skonsolidowane są narażone nie tylko na ataki z zewnątrz. Obecnie jednym z głównych problemów jest czynnik ludzki, a za bezpieczeństwo danych wrażliwych odpowiadają administratorzy, mający bezpośredni dostęp do warstwy systemu operacyjnego. Jednym ze sposobów ograniczania uprawnień dla autoryzacji systemowej SYSDBA jest Oracle Database Vault.

W poprzednim artykule („IT Professional” 5/2015, s. 46) opisane zostały techniki eskalacji uprawnień pozwalające na wykonanie dowolnej komendy systemu operacyjnego z poziomu klienta Oracle – np. SQLDeveloper – dzięki użyciu odpowiednio wysokich uprawnień bazowych, takich jak np. CREATE ANY DIRECTORY. Posiadanie uprawnień DBA (Database Administrator) dla jednej bazy równoznaczne jest z posiadaniem uprawnień SYSDBA dla wszystkich instancji, do których można zalogować się, wykorzystując autoryzację systemową użytkownika będącego właścicielem oprogramowania Oracle.

Powyższy problem nabiera znaczenia przede wszystkim w środowiskach skonsolidowanych, w których liczba baz danych dla poszczególnych systemów liczona jest w dziesiątkach. W takiej sytuacji wystarczy jedna dziurawa baza, aby możliwe było uzyskanie dostępu do wszystkich pozostałych baz danych. Jednak warto pamiętać, że środowiska skonsolidowane nie są narażone jedynie na ataki z zewnątrz. W dzisiejszych czasach jednym z głównych problemów jest czynnik ludzki.

> DATABASE VAULT – ZAAWANSOWANA OCHRONA

Jednym ze sposobów ograniczania uprawnień dla autoryzacji systemowej SYSDBA jest Oracle Database Vault – produkt, który jest osobno płatną opcją dostępną dla bazy Enterprise Edition. Zgodnie z najnowszym cennikiem obowiązującym w momencie pisania artykułu (tinyurl.com/ceny-oracle) za każdy procesor licencyjny trzeba zapłacić 11 500 dol.

Oracle Database Vault jest narzędziem zapewniającym zaawansowaną ochronę wrażliwych danych aplikacji przed nieautoryzowanym działaniem osób postronnych, wynikającym z eskalacji uprawnień lub pozyskania dostępu za pomocą metod socjotechnicznych do konta bazodanowego z wysokimi uprawnieniami (np. do roli SYSDBA). Implementacja tego mechanizmu jest w większości przypadków transparentnym rozwiązaniem z punktu widzenia aplikacji, pozwalającym na budowanie chronionych obszarów (tzw. REALM), bez konieczności czasochłonnego i kosztownego modyfikowania kodu źródłowego systemu.

Produkt Database Vault zapewnia blokadę dostępu do wrażliwych danych poprzez interfejs bazodanowy nawet w przypadku nieuprawnionego dostępu do systemu operacyjnego. Dzięki temu jest on również świetną ochroną przed potencjalnymi błędami, jakie mogą zostać popełnione przez początkujących administratorów. Opisywane rozwiązanie wbudowane jest w binaria bazy danych w wersji Enterprise Edition, a jego wdrożenie jest stosunkowo proste, niezależnie do wykorzystywanej wersji bazy danych czy systemu operacyjnego.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"