Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



21.02.2019

Wdrażanie projektów AI

Infrastruktura OVH
21.02.2019

Certyfikacja kluczy

HEUTHES-CAK
21.02.2019

Kopie zapasowe

Veeam Availability for AWS
21.02.2019

Dysk SSD Samsung 970 EVO Plus

Dysk SSD Samsung 970 EVO Plus
21.02.2019

Szyfrowane USB

Kingston IronKey D300 Serialized
21.02.2019

Bezpieczeństwo sieci

Check Point Maestro i seria 6000
21.02.2019

Ochrona danych

Commvault IntelliSnap i ScaleProtect
21.02.2019

Ułatwienie telekonferencji

Plantronics Calisto 3200 i 5200
21.02.2019

Transformacja centrów danych

Fujitsu PRIMEFLEX for VMware vSAN

Oracle Database Vault i Advanced Security - zabezpieczanie danych

Data publikacji: 21-02-2019 Autor: Kamil Stawiarski
Model szyfrowania przestrzeni...

W 2015 roku zostały opisane techniki eskalacji uprawnień w bazie danych Oracle i zabezpieczenia się z użyciem narzędzi Oracle Database Vault oraz Oracle Advanced Security. Należy jednak zwrócić uwagę na fakt, że zawsze istnieje punkt, w którym dane muszą zostać odszyfrowane i ujawnione uprawnionym osobom lub systemom.

 

W artykule znajdziemy ten punkt i pokażemy, z jaką łatwością można dotrzeć do zabezpieczonych danych, a nawet je zmienić w przypadku wykonania nieprzemyślanego wdrożenia. Nie ma zabezpieczeń, których nie da się obejść – administrator systemu zawsze będzie w stanie znaleźć dojście do każdego fragmentu chronionego obszaru. Głównie dlatego, że on sam był człowiekiem, który mur postawił, i zapewne zna wszystkie jego wady i zalety.


> ORACLE DATABASE VAULT

Narzędzie Oracle Database Vault zapewnia zaawansowaną ochronę wrażliwych danych aplikacji przed nieautoryzowanym działaniem osób postronnych, wynikającym z eskalacji uprawnień lub pozyskania dostępu za pomocą metod socjotechnicznych do konta bazodanowego z wysokimi uprawnieniami (np. do roli SYSDBA). Implementacja tego mechanizmu jest w większości przypadków transparentnym rozwiązaniem z punktu widzenia aplikacji, pozwalającym na budowanie chronionych obszarów (tzw. REALM) bez konieczności czasochłonnego i kosztownego modyfikowania kodu źródłowego systemu.

Produkt Database Vault zapewnia blokadę dostępu do wrażliwych danych poprzez interfejs bazodanowy nawet w przypadku nieuprawnionego dostępu do systemu operacyjnego. Dzięki temu jest on również świetną ochroną przed potencjalnymi błędami, jakie mogą zostać popełnione przez początkujących administratorów. Opisywane rozwiązanie wbudowane jest w binaria bazy danych w wersji Enterprise Edition, a jego wdrożenie jest stosunkowo proste, niezależnie do wykorzystywanej wersji bazy danych czy systemu operacyjnego.

Cechą charakterystyczną mechanizmu jest to, że nawet użytkownik z rolą SYSDBA nie ma możliwości bezpośredniego dostępu do obiektów chronionych REALM-em.

Implementacja mechanizmu Database Vault z automatu chroni nas również przed technikami eskalacji uprawnień opisanymi w scenariuszu przedstawionym w jednym z poprzednich artykułów („IT Professional” 5/2015, s. 46), polegającym na użyciu mechanizmu PREPROCESSOR obiektu EXTERNAL TABLE.

Dotyczy to jedynie użytkowników niemających roli SYSDBA. Użytkownik z rolą SYSDBA nie napotka takiego komunikatu i nawet będzie mógł swobodnie skompilować kawałek swojego kodu (np. w C++).

 

[...]

 

Laureat Oracle ACE Director i członek stowarzyszenia Oracle OakTable zrzeszającego ok. 100 najlepszych specjalistów na świecie. 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"