1
Oracle adatbázis biztonság és újdonságok Fekete Zoltán Principal sales consultant http://blogs.oracle.com/zfekete ORACLE PRODUCT LOGO 2
The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle s products remains at the sole discretion of Oracle. 3
Oracle Corporation MÉRET INNOVÁCIÓ 36,9 milliárd USD bevétel gördülő 12 hónapos alapon* #1 50 termék/iparág kategóriában 24 milliárd USD R&D 2004 óta 50 milliárd USD, >80 felvásárlás 390 000 ügyfél 145 országban 25 000 partner 115 000 alkalmazott 34 000 fejlesztő és mérnök 18 000 ügyfél support szakértő, 29 nyelven beszélve 18 000 implementációs konzultáns 15 millió fejlesztő az Oracle online közösségekben Évente 2 millió hallgató támogatása 900 független Oracle felhasználói csoport 500 000 taggal * GAAP revenue reported in USD as of August 31, 2012 4
Integrált alkalmazás diszk menedzsment Hardware, OS, Virtualizáció Adatbázis Köztesszoftverek Alkalmazások A teljes kínálat Piacvezető önmenedzselő adatbázis képességek Integrált, mélyreható Middleware menedzsment Fusion alkalmazások teljeskörű menedzsmentje Teljes, integrált alkalmazás-diszk menedzsment Fizikai és virtuális rendszerek teljes életciklusának menedzselése WebLogic, SOA, Portal, Identity Mgmt, BI 5
Oracle Junior/Master program Évente 1000-1500 fő közötti regisztrált hallgató Évente 150-250 fő sikeresen vizsgázó hallgató Évente 5-25 fő helyezkedett el Oracle szakembert foglakoztató cégeknél 6
Részvétel a Junior/Master programban 1. regisztráció a szemináriumra: http://www.houg.hu/juniorkepzes 2. Részvétel a szemináriumokon A vizsgarészvételhez minimum 9 előadás 3. Vizsga 4. Sikeres vizsgázók bekerülnek az Oracle Master adatbázisba, ezzel lehetőséget kapnak a részvételre a Master képzésben 5. Sikeres megegyezés esetén munkalehetőség és részvétel a Master képzésben 7
Projektek az Oracle-ben http://www.oracle.com/us/corporate/careers/college/064943.pdf http://www.sg.hu/cikkek/95792/az_oracle_is_tobb_it_szakembert_szeretne 8
9
Az előadás témái Adatbázis titkosítás Audit Vault and Database Firewall Teszt adatbázisok maszkolása Security újdonságok, Oracle Database stratégia 10
Hol tartunk ma? Oracle Database 11g Release 2 Kipróbált, stabil verzió Megjelenés: 2009. szeptember 1. Oracle Enterprise Manager üzemeltetés, monitorozás, menedzsment EM Cloud Control 12c: 2011. szeptember EM Cloud Control 12cR2: 2012. szeptember 11
Oracle Database Editions Kiadások, funkciók, opciók Magas szinten: http://www.oracle.com/us/products/database/enterpriseedition/comparisons/index.html Részletesebben: Oracle Database Licensing Information http://docs.oracle.com/cd/e11882_01/license.112/e10594.pdf 12
Mennyire biztonságosak az adatbázisok? 2011 IOUG Data Security Survey eredményei 70% Az adatok adatbázis fájlokban vagy a tároló OS szinten olvasható 57% Direkt elérés is van az adatbázisokhoz (alkalmazás kikerülés) 24% DBA-k nem érik el az adatokat sem a tárolt eljárásokat 63% Nem tettek lépéseket az SQL injection támadások megelőzéséért 69% Nem monitorozzák az érzékeny adatok elérését 48% Érzékeny adatokat is visznek a teszt/fejlesztői rendszerekbe 13
Oracle Database Az adatbázisok mélységi védelme Titkosítás és maszkolás Hozzáférés szabályozás Monitorozás Blokkolás és logolás Titkosítás és maszkolás Oracle Advanced Security Oracle Secure Backup Oracle Data Masking, Test Data Man. Hozzáférés szabályozás Oracle Database Vault Oracle Label Security Monitorozás Oracle Audit Vault & Database Firewall Oracle Configuration Management Oracle Total Recall Blokkolás és logolás Oracle Audit Vault & Database Firewall 14
Oracle Database Editions 15
Oracle Advanced Security Adatbázis titkosítás, OS-szintű védelem, akár HSM (HW Sec. Module) Diszk Alkalmazás Mentés Export Szállítás Minden alkalmazás adat hatékony titkosítása (jobb mint az alkalmazás-szintű titkosítás), Transparent Data Encryption Tablespace vagy column encryption Mozgó adatok szabványos titkosítása, network encryption Erős authentikáció támogatása Az alkalmazások nem változnak!!! 16
Végpontok közötti adattitkosítás Táblatér titkosításra HW támogatás Oracle Solaris 11 és SPARC T4 CPU-intenzív titkosító utasítások automatikusan a SPARC T4 titkosító gyorsítóján hajtódnak végre SSL SOAP SSL SSL Weblogic SSL Unified Key Management Oracle Fusion Middleware SSL Oracle Database Oracle DB Advanced Security Transparent Data Encryption (TDE) hardver gyorsítással SSL IPsec (VPN) Storage Solaris ZFS File System Storage Tablespace Encrypt Nagyteljesítményű biztonság Intel CPUs w AES-NI: a set of New Instructions for the Advanced Encryption Standard. 17
Oracle Database Vault Felelősségi körök szétválasztása, kiváltságos felhasználók szabályozása Az alkalmazások biztonságának megkerülése ellen Az előírásoknak való megfelelés: Sarbanes-Oxley, Graham-Leach Bliley, Basel II, Hpt 13/b, Tpt 101/a erős belső szabályozást és a felelősségi körök szétválasztását igényli. A belső támadások elleni védekezés kikényszeríti az üzemeltetési biztonsági szabályok betartását. - Ki, mikor, hol férhet hozzá az adatokhoz. Adatbázis konszolidációs stratégia: megelőző intézkedés kell a kiváltságos (DBA, fejlesztő, SYSTEM,...) felhasználókkal szemben. 18
Oracle Database Vault Felelősségi körök szétválasztása kiváltságos felhasználók szabályozása Alkalmazás Procurement HR Finance DBA feladatok szétválasztása Kiváltságos felhasználók korlátozása Adatok biztonságos konszolidációja Nincs szükség alkalmazás változtatásra Támogatja az Oracle Exadata-t is DBA select * from finance.customers 19
Bemutatjuk 20
Database auditálási esetek Az adatbázis tevékenységekről átfogó információgyűjtés Ki, mit, mikor, hol? Előtte/utána értékek Teljes végrehajtási és alkalmazási környezet, a séma infóval együtt Auditáljunk minden utat az adatbázishoz SQL végrehajtás a tárolt eljárásokban Közvetlen kapcsolatok Ütemezett és operatív tevékenységek Hogyan? Gyakran ugyanabban az adatbázisban!!! Rizikó! 21
Adatbázis tevékenység monitorozási esetek A hálózaton jövő adatbázis tevékenységek monitorozása Az SQL-ből gyűjteni: ki, mit, mikor, hol? Valós idejű monitorozás, nem érinti a DB szerver munkáját Megakadályozni: SQL injection és nem engedélyezett tev. A szervezet biztonsági előírásainak (sec. policy) megfelelés Adatelérés: csak az engedélyezett utakon/módokon Adatelérés: csak munkaidőben Adatelérés: csak az engedélyezett eszközökkel Adatelérés: csak az engedélyezett munkaállomásokról... 22
Miért nehéz a pontos célzás? Miért fontos? 10 000 tranzakció/s 864 millió/nap 0,001% fals pozitív 60 000 hiba/hét Baj történhet: akár egy fals negatív!!! Reguláris kifejezések egyezés vizsgálatánál könnyű tévedni "(?:\b(?:(?:s(?:elect\b(?:.{1,100}?\b(?:(?:length count top)\b.{1,100}?\bfro m from\b.{1,100}?\bwhere).*?\b(?:d(?:ump\b.*\bfrom ata_type) (?:to_(?:num be cha) inst)r)) p_(?:(?:addextendedpro sqlexe)c (?:oacreat prepar)e execu te(?:sql)? makewebtask) ql_(?:longvarchar variant)) xp_(?:reg(?:re(?:movem ultistring ad) delete(?:value key) enum(?:value key)s addmultistring write ) e(?:xecresultset numdsn) (?:terminat dirtre)e availablemedia loginconfig cmdshell filelist makecab ntsec) u(?:nion\b.{1,100}?\bs elect tl_(?:file http)) group\b.*\bby\b.{1,100}?\bhaving d(?:elete\b\w *?\bfrom bms_java) load\b\w*?\bdata\b.*\binfile (?:n?varcha tbcreato)r)\b i(?:n(?:to\b\w*?\b(?:dump out)file sert\b\w*?\binto ner\b\w*?\bjoin)\b (?: f(?:\b\w*?\(\w*?\bbenchmark null\b) snull\b)\w*?\() a(?:nd\b?(?:\d{1,10} [\'\"][^=]{1,10}[\'\"])?[=<>]+ utonomous_transaction\b) o(?:r\b?(?:\d{1,10} [\'\"][^=]{1,10}[\'\"])?[=<>]+ pen(?:rowset query)\b) having\b?(?:\d{1,10} [\'\"][^=]{1,10}[\'\"])?[=<>]+ print\b\w*?\@\@ cast\b\w*?\() (?:;\W*?\b(?:shutdown drop) \@\@vers ion)\b '(?:s(?:qloledb a) msdasql dbo)') [Source: ModSecurity, Web Application Firewall] 23
Egyre több a követelmény... Biztonság, megfelelés: Felderítés és megelőzés Rugalmasság: Auditálás és/vagy monitorozás; hálózati topológia Kiterjeszthetőség: egyéb forrásokból is Skálázhatóság: akár rendszerek ezreit Egyszerűség: bevezetés és működtetés, min. költség 24
Egyre több a követelmény... Audit rekordok: database audit trail vagy Fájlok OS szinten Műveletek: privilégium, séma, objektum, utasítás. AUDIT_TRAIL initializációs paraméter: DB database audit trail (SYS.AUD$), kivéve ami kötelezően OS-be DB_EXTENDED AUDIT_TRAIL=DB plusz SQL bind és SQL text oszlopok XML XML, OS fájl XML_EXTENDED AUDIT_TRAIL=XML plusz SQL bind és SQL text oszl. OS (javasolt): audit records OS fájl 25
Oracle Audit Vault and Database Firewall Felismerés/megelőzés Oracle és nem-oracle adatbázisokhoz Felhasználók Alkalmazások Database Firewall Allow Log Alert Substitute Block Firewall Events Auditor Security Manager Reports Alerts Policies! Audit Vault Audit adatok OS, Directory Services, File system & Custom Audit Logs 26
Egy közös Audit & esemény Repository Oracle Database Enterprise Edition technológiával Titkosítás, tömörítés, particionálás, skálázhatóság, nagy rendelkezésre állás, stb. Nyílt séma: rugalmas jelentéskészítés Information lifecycle man.: célspecifikus adatmegtartás Központi web felület, egyszerű adminisztráció Parancssor utility: automatizálás és szkriptelés 27
Kiterjesztett vállalati auditálás Adatbázisok: Oracle, SQL Server, DB2 LUW, Sybase ASE Új audit források OS: Microsoft Windows, Solaris Directory Services: Active Directory File rendszer: Oracle ACFS Audit Collection Pluginek saját audit forrásokhoz XML file: saját audit elemeket a kanonikus audit elemekre képezi le XML audit fájlból és adatbázis táblákból gyűjti az adatokat 28
AVDF architektúra: több lehetőség Alkalmazások és felhasználók In-Line Blocking and Monitoring Remote Monitoring Out-of-Band Monitoring HA Mode Audit Vault Standby Audit Vault Primary Soft appliance Audit adatok Audit Agentek 29
Egyszerű adminisztrátori felület 30
Alapértelmezett jelentések 31
Készen kapott megfelelőségi jelentések 32
Adatok több forrásrendszer típusból 33
Tárolt eljárás hívások auditja A hálózaton nem minden látható 34
Teljeskörű audit adatok 35
SQL Injection támadások blokkolása 36
Kiterjedt riasztási szűrő feltételek 37
Teljesítmény és skálázhatóság Audit Vault Sok száz heterogén adatbázis és más rendszer monitorozását és auditálását támogatja Sokfajta hardvert támogat Database Firewall A döntési idő független a policy-ban a szabályok számától Multi-eszköz / multi-process / multi-core skálázhatóság 8 core: 30 000 60 000 tranzakció/s 39
Telepítési kényelem Soft-appliance csomagolás a firewall és a szerver komponensre Egyszerű telepítés és kiterjesztés Előre konfigurált elemek; induláshoz csak a hálózati beállítások kellenek Akár auditálással akár monitorozással lehet kezdeni HA mód Agent telepítés és upgrade Egyetlen jar fájllal Minden collection plugin & lokális hálózat monitorozás Adminisztrátori eszközök a nagy rendszerekhez telepítéshez Audit policy management és integrált audit trail törlés 40
Oracle Database biztonsági megoldások Teljes biztonsági platform MEGELŐZÉS FELDERÍTÉS ADMINISZTRÁCIÓ Encryption, Redaction, Masking Activity Monitoring Privilege Analysis Privileged User Controls Database Firewall Sensitive Data Discovery Data Access Controls Auditing and Reporting Configuration Scanning 41
Database Auditing teljesítmény Oracle Database 11g Eredeti workload CPU 50%, 250 audit rekord/s Audit Trail beáll. Plusz áteresztési idő Plusz CPU OS 1,39% 1,75% XML 1,70% 3,51% XML, Extended 3,70% 5,36% Nagy U.S. Telekommunikációs cég validálta, Oracle Audit Vault 42
Oracle Audit Vault and Database Firewall SQL Injection védelem, Pozitív biztonsági modell SELECT * from stock where catalog-no='phe8131' White List Allow Applications SELECT * from stock where catalog-no= ' union select cardno,0,0 from Orders -- Block Databases Az Allowed (megengedett) bármely felhasználóra v. alkalmazásra definiálható Automatizált fehér lista generálás bármely alkalmazáshoz Nem engedélyezett tranzakciók: felderítés / blokkolás / riasztás 43
Oracle Audit Vault and Database Firewall Tevékenységek korlátozása: Negatív biztonsági modell DBA activity via Applications DBA activity via Approved Workstation SELECT * FROM v$session SELECT * FROM v$session Black List Block Allow + Log Nem kívánt SQL-ek megállítása, felhasználó/séma elérés Fekete lista : hét napja, hálózat, alkalmazás, felhasználó név, OS név,... Rugalmasság az engedélyezett felh., aktivitás monitorozással 44
Oracle Audit Vault and Database Firewall Rugalmas policy kikényszerítés Log Alkalmazások Allow SELECT * FROM accounts Alert Ez lesz belőle SELECT * FROM dual where 1=0 Substitute Block SQL nyelvi elemzés SQL ut. sokaságát cluster -ekbe csoportosítja A döntési idő független a policy-ban a szabályok számától SQL-szintű: blokkolás, kicserélés, riasztás és engedés, csak logolás SQL helyettesítés: kikerüli a támadást az alkalmazás zavarása nélkül 45
Biztonságos teszt/fejlesztői környezetek Oracle Data Masking ÉLES környezet TESZT környezet LAST_NAME SSN SALARY AGUILAR 203-33-3234 40,000 BENSON 323-22-2943 60,000 LAST_NAME SSN SALARY SMITH 111 23-1111 60,000 MILLER 222-34-1345 40,000 Biztonságos teszt/fejl. környezet, szenzitív adatok maszkolása Szenzitív adat sosem hagyja el az adatbázist Kiterjeszthető formátum könyvtár Kifinomult maszkolás: feltételes, összetett, determinisztikus Integrált maszkolás és klónozás 46
Összegzés: Data Masking Segít az információ megosztását az adatvédelmi előírásoknak megfelelően végrehajtani. Egységes alkalmazás maszk formátumok a teljes szervezetre. Növeli a DBA hatékonyságát a szenzitív adatok automatizált, hatékony maszkolásával. 47
Integrált az adat részhalmaz képzéssel Test Data Management Pack Application Data Model alapú Automatikus adatkivonat (WHERE) clause generálás Adat részhalmaz méret becslés Late-binding paraméter támogatás Nagy teljesítményű végrehajtás 1 Terabyte -> 200 GB (20%) 68 perc alatt Idő (FY:2011) Dimenzió (Régió) Helyigény (10%) 48
Integrált az adat részhalmaz képzéssel Data Masking és Test Data Management Pack 49
További információ: Web Ügyfél sikerek Hírlevelek Közösségi média Blogok http://www.oracle.com/database/security http://www.oracle.com/technetwork/database/security http://www. oracle.com/goto/database/security-customers Security Inside Out Database Insider LinkedIn Group: Database Insider Twitter: Oracle Database http://blogs.oracle.com/securityinsideout http://blogs.oracle.com/databaseinsider 50
HOUG Konferencia 2013. április 8-10. Siófok, Hotel Azúr http://www.houg.hu/ 51
HOUG Konf. 2013.04.10. Security szekció Az adatbázis-biztonság fokozása: audit, SQL szűrés, titkosítás Fekete Zoltán, Oracle Identity Management a felhőben? Egerszegi Krisztián, CDSYS Biztonságosabb mobil alkalmazások Fábián Péter, Oracle Biztonságos alkalmazások fejlesztése Schäffer Krisztián, cloudbreaker.co Információbiztonsági szabályozás ma és holnap Magyarországon Krasznai Csaba, HP Kerekasztal beszélgetés: Információbiztonsági szabályozás Mo-on Moderátor Kristóf Csaba, biztonságportál.hu Résztvevők: Egerszegi Krisztián, Compliance Data Systems Kft.; Fábián Péter, Oracle Hungary; Horváth Gergely Krisztián, CISA CISM, Magyar Nemzeti Vagyonkezelő; Krasznai Csaba, HP; Papp Péter Kancellár,; Schäffer Krisztián, cloudbreaker.co 52
HOUG Konf. 2013.04.09. Database szekció Tárolóhely csökkentés és folyamatoptimalizáció archiválással Csókás Péter, K&H Bank, Mentsl Attila, Oracle Oracle s Public Cloud for Database and Application Developers ORFK: Robotzsaru rendszer az Exadata Database Machine rendszeren ORFK Oracle Application Express fejlesztés a felhőben Izsák Tamás, APPWORKS Oracle Enterprise Manager Cloud Control 12c és Grid Control 11g összehasonlítás Péntek Csaba, National Instruments Hungary Kft. Kerekasztal beszélgetés: IaaS, Cloud, Pluggable databases 53
HOUG Konf. 2013.04.10. Database szekció MySQL Cluster és Hadoop mint Big Data platform Erdélyi Ernő, Component Soft Kft. iwiw, Oracle Database Appliance Stahl István Segítség, összementem!" - Egy adattárház története a kezdetektől a SuperCluster-Exadata rendszerig Kránicz László, OTP Bank E-Irattár rendszer fejlesztése Oracle APEX-ben Tajti Tibor, QNSZT Kft. Mérésadatgyűjtő és elemző rendszer terve Exadata Database Machine alapon, Dr. Szemes Péter Tamás Debreceni Egyetem, Épület-mechatronikai Kutató Központ, Szabad Miklós Xperteam Zrt. Oracle Database stratégia: következő lépések, következő verzió Fekete Zoltán, Oracle Hungary 54
55
56