Follow Us on Twitter
HomeKenniscentrumWhitebooks

Oracle Database Vault, een extra beveiligingslaag in de database

Gepubliceerd in
3
0 reactie(s)

Augustus 2006 – Beveiliging van de database en de daarin opgeslagen informatie is een verantwoordelijkheid die niet alleen bij de DBA ligt, maar ook bij de organisatie zelf. Er zijn diverse mogelijkheden om gecontroleerde toegang tot de database en de data te regelen. Enerzijds via rechten binnen de applicaties die de data benaderen, anderzijds door het uitdelen van slechts die rechten op database objecten die noodzakelijk zijn om de werkzaamheden te kunnen verrichten.

Er blijven echter altijd medewerkers die uit de aard van hun functie vrijwel ongelimiteerde rechten hebben. Bijvoorbeeld de Oracle DBA en de Application owners. Om deze rechten (naast andere) te kunnen beperken en tegemoet te komen aan de toenemende vraag naar beveiliging van (gevoelige) data, brengt Oracle het product Database Vault op de markt (najaar 2006).

Op het moment van schrijven van dit Whitebook was er alleen een download voor Linux en Sun beschikbaar. Dit Whitebook zal alleen ingaan op de mogelijkheden die dit product zegt te bieden. In een later Whitebook wil ik ingaan op de installatie, inrichting en gebruik hiervan.

Wat is Oracle Database Vault

Oracle Database Vault biedt een handvat om tegemoet te komen aan een aantal algemene beveiligings problemen en bedreigingen d.m.v.:

  • het opleggen van toegangs beperkingen aan DBA en andere gebruikers met uitgebreide privileges;
  • beperken van de Applicatie DBA in rechten en akties op de database die buiten de scope van zijn applicatie vallen;
  • het beter regelen van wie, wanneer en waarvandaan toegang tot de informatie kan krijgen.

Hieronder zal van elk van deze 3 toepassingen kort uitgelegd worden hoe e.e.a. binnen Oracle Database Vault is geimplementeerd.

Rechten beperking voor DBA en gebruikers met uitgebreide privileges

Oracle Database Vault kent voor deze rechten beperking de term REALM (letterlijk vertaald: koninkrijk, rijk). Hiermee worden als het ware koninkrijkjes binnen de database gedefinieerd (of anders gezegd, een scherm gelegd om gevoelige database objecten) die alleen toegankelijk zijn voor degenen die daarin toegelaten worden.

Anders gezegd, realms zijn een methode om krachtige DBA privileges te reguleren en/of te beperken. Een voorbeeld hiervoor is het SELECT ANY TABLE privilege. Het afschermen van data geeft echter geen beperkingen voor het uitvoeren van het werk van de DBA.

Rechten beperking van de Applicatie DBA
Figuur 1: Applicatie DBA's hebben beperkte rechten

Rechten beperking van de Applicatie DBA

De eigenaar van een applicatie en/of applicatie DBA heeft (mede afhankelijk van de inrichting van de applicatie) diverse vergaande rechten op de database. Hierbij valt te denken aan tabel manipulaties (CREATE, ALTER, DROP, TRUNCATE), tablespaces (CREATE, DROP), users (CREATE, ALTER, DROP) e.d. Echter ook hiervoor geldt weer dat deze rechten gelimiteerd dienen te worden tot die gebieden waar het echt noodzakelijk is en alleen beschikbaar zijn op de momenten dat het echt nodig is.

Oracle Database Vault kent voor deze rechten beperking de term RULES. Voor een aanzienlijk aantal commando’s kunnen hiervan de rechten beperkt worden. Een voorbeeld is bijv. het niet toestaand van het uitvoeren van een DROP TABLE command voor tabellen van een of meerdere schema owners. De selectie kan binnen een schema nog worden verfijnd.

Aanmaken van een rule
Figuur 2: een regel kan eenvoudig worden aangemaakt

Beperken toegangsrechten

Meer en meer de databases zijn 7 dagen in de week, 24 uur per dag, beschikbaar. Dit betekent niet automatisch dat alle in de database opgeslagen informatie gedurende die periode toegankelijk moet zijn. Het kan zelfs wenselijk zijn dat bepaalde applicaties alleen beschikbaar zijn binnen een bepaalde tijdsperiode en vanaf specifieke locaties.

Oracle Database Vault kent voor deze rechten beperking de term FACTORS. Hierbij wordt een rule gemaakt met een ingebouwde of zelf gedefinieerde factor. De rule evalueert in een true or false.

Er zijn diverse built in factors. Deze zijn vergelijkbaar met hetgeen opgevraagd kan worden d.m.v. de SYS_CONTEXT functie met de optie USERENV. Voorbeelden zijn o.a. Authentication Method, Session User, Client IP, Machine, Program, etc.

We kunnen bijvoorbeeld een regel definieren die zegt dat een connectie alleen maar locaal mag plaatsvinden e.e.a. gecontroleerd op basis van het IP adres. Of dat de data alleen maar benaderd mag worden via een specifieke applicatie.


Figuur 3: beperken van toegang tot de database

Gebruikersinterface

Oracle Database Vault kan beheerd worden met een via de web browser te benaderen interface (gebaseerd op de Oracle Enterprise Manager). Daarnaast kan het beheer plaats vinden door gebruik te maken van het package DBMS_MACADMIN. Voor beide vormen zijn ongetwijfeld voorstanders en tegenstanders te vinden.

Reports

Het alleen definieren en uitvoeren van de security regels heeft betrekkelijk weinig zin als er ook niet een vorm van rapportage beschikbaar is omtrent de regels en de overtredingen. Hiervoor beschikt Oracle Database Vault over een behoorlijk aantal standaard Reports.

De in Oracle Database Vault gedefinieerde regels en de auditing hiervan kunnen op een eenvoudige manier inzichtelijk worden gemaakt. Hiervoor zijn standaard reports beschikbaar binnen het product, waaronder (o.a.) de Datavault Configuration Issues Reports en de Data Vault Auditing Reports.

Overzicht van Database Vault rapporten
Fuguur 4: overzicht standaard rapportages

Conclusie

Zonder het product in de praktijk getest te hebben, maar afgaande op hetgeen hierover geschreven is, is mijn gevoel positief over Oracle Database Vault. Grote organisaties zullen meer profiteren van de mogelijkheden dan kleinere organisaties. Echter ongeacht de grootte zal het een te overwegen alternatief zijn voor die organisaties waarbij security een cruciale rol speelt binnen het bedrijfsproces.

Referenties

Over de auteur
Jaco van den Berg is sinds 1981 werkzaam in de ICT. Hij is begonnen als systeemontwikkelaar, en is daarna meer en meer de kant opgegaan van het operationeel beheer. Vanaf 1996 is hij werkzaam als Oracle DBA. Momenteel ligt zijn focus op het installeren, inrichten en beheren van Oracle omgevingen.

Waardering:
 
Tags:
Print versiePrint versiePDF versiePDF versie

Reacties

Nieuwe reactie inzenden

De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.

Meer informatie over formaatmogelijkheden

CAPTCHA
Deze vraag is om te testen of u een persoon bent en om spam te voorkomen
Image CAPTCHA
Enter the characters shown in the image.
Kenniscentrum
Whitebooks
Evenementen		   Blog
Expertises

 
Carrières

Werken bij ons
Arbeidsvoorwaarden
Afstudeerders

   Solliciteren
Vacatures
Wij zoeken
 
Over Whitehorses
Profiel
Nieuws
Team		   infoForms
Diensten
Expertises