Sicherheitsfunktionalitäten

Inhaltsverzeichnis
1. Anforderungen an eine Sicherheitsarchitektur..................... 2
1.1 Oracle Identity Management.................................... 3
1.1.1 Oracle Internet Directory (OID)........................... 3
1.1.2 Oracle Virtual Directory OctetString...................... 3
1.1.3 Oracle Certificate Authority (OCA)........................ 4
1.1.4 Directory Integration Platform (DIP)...................... 4
1.1.5 Single Sign On Server (SSO)............................... 4
1.1.6 Provisioning-Dienste...................................... 4
1.1.7 Oracle Xellerate (Thor Technologies)...................... 5
1.1.8 Delegated Authentication Services (DAS)................... 5
1.1.9 JAZN...................................................... 5
1.1.10 Federated Identity Management............................ 5
1.1.11 Webservice Sicherheit.................................... 6
1.1.12 Oracle CoreID ( früher OBLIX)............................ 6
1.1.13 BPEL (Business Process Execution Language).............. 7
1.1.14 Biometrische Verfahren................................... 7
1.2. Sicherheitskomponenten....................................... 8
1.2.1 Benutzer- Rollenkonzepte der Datenbank.................... 8
1.2.2 Enterprise User Security (EUS)............................ 8
1.2.3. Secure Application Role.................................. 9
1.2.5. Hardware Security Modules (HSMs)......................... 9
1.2.6. Proxy Authentication..................................... 9
1.2.7. Advanced Security Option (ASO).......................... 10
1.2.8. Datenverschlüsselung in der Datenbank................... 10
1.2.8.1. Transparent Data Encryption (TDE)..................... 11
1.2.9. Virtual Private Database (VPD).......................... 11
1.2.10. Auditing............................................... 12
1.2.11. Connection Manager (CM)................................ 12
1.2.12.Database Resource Manager............................... 12
1.2.13 HTMLDB.................................................. 12
1.2.14 Secure Backup........................................... 13
1.3 Oracle Data Vault............................................ 13
1.4 Oracle Audit Vault........................................... 14
1.5 Grid Security................................................ 15
1.3. Security Evaluierungsstatus................................ 15
1.4. Administration und Konfiguration............................ 15
1.5. Weiterführende Informationen................................ 16
1
1. Anforderungen an eine Sicherheitsarchitektur
Heutzutage ist die Technologie nicht mehr die Hauptherausforderung,
bei der Umsetzung einer sicheren, flexiblen und performanten
Sicherheitsarchitektur.
Vielmehr
müssen
die
Anforderungen
und
Sicherheitsregeln
der
verschiedenen
Kunden
in
die
zur
verfügungstehenden
Technologien
integriert
werden.
Auf
den
nachfolgenden Seiten werden die verschiedenen Sicherheitstechnologien
dargestellt, die den Aufbau einer flexiblen und skalierbaren
Sicherheitslösung erlauben.
2
1.1 Oracle Identity Management
Oracle bietet für die effiziente Benutzer- und Rechteverwaltung eine
Identity Management Plattform an, welche für den Aufbau einer
flexiblen
und
performanten
Sicherheitsarchitektur
verwendet
werden kann. Hauptvorteil einer solchen auf Standards aufbauenden
Infrastruktur ist die Abbildung eines N zu N Security Layers (von der
Applikation bis in die Datenbank/Storage).
Die nachfolgende Abbildung zeigt skizzenhaft den Aufbau der Oracle
Identity Management Plattform:
Abb. 1: Strukturierter Überblick über die Identity Management Funktionalitäten.
Nachfolgend werden verschiedenen Komponenten der „Oracle Identity
Management Plattform“ beschrieben. Neben diesem Sicherheitsframework
besitzt der Oracle Applikationsserver weitere Sicherheitsstandards,
die anschließend dargestellt werden. Weitere Informationen sind unter
der URL – „Oracle Identity Management“ und „Knows Who knows How“ zu
finden. Partner rund um Identity Management sind unter der URL –
„Partners“ zu finden.
1.1.1 Oracle Internet Directory (OID)
Das OID ist ein auf dem Standard LDAPv3 basierender Directory
Service, der über Standardschnittstellen mit anderen Directories
integriert
werden
kann.
Durch
die
Verwendung
bewährter
Datenbankfunktionalitäten
verfügt
das
OID
über
sehr
gute
Skallierbarkeit, Hochverfügbarkeit und Sicherheitsfunktionalitäten.
Mehr Informationen rund um dem OID sind unter der URL – „Oracle
Internet Directory“ und „Introduction to LDAP and OID“ zu finden.
1.1.2 Oracle Virtual Directory
(Erweiterete Verzeichnisfunktionalitäten)
Unternehmen nutzen heutzutage verstärkt virtuelle Methoden, um
Benutzerinformationen
unabhängig
von
Ihren
Niederlassungen
konsolidieren zu können. Virtuelle Verzeichnisse erlauben Unternehmen
1. die Konsolidierung verschiedenster Directories,
2. die
Integration von Passwörter
Directories hinweg, sowie
über
unterschiedlichste
3. Verzeichnis-Proxy-Funktionalitäten.
3
All diese Funktionalitäten helfen Unternehmen beim Aufbau von
Identity
Management
Systemen,
sowie
der
Integration
anderer
Applikationsentwicklungen. Das Oracle Virtual Directory (früher
OctetString Virtual Directory Engine) ermöglicht es Unternehmen sich
an
Anwendungen
anzumelden,
die
sich
unterschiedlichster
Identitätsquellen bedienen. Mehr Informationen rund um das “Oracle
Virtual Directory” sind unter der URL http://www.oracle.com/identity
und Oracle Virtual Directory zu finden.
1.1.3 Oracle Certificate Authority (OCA)
OCA
ist
ein
auf
dem
Standard
X.509
v3
basierendes
Zeritifizierungscenter, das den Einsatz von digitalen Signaturen,
starken Authentifizierungsmethoden und sicheren Netzwerkverbindungen
unterstützt. Die OCA verfügt desweiteren über Revocationslisten und
besitzt eine webbasierte GUI zum leichten Provisionieren von
Zertifikaten. Weitere Informationen zur OCA können der URL – „Oracle
Certificate Authority“ und „Oracle Certificate Authority Features“
entnommen werden.
1.1.4 Directory Integration Platform (DIP)
Die
DIP
Platform
bietet
die
Möglichkeit,
das
OID
über
Standardschnittstellen
mit
Directories
von
Drittanbietern
zu
integrieren. Derzeit kann das OID „out of the box“ mit dem Active
Directory von Microsoft, dem iPlanet Directory von Sun und künftig
dem Novell eDirectory integriert werden. Weitere Directories wie Open
LDAP werden folgen. Derzeit besteht die Möglichkeit das OID entweder
durch zugekaufte Adaptoren oder mit dem Software Development Kit
(kurz SDK) zu integrieren. Informationen zur Directory Integration
Plattform sind der URL – „Oracle Identity Management“ zu entnehmen.
1.1.5 Single Sign On Server (SSO)
SSO bietet die Möglichkeit des Single Sign On’s für alle eingesetzten
Webapplikationen. Aufgrund der offenen API können statt des Single
Sign On Servers von Oracle auch andere bestehende Single Sign On
Lösungen verwendet werden. Informationen rund um den Single Sign On
Server können der URL – Single Sign On entnommen werden. Oracle’s
„COREid Access and Identity“ Produkt vervollständigt die Oracle
Lösung, um Kunden die Realisierung eines zentralen, feingranularen
Zugriffsmanagements
für
heterogene
Applikationsumgebungen
zu
ermöglichen.
1.1.6 Provisioning-Dienste
Provisionierung automatisiert die Verteilung von Benutzern und deren
Berechtigungen in heterogenen Unternehmensumgebungen. Dazu werden
vorgeschaltete Systeme, wie z. B. HR-Systeme, mittels der „Directory
Provisioning Plattform“ mit der Oracle Identity Plattform verbunden.
Somit werden die in HR-Systemen zuerst eingetragenen Mitarbeiter
abhängig Ihrer Profile über die Oracle Identity Management Plattform
für die entsprechenden IT-Systeme (Datenbanken, Netwerke, etc.)
freigeschaltet. Unterstützt wird die Provisionierung, aber auch
Deprovisionierung von ausgeschiednenen Mitarbeitern beispielsweise
durch Oracle COREid Provisioning. Information rund um Oracle
Provisioning ist der nachstehenden URL zu entnehmen - Provisioning.
4
1.1.7 Oracle Xellerate (Thor Technologies)
(erweitertes Provisioning)
Provisioning zählt heutzutage mit zu den Hauptanforderungen bei der
Entwicklung eines Identity Management Systems. Mit dem Erwerb von
Thor
Xellerate
erweitert
Oracle
seine
bisherigen
Provisionierungsmöglichkeiten mit Drittanbietern. “Oracle Xellerate
Identity Provisioning” (früher Thor Xellerate) erlaubt es Unternehmen
Benutzerzugriffsrechte
und
–privilegien
während
des
gesamten
Provisionierungszeitraumes zu managen. Dieser sogenannte Provisioning
Lifecyle kann sich dabei über verschiedene IT Umgebungen, inklusive
unterschiedlicher Plattformen, Systemen und Applikationen hinweg
erstrecken. Mehr Informationen rund “Oracle Virtual Directory” gibt
es
unter
den
URL’s
http://www.oracle.com/identity
und
http://www.thor.com.
1.1.8 Delegated Authentication Services (DAS)
Mit den sogenannten DAS-Diensten
werden „Self Service“-Dienste
angeboten, die den Benutzern die Möglichkeit eröffnen, bestimmte
Attribute in Eigenverantwortung zu verwalten. Zu diesen Attributen
zählen beispielsweise Aktivitäten wie das Paßwort
zurückzusetzen
oder
eine
Adresse
pflegen.
Das
hat
zur
Folge,
dass
der
Datenbankadministrator und Anwendungsentwickler wesentlich weniger
Zeit mit solchen Verwaltungstätigkeiten verbringt.
1.1.9 JAZN
Der von Oracle genutzte Begriff JAZN (JAAS Überblick im Oracle
Application Server) basiert auf dem von SUN gegründeten JAAS Standard
(Java Authentication & Authorisation Service).
1.1.10 Federated Identity Management
Federation gehört zu den immer häufiger genannten Themen rund um die
eindeutige Identität von Benutzern.
Bei der Federation werden Benutzerdaten über die Unternehmensgrenzen
hinweg zwischen dem sogenannten „Service Provider“ und dem „Identity
Provider“ ausgetauscht. Dabei liefert der „Identity Provider“ dem
„Service Provider“ alle notwendigen Benutzerdaten, um diese Benutzer
dann im eigenen Unternehmensnetzwerk eindeutig zu identifizieren.
Dadurch spart sich der „Service Provider“ den bereits eindeutig
identifizierten
Benutzer
nochmals
zu
authentifizieren
und
zu
autorisieren. Federation setzt sich aus den folgenden Standards
zusammen:
1. SAML
2. Liberty Alliance
3. Web Service Federation
Weitere Informationen dazu können der der folgenden URL entnommen
werden - Oracle Security Developer Tools.
5
1.1.11 Webservice Sicherheit
Das Oracle Phaos Produkt ist eine Technologie zur Realisierung von
Identity
Management
Sicherheit,
sowie
die
Bereitstellung
von
standardbasierten
Verschlüsselungsprotokollen.
Dabei
werden
die
folgenden Komponenten bereitgestellt:
•
Unterstützung zur Verschlüsselung,
•
managen von Zertifikaten,
•
sichere Übertragung und Kommunikation,
•
XML Verschlüsselung,
•
Digitale Signatur und
•
sichere Federation.
Alle
Produkte
sind
100%
JAVA
basierend
und
sind
teilweise
rückwärtskompatibel
bis
zur
Jara
Runtime
Version
1.1.7.
Detailliertere Informationen können der URL „Oracle Phaos Products“
entnommen werden.
•
Informationen rund um das The SSLAVA Toolkit sind hier zu
finden.
1.1.12 Oracle CoreID ( früher OBLIX)
•
COREid Access & Identity (ehemals NetPoint) stellt per
Default eine Single-Sign-On Lösung für eine sehr große
Anzahl von „packaged“ Applikationen, Applikationsservern und
Mainframe-Systemen zur Verfügung, die sich in jede
Unternehmens-infrastruktur nahtlos integrieren lässt. Das
Single-Sign-On lässt sich dabei auch
unternehmensübergreifend realisieren. Dabei besteht COREid
hauptsächlich aus einem Access Subsystem und einem Identity
Subsystem. Detailliertere Informationen können der folgenden
URL entnommen werden - http://www.oblix.com/products/coreid .
•
COREDid Federation (früher SHAREid) stellt die
Zugriffskontrolle für die Federation zur Verfügung. Damit
ist der verteilte Zugriff auch über die Unternehmensgrenzen
hinweg zu verstehen. Informationen rund um COREid Federation
sind unter der URL – „COREid Federation Makes Federated
Identity a Reality“ zu finden.
•
Oracle Web Services Manager (früher COREsv) ist eine
komplette Softwarelösung zur Verwaltung von Webservices,
sowie deren Interaktionen. Dabei stellt der Oracle Web
Service Manager alle notwendigen Sicherheitsfunktionalitäten
zur Verfügung, die zum Verteilen von „Service Oriented
Architectures“ (kurz SOA) notwendig sind. Die Plattform
besteht dabei aus den folgenden Komponenten:
•
Policy Manager
•
Monitor
•
Gateways und Agenten
Weitere Informationen sind unter der URL – „Oracle Web
Services Manager“ zu finden.
6
1.1.13 BPEL (Business Process Execution Language)
Neben der Webservice-Sicherheit, gehören Webservices anschließend
auch ordentlich „orchestriert“. Um dieses zu erreichen besitzt Oracle
eine native BPEL Engine. Der BPEL Process Manager ist eine
standardbasierende Infrastruktur, um Prozesse in einfacher Form
miteinander zu integrieren. Dazu zählen neben der sogenannten
„Webservice Orchestrierung“ auch J2EE Prozesse und Datenintegration
(wie bsw. Datei-nach-Datebank, Datenbank-nach-Datenbank, Applikationnach-z.B.SAP). Damit ist Oracle in der Lage unterschiedlichste
Geschäftsprozesse Ihrer Geschäftsrelevanz nach zu verwalten und an
verschiedene Teilnehmer (bzw. Drittsysteme) nativ weiter zu leiten.
Die folgende Abbildung gibt eine Überblick über die BPEL Prozeßlogik.
Abb. 2: Weitere Informationen rund um das Thema BPEL können unter der URL
„Web Services Technology Center“ eingesehen werden.
1.1.14 Biometrische Verfahren
Informationen
zur
zusammengestellt und
Landkarte verfügbar.
denen Oracle zusammen
biometrischen
Landkarte
hat
die
Bitkom
ist unter der nachfolgenden URL – Biometrische
Darüberhinaus gibt es zahlreiche Partner mit
Lösungen zum Thema Biometrie erstellt hat.
7
1.2. Sicherheitskomponenten
Die
nachfolgende
Abbildung
stellt
Sicherheitskomponenten der Datenbank dar:
stichpunktartig
die
1.2.1 Benutzer- Rollenkonzepte der Datenbank
Bevor man sich mit komplexen Sicherheitsarchitekturen befasst,
sollten
die
bestehenden
Basisfunktionalitäten
in
die
Sicherheitsüberlegungen einbezogen werden. So kann bereits durch eine
wohldurchdachte Installation und Konfiguration die Datenbank sicherer
gemacht
werden
(siehe
auch
Secure
Configuration
Guide
for
Oracle9iR2).
Nachfolgend
sind
einige
Basisüberlegungen
zur
Realisierung eines Sicherheitskonzeptes aufgeführt:
•
das Aufsetzen eines gehärteten Betriebssystems (siehe auch
UNIX Security Checklist v2.0)
•
eine getrennte Installation der Datenfiles, Audit Logs und
des DBMS’s in unterschiedliche Directories
•
der Aufbau eines ordentlichen Benutzerrollenkonzeptes
•
die Deaktivierung aller nicht benötigten Benutzer in der DB
•
Art der Authentifizierung. Genauere Informationen sind der
URL „Authenticating Users to the Database“ zu entnehmen.
1.2.2 Enterprise User Security (EUS)
Mit dem Einsatz der EUS können alle Benutzerdaten, die zur
Authentifizierung und Autorisierung notwendig sind, in den Oracle
Internet
Directory
migriert
werden.
Die
Authenfizierung
des
Applikationsbenutzer erfolgt über den als trustet gekennzeichneten
Applikationserver/Webserver, während die Autorisierung des realen
Datenbankbenutzer über den LDAP Verzeichnisdienst erfolgt. Damit
müssen beispielsweise veränderte Benutzerrechte nur noch einmal
zentral im Oracle Internet Directory gepflegt werden. Ein weiterer
Vorteil ist die Möglichkeit mit Shared Schemas in der Datenbank zu
arbeiten.
Mit dem Einsatz der Enterprise User Security werden folgende Themen
adressiert:
•
Zentrale
Provisionierung
Datenbankbenutzern
und
Deprovisionierung
von
8
•
Zentrale
Paßwortverwaltung
Paßwortreset
•
Zentrale Berechtigungsverwaltung
globalen Datenbankrollen
•
Durch die bestehende Directory Synchronization Service
besteht darüberhinaus die Möglichkeit Benutzerdaten mit
Drittdirectories
und
Benutzerrepositories,
wie
z.B.
Microsoft Active Directory, DirX oder SunONE Daten zu
synchronisieren.
und
Self
durch
Services,
den
Einsatz
wie
von
Informationen zur Enterprise User Security sind hier zu finden.
1.2.3. Secure Application Role
Die Secure Application Role ermöglicht die Zuweisung einer Rolle an
einen entsprechend autorisierten Benutzer aus der Middleware heraus.
Damit wird bei einem Zugriff aus der Middleware in der Datenbank
geprüft, ob der User die entsprechenden minimalen Voraussetzungen
erfüllt. Werden die Voraussetzungen erfüllt, erhält der User eine
entsprechende Datenbankrolle zugewiesen. Die Verwendung der Rolle
erfolgt dabei durch die Applikation und benötigt kein Passwort. Ein
Benutzer der sich direkt an die Datenbank anmeldet, kann nicht auf
das Schema zugreifen, da die Zuweisung der Rolle fehlt. Realisiert
wird die Secure Application Role durch ein in der Datenbank
realisiertes
Package.
Weitere
Informationen
können
unter
der
nachfolgende URL – „Secure Application Role“ eingesehen werden.
1.2.4. Kerberos (aus dem griechischen – Der dreiköpfige Höllenhund)
Mit dem Einsatz von Kerberos kann sich der Benutzer neben der OS Authentizierung und -Autorisierung gleichzeitig für die berechtigten
Datenbanken authentifizieren und autorisieren. Damit wird der Gedanke
eines „wirklichen“ SSO weiter Rechnung getragen.
1.2.5. Hardware Security Modules (HSMs)
Um hochsensible Daten entsprechend sicher verwalten und dem Benutzer
zur Verfügung stellen zu können, können Anbieter von Hardware
Security Modules in die Infrastruktur integriert werden. Zu diesen
Anbietern zählen beispielsweise nCipher, Eracom, Crysalis, Vormetric,
Decru, etc.. Informationen rund um Oracle Sicherheitspartner unter
URL – „Oracle Security Partner News“ zu finden.
1.2.6. Proxy Authentication
Der
Einsatz
der
Proxy
Authentication
ermöglicht
die
Zugriffseinschränkung
auf
die
Datenbanksyteme.
So
können
beispielsweise nur bestimmte Rechner mit entsprechend gültigen IP
Adressen, Benutzer, Applikationen, etc. auf die Datenbank zugreifen.
Dabei sollte jedoch die Nutzung von IP-Adressen beispielsweise in
diesem Kontext nicht alleine die Zugriffskontrolle bestimmen, da IPAdressen von Hackern verfälscht/geändert werden können.
9
Detailliertere Information können der URL „Proxy Authentication and
Authorization“ entnommen werden.
1.2.7. Advanced Security Option (ASO)
Die
Advanced
Security
Option
stellt
den
Datenschutz
durch
Verschlüsselung und Unversehrtheit der Nachrichten sicher. Dazu
stellt die ASO Option zwei Sicherheitsfunktionalitäten zur Verfügung:
a. Netzwerkverschlüsselung und Datenintegrität
b. „Starke“ Authentifizierung
Um die Verschlüsselung und Echtheit der Daten während des Transports
über unsichere Netzwerke zu gewährleisten, werden Standardalgorithmen
wie 3DES, AES, MD5, SHA-1, etc. verwendet. Häufig reichen Paßwörter
aber als Authentifizierungsmerkmal nicht mehr aus, sodaß ein weiteres
Merkmal notwendig ist. In diesen Fällen spricht man dann von einer
„Two-factor“
oder
starken
Authentifizierung.
Die
starke
Authentifizierung basiert dabei auf einem weiteren Benutzermerkmal,
wie zum Beispiel einer Smart Card, einem Token, etc. und dem
dazugehörigen PIN oder Paßwort. Zu den starken Authentifizierungen
zählt beispielsweise Kerberos, RADIUS (Remote Authentication Dial-In
User Service), Secure Socket Layer (mit digitalen Zertifikaten) oder
PKI unterstützte Systeme. Die Oracle Advanced Security Option 8.1.6
ist FIPS 140-1 Level 2 zertifiziert. Um den selbigen Sicherheitlevel
in der eigenen Konfiguration zu erreichen, sind die folgenden
Instruktionen zu berücksichtigen. Desweiteren wird die Advanced
Security bei der Realisierung der Enterprise User Security benötigt.
Informationen rund um ASO können der URL – Advanced Security Option
entnommen werden.
1.2.8. Datenverschlüsselung in der Datenbank
Seit der Datenbankversion 8i gibt es die Möglichkeit Daten innerhalb
der Datenbank zu verschlüsseln. Auch hier verwendet Oracle zur
Verschlüsselung die am Markt gängigen Algorithmen, wie z. B. DES,
3DES, AES, MD5, SHA-1 etc.. Das mit Oracle 8i eingeführte
Verschlüsselungspaket DBMS_OBFUSCATION_TOOLKIT ist in der Oracle 10g
Version durch das leistungsstärkere Paket DBMS_CRYPTO ersetzt worden.
Unterschiede zwischen den beiden Paketen sind unter der nachfolgenden
URL – „Oracle Data Encryption“ und „What’s New in Oracle Database
Security“ zu finden.
10
1.2.8.1. Transparent Data Encryption (TDE)
Aufgrund des zunehmenden Datendiebstahls hat Oracle mit der Oracle
10g Release 2 die Sicherheitsfunktionalität der Datenbank erweitert.
Die neu hinzugekommene Funktion „Transparent Data Encryption“ kurz
TDE genannt verschlüsselt geschäftkritische Daten, ohne dass darauf
zugreifende Applikationen angepasst oder berücksichtigt werden
müssen. Die Ver- und Entschlüsselung der Daten/Backups erfolgt
transparent für die Applikationen! Die Funktionalität TDE ist mit der
Advanced Security Option von Oracle gebündelt.
Unter der nachfolgenden URL ist die grundsäztliche Funktionsweise der
“Transparent Data Encyrption“ zu finden.
1.2.9. Virtual Private Database (VPD)
Die Virtual Private Database ermöglicht die Realisierung einer
feingranularen
„fine-grained“
Zugriffskontrolle
durch
die
Ausprogrammierung entsprechend notwendiger Policies. Die Policies
selber werden als versteckte Spalten den Tabellen hinzugefügt. Beim
Zugriff auf die Tabellen werden dann den verschiedenen
SQL
Statements
„WHERE“-Bedingung
hinzugefügt,
die
das
Ergebnis
entsprechend
Ihrer
Berechtigungen
einschränken.
Die
dadurch
entstehenden Policy-Labels können mit Oracle 10g auch im Oracle
eigenen LDAP v3 Directory (OID) in Attributen gespeichert werden. Ein
Anwendungsbeispiel der Virtual Private Database ist unter der URL Keeping Your Data Private zu finden. Oracle Label Security (OLS) ist
eine auf der Virtual Private Database aufbauende Funktionalität mit
bereits ausprogrammierten Policyfunktionen. Ein Datenblatt zur Oracle
Label Security ist unter dem Link – Data Sheet Oracle9i Label
Security zu finden. Mit der Oracle 10g können sich die Policies neben
Zeilen auch auf Spalten beziehen. Damit wird die Möglichkeit den
Datenzugriff einzuschränken weiter verfeinert.
Der Zugriff auf die Daten erfolgt dabei transparent für die
Applikationen! Jeder Zugriff egal von welcher Applikation aus,
erfolgt über die Zugriffskontrolle der Virtual Private Database
beziehungsweise Oracle Label Security.
11
Einsatzmöglichkeiten:
• Mandatenfähiges Data Warehouse.
• Vereinfachtes Datenmodell, durch Einsparung von Views, etc.!
1.2.10. Auditing
Die Oracle Datenbank ermöglicht das Auditing/Logging von Benutzernund DBA’s in der Datenbank. Die flexiblen Auditingfunktionalitäten
können
dabei
hochflexibel
an
die
unterschiedlichen
Unternehmensanforderungen angepasst werden. Auch wenn der Begriff
Auditing einen „faden“ Beigeschmack für so manchen Datenschützer hat,
sollte nie ausser Acht gelassen werden, das Sicherheit niemals
Anonymität bedeutet! Aufgrund der flexiblen Anpassungsmöglichkeiten
mit dem Oracle Fine grained Auditing kann jedoch meistens ein
Kompromiß zwischen Sicherheitsanforderung und Datenschutz gewährt
werden. Informationen rund um das Thema Auditing sind unter den
Internetadressen
•
Fine-Grained Auditing
•
Fine-Grained Auditing for Real-World Problems, Part 3
1.2.11. Connection Manager (CM)
Der
Oracle
Connection
Manager
ist
ein
Router,
mit
dem
Benutzeranmeldungen entweder zum nächsten „Hop“ (Sprungziel, welches
einen nächsten Router beispielsweise darstellen könnte) oder zum
nächsten Datenbankserver weitergeleitet werden. Benutzer, die Ihre
Anmeldungen über einen Connection Manager durchführen, können
Vorteile wie Session Multiplexing und ergänzende Funktionalitäten der
Zugriffskontrolle nutzen. Das folgende Online Glossar gibt weitere
Informationen rund um die Thematik „Oracle Net Services“ wieder.
1.2.12.Database Resource Manager
Der Resource Manager kann zur Verteilung der verfügbaren
Datenbankressourcen an Datenbankbenutzern, Applikationen oder anderen
Diensten innerhalb der Datenbank genutzt werden. Dabei definiert der
Administrator einen Ressourcenplan, der die für diese Rolle
verfügbaren Ressourcen allokiert und der Benutzergruppe zuweist. Die
zu vergebenen Ressourcen beinhalten beispielsweise den zur Verfügung
stehenden CPU Anteil, oder die Anzahl der aktiven/offenen Sessions.
Nähere Informationen wie bestimmte Ressourcenprofile erstellt und
Benutzern hinzugefügt werden, finden Sie unter der URL - Ressource
Manager.
1.2.13 HTMLDB
Die HTMLDB ist ein Applikationsframework, mit dem quasi „ohne“
Programmierkenntnisse webgestützte Applikationen erstellt werden
können. Da sich die HTMLDB in bestehende Sicherheitsinfrastrukturen
integrieren muß, sind flexible Authentifizierungsmechanismen
unabdingbar. Genauere Information können der folgenden URL entnommen
werden.
•
Change How Users are Authenticated
12
1.2.14 Secure Backup
Oracle Secure Backup ist ein neues, automatisiertes Backup-to-TapeManagementsystem und stellt eine leistungsstarke sowie kostengünstige
Alternative zu komplexen Backup-Produkten dar. Es unterstützt
Verschlüsselung von Backups auf Tape und funktioniert sowohl für
Oracle Database 10g als auch für frühere Versionen der Datebank, wie
Oracle9i. Mit dem bereits bestehenden Backu-up-to-Disk-Features –
Oracle Recovery Manager (RMAN) – können jetzt auch Backup-Daten
verschlüsselt werden.
Quelle: Presse Information ORACLE gibt Verfügbarkeit von Oracle Database 10g Release 2 bekannt
Informationen rund „um Oracle Secure Backup“ können den nachfolgenden
URL’s entnommen werden:
•
•
Improve Your Tape Backup Results with Oracle Secure Backup
The Oracle secure Backup Administrative Server is the CA...
1.3 Oracle Data Vault
Oracle
Data
Vault
(ODV)
ist
eine
hochspezialisierte
Datenbankplattform,
die
neue
Sicherheitstechnologien
und
Zugriffskontrollen
mit
den
vorhandenen
Managementund
Hochverfügbarkeitsfunktionalitäten
von
Oracle
kombiniert.
Dabei
vereint ODV verschiedene Sicherheitskonzepte, wie z.B.
•
•
•
•
•
•
Factors
Rule Sets
Command Authorizations
Realms
Secure Application Role und
Protected Schemas an.
Die genannten Konzepte sind mit den zur Verfügung stehenden Oracle
Technologien, Oracle Label Security (OLS), Oracle Virtual Private
Database (VPD), Transparent Data Encryption (TDE), Oracle Advanced
Security Option (ASO) und Oracle Real Application Cluster realisiert
und entsprechend tief integriert worden. ODV ist von der Lösung her
13
betrachtet
eine
sehr
sichere,
gut
skallierbare
und
gut
administrierbare Plattform, welche die Unternehmensdaten entsprechend
gängiger internationaler Regulierungen und Datenschutzbestimmungen
verwaltet.
Informationen zum Oracle Data Vault sind unter den URL’s
•
•
http://download-uk.oracle.com/oowsf2005/995wp.pdf
Corporate PPT Template
zu finden.
1.4 Oracle Audit Vault
Unternehmen müssen sich heutzutage mehr und mehr beim Aufbau von IT
Systemen an internationale- und nationale Regulierungen und Standards
halten. Werden diesen Regulierungen und Standards nicht Folge
geleistet, kann das neben empfindlichen Geldstrafen auch für den
Einzelnen
Haftstrafen
nach
sich
ziehen.
Die
zunehmende
ITKonsolidierung
kompliziert
noch
weiter
die
einwandtfreie
Nachvollziehbarkeit und bringt Unternehmen unter zunehmenden Druck.
Oracle adressiert mit dem Projekt „Audit Vault“ Anforderungen an
Sicherheit, Datenschutz und Regulierungen, denen sich Unternehmen bei
der Realisierung von IT-Systemen stellen müssen.
Informationen rund um die Lösung „Oracle Audit Vault“ können den
nachfolgenden URL’s entnommen werden:
•
Oracle Audit directions for privacy & compliance
•
Oracle Audit Directions
14
1.5 Grid Security
Themen wie die Provisionierung und Deprovisionierung von virtuellen
Ressourcen innerhalb eines Grids, werden in der Zukunft ein zunehmend
wichtigeres Thema, dem sich Unternehmen annehmen müssen.
Informationen rund um das Thema Grid Sicherheit kann dem Link http://www.gridalliance.org/en/workgroups/GridSecurity.asp entnommen
werden.
1.3.
Security Evaluierungsstatus
Wie der Applikationsserver besitzt auch die Datenbank einige der
weltweit anerkannten Sicherheitsstandards. Die nachfolgende Tabelle
gibt
dazu
stichpunktartig
Auskunft
über
den
derzeitigen
Evaluierungsstatus der Oracle Businessplattform.
Informationen rund um die Evaluierungsergebnisse sind unter den URL’s
•
Für Common Criteria
•
Für FIPS
•
Oracle Corporation - Security Evaluations
- http://www.cesg.gov.uk/
- http://csrc.nist.gov/
1.4. Administration und Konfiguration
Anforderungen bezüglich der Administration und Konfiguration des
Gesamtsystems können mit dem Oracle Enterprise Manager EM erfüllt
werden. Der Enterprise Manager EM (früher OEM genannt) bietet die
Möglichkeit, die Systemebenen - von der Applikation bis in das
Backend - zu administrieren. Informationen bezüglich des Enterprise
Managers
können
unter
dem
Link "Enterprise
Manager"
eingesehen werden.
Die soeben genannten Technologien bilden ein integriertes Produkt,
das zu einem verbesserten Patch- und Release-Management führt.
Aufwendige Integrationstests, wie beispielsweise das Testen von
Patches entfallen damit. Die dadurch eingesparten Investitionen,
personeller als auch finanzieller Art, können stattdessen für die
15
proaktive Sicherheit des Systems investiert werden. Security ist
stets als ganzheitlicher Prozeß über alle Applikationsebenen zu
verstehen.
Intranetbasierte
Systeme,
die
nur
für
die
Internetfähigkeit repliziert werden, entsprechen nicht dem Gedanken
eines
ganzheitlichen
Securitykonzeptes,
da
zusätzliche
Schnittstellen, Benutzer- Rollenkonzepte, etc. stets Ressourcen
benötigen , die für eine proaktive Konfiguration und Administration
des Sytems fehlen.
Neben potentieller Security-Lücken sind oftmals auch PerformanceProbleme zu erkennen, die nachträglich durch den Einsatz von
grösserer Hardware behoben werden müssen. Es ist zu beachten das eine
Sicherheitsinfrastruktur neben den oben erwähnten Eigenschaften auch
Basiseigenschaften wie Hochverfügbarkeit, Skallierbarkeit, Backup/Recovery-Eigenschaften besitzen muß. Diese gesamtheitlich erwähnten
Eigenschaften machen die Infrastruktur zu einer zentralen und
geschäftskritischen Komponente, die entsprechende Supportverträge und
Gewährleistungen
eines
professionellen
Anbieters
wie
Oracle
erforderlich
machen.
Die nachfolgende Abbildung gibt einen Überblick über Anforderungen
und Möglichkeiten einer Identity Management Plattform wieder.
Single Sign On
(SSO)
Leistung
(Performance)
Federation
Kosten
Handlichkeit
(Manageability)
Kosten
Benutzerfreundlichkeit
(Useability)
Eigenschaften:
Hochverfügbarkeit, Skallierbarkeit,
Backup/Recovery
Administration/
Monitoring
(SSA)
Zentrale
Benutzerverwaltung
(SSC)
Eigenschaften:
Zertifkaten, De- / Provisioning, Auditing, Workflow,
Self Services, Webservices, User Life Cycle
infrastrukturgesteuert
prozessgesteuert
1.5. Weiterführende Informationen
Weitere und detailliertere Informationen können den nachfolgenden
URL’s entnommen werden.
1. Oracle Security http://www.oracle.com/solutions/security/index.html?content.html
2. Oracle Plattform Security http://otn.oracle.com/deploy/security/index.html
3. Oracle Identity Management http://www.oracle.com/solutions/security/idm_home.html
4. Eine zu Oracle 9i zu findenen Security Checkliste ist unter der
URL - Oracle Security Checkliste aufgeführt
16
1.6. Zu beachten
Das Papier ist kein offizielles Oracle Whitepaper und
besitzt daher nur informativen Charakter. Tiefergehende
Informationen zu den einzelnen Produktkomponenten können
über die im Text hinterlegten URL’s nachgelesen werden.
Wir bedanken uns vorab für Ihr Verständnis und stehen
Ihnen jederzeit für Rückfragen gerne zur Verfügung.
17