Sicherheitsfunktionalitäten
Transcription
Sicherheitsfunktionalitäten
Inhaltsverzeichnis 1. Anforderungen an eine Sicherheitsarchitektur..................... 2 1.1 Oracle Identity Management.................................... 3 1.1.1 Oracle Internet Directory (OID)........................... 3 1.1.2 Oracle Virtual Directory OctetString...................... 3 1.1.3 Oracle Certificate Authority (OCA)........................ 4 1.1.4 Directory Integration Platform (DIP)...................... 4 1.1.5 Single Sign On Server (SSO)............................... 4 1.1.6 Provisioning-Dienste...................................... 4 1.1.7 Oracle Xellerate (Thor Technologies)...................... 5 1.1.8 Delegated Authentication Services (DAS)................... 5 1.1.9 JAZN...................................................... 5 1.1.10 Federated Identity Management............................ 5 1.1.11 Webservice Sicherheit.................................... 6 1.1.12 Oracle CoreID ( früher OBLIX)............................ 6 1.1.13 BPEL (Business Process Execution Language).............. 7 1.1.14 Biometrische Verfahren................................... 7 1.2. Sicherheitskomponenten....................................... 8 1.2.1 Benutzer- Rollenkonzepte der Datenbank.................... 8 1.2.2 Enterprise User Security (EUS)............................ 8 1.2.3. Secure Application Role.................................. 9 1.2.5. Hardware Security Modules (HSMs)......................... 9 1.2.6. Proxy Authentication..................................... 9 1.2.7. Advanced Security Option (ASO).......................... 10 1.2.8. Datenverschlüsselung in der Datenbank................... 10 1.2.8.1. Transparent Data Encryption (TDE)..................... 11 1.2.9. Virtual Private Database (VPD).......................... 11 1.2.10. Auditing............................................... 12 1.2.11. Connection Manager (CM)................................ 12 1.2.12.Database Resource Manager............................... 12 1.2.13 HTMLDB.................................................. 12 1.2.14 Secure Backup........................................... 13 1.3 Oracle Data Vault............................................ 13 1.4 Oracle Audit Vault........................................... 14 1.5 Grid Security................................................ 15 1.3. Security Evaluierungsstatus................................ 15 1.4. Administration und Konfiguration............................ 15 1.5. Weiterführende Informationen................................ 16 1 1. Anforderungen an eine Sicherheitsarchitektur Heutzutage ist die Technologie nicht mehr die Hauptherausforderung, bei der Umsetzung einer sicheren, flexiblen und performanten Sicherheitsarchitektur. Vielmehr müssen die Anforderungen und Sicherheitsregeln der verschiedenen Kunden in die zur verfügungstehenden Technologien integriert werden. Auf den nachfolgenden Seiten werden die verschiedenen Sicherheitstechnologien dargestellt, die den Aufbau einer flexiblen und skalierbaren Sicherheitslösung erlauben. 2 1.1 Oracle Identity Management Oracle bietet für die effiziente Benutzer- und Rechteverwaltung eine Identity Management Plattform an, welche für den Aufbau einer flexiblen und performanten Sicherheitsarchitektur verwendet werden kann. Hauptvorteil einer solchen auf Standards aufbauenden Infrastruktur ist die Abbildung eines N zu N Security Layers (von der Applikation bis in die Datenbank/Storage). Die nachfolgende Abbildung zeigt skizzenhaft den Aufbau der Oracle Identity Management Plattform: Abb. 1: Strukturierter Überblick über die Identity Management Funktionalitäten. Nachfolgend werden verschiedenen Komponenten der „Oracle Identity Management Plattform“ beschrieben. Neben diesem Sicherheitsframework besitzt der Oracle Applikationsserver weitere Sicherheitsstandards, die anschließend dargestellt werden. Weitere Informationen sind unter der URL – „Oracle Identity Management“ und „Knows Who knows How“ zu finden. Partner rund um Identity Management sind unter der URL – „Partners“ zu finden. 1.1.1 Oracle Internet Directory (OID) Das OID ist ein auf dem Standard LDAPv3 basierender Directory Service, der über Standardschnittstellen mit anderen Directories integriert werden kann. Durch die Verwendung bewährter Datenbankfunktionalitäten verfügt das OID über sehr gute Skallierbarkeit, Hochverfügbarkeit und Sicherheitsfunktionalitäten. Mehr Informationen rund um dem OID sind unter der URL – „Oracle Internet Directory“ und „Introduction to LDAP and OID“ zu finden. 1.1.2 Oracle Virtual Directory (Erweiterete Verzeichnisfunktionalitäten) Unternehmen nutzen heutzutage verstärkt virtuelle Methoden, um Benutzerinformationen unabhängig von Ihren Niederlassungen konsolidieren zu können. Virtuelle Verzeichnisse erlauben Unternehmen 1. die Konsolidierung verschiedenster Directories, 2. die Integration von Passwörter Directories hinweg, sowie über unterschiedlichste 3. Verzeichnis-Proxy-Funktionalitäten. 3 All diese Funktionalitäten helfen Unternehmen beim Aufbau von Identity Management Systemen, sowie der Integration anderer Applikationsentwicklungen. Das Oracle Virtual Directory (früher OctetString Virtual Directory Engine) ermöglicht es Unternehmen sich an Anwendungen anzumelden, die sich unterschiedlichster Identitätsquellen bedienen. Mehr Informationen rund um das “Oracle Virtual Directory” sind unter der URL http://www.oracle.com/identity und Oracle Virtual Directory zu finden. 1.1.3 Oracle Certificate Authority (OCA) OCA ist ein auf dem Standard X.509 v3 basierendes Zeritifizierungscenter, das den Einsatz von digitalen Signaturen, starken Authentifizierungsmethoden und sicheren Netzwerkverbindungen unterstützt. Die OCA verfügt desweiteren über Revocationslisten und besitzt eine webbasierte GUI zum leichten Provisionieren von Zertifikaten. Weitere Informationen zur OCA können der URL – „Oracle Certificate Authority“ und „Oracle Certificate Authority Features“ entnommen werden. 1.1.4 Directory Integration Platform (DIP) Die DIP Platform bietet die Möglichkeit, das OID über Standardschnittstellen mit Directories von Drittanbietern zu integrieren. Derzeit kann das OID „out of the box“ mit dem Active Directory von Microsoft, dem iPlanet Directory von Sun und künftig dem Novell eDirectory integriert werden. Weitere Directories wie Open LDAP werden folgen. Derzeit besteht die Möglichkeit das OID entweder durch zugekaufte Adaptoren oder mit dem Software Development Kit (kurz SDK) zu integrieren. Informationen zur Directory Integration Plattform sind der URL – „Oracle Identity Management“ zu entnehmen. 1.1.5 Single Sign On Server (SSO) SSO bietet die Möglichkeit des Single Sign On’s für alle eingesetzten Webapplikationen. Aufgrund der offenen API können statt des Single Sign On Servers von Oracle auch andere bestehende Single Sign On Lösungen verwendet werden. Informationen rund um den Single Sign On Server können der URL – Single Sign On entnommen werden. Oracle’s „COREid Access and Identity“ Produkt vervollständigt die Oracle Lösung, um Kunden die Realisierung eines zentralen, feingranularen Zugriffsmanagements für heterogene Applikationsumgebungen zu ermöglichen. 1.1.6 Provisioning-Dienste Provisionierung automatisiert die Verteilung von Benutzern und deren Berechtigungen in heterogenen Unternehmensumgebungen. Dazu werden vorgeschaltete Systeme, wie z. B. HR-Systeme, mittels der „Directory Provisioning Plattform“ mit der Oracle Identity Plattform verbunden. Somit werden die in HR-Systemen zuerst eingetragenen Mitarbeiter abhängig Ihrer Profile über die Oracle Identity Management Plattform für die entsprechenden IT-Systeme (Datenbanken, Netwerke, etc.) freigeschaltet. Unterstützt wird die Provisionierung, aber auch Deprovisionierung von ausgeschiednenen Mitarbeitern beispielsweise durch Oracle COREid Provisioning. Information rund um Oracle Provisioning ist der nachstehenden URL zu entnehmen - Provisioning. 4 1.1.7 Oracle Xellerate (Thor Technologies) (erweitertes Provisioning) Provisioning zählt heutzutage mit zu den Hauptanforderungen bei der Entwicklung eines Identity Management Systems. Mit dem Erwerb von Thor Xellerate erweitert Oracle seine bisherigen Provisionierungsmöglichkeiten mit Drittanbietern. “Oracle Xellerate Identity Provisioning” (früher Thor Xellerate) erlaubt es Unternehmen Benutzerzugriffsrechte und –privilegien während des gesamten Provisionierungszeitraumes zu managen. Dieser sogenannte Provisioning Lifecyle kann sich dabei über verschiedene IT Umgebungen, inklusive unterschiedlicher Plattformen, Systemen und Applikationen hinweg erstrecken. Mehr Informationen rund “Oracle Virtual Directory” gibt es unter den URL’s http://www.oracle.com/identity und http://www.thor.com. 1.1.8 Delegated Authentication Services (DAS) Mit den sogenannten DAS-Diensten werden „Self Service“-Dienste angeboten, die den Benutzern die Möglichkeit eröffnen, bestimmte Attribute in Eigenverantwortung zu verwalten. Zu diesen Attributen zählen beispielsweise Aktivitäten wie das Paßwort zurückzusetzen oder eine Adresse pflegen. Das hat zur Folge, dass der Datenbankadministrator und Anwendungsentwickler wesentlich weniger Zeit mit solchen Verwaltungstätigkeiten verbringt. 1.1.9 JAZN Der von Oracle genutzte Begriff JAZN (JAAS Überblick im Oracle Application Server) basiert auf dem von SUN gegründeten JAAS Standard (Java Authentication & Authorisation Service). 1.1.10 Federated Identity Management Federation gehört zu den immer häufiger genannten Themen rund um die eindeutige Identität von Benutzern. Bei der Federation werden Benutzerdaten über die Unternehmensgrenzen hinweg zwischen dem sogenannten „Service Provider“ und dem „Identity Provider“ ausgetauscht. Dabei liefert der „Identity Provider“ dem „Service Provider“ alle notwendigen Benutzerdaten, um diese Benutzer dann im eigenen Unternehmensnetzwerk eindeutig zu identifizieren. Dadurch spart sich der „Service Provider“ den bereits eindeutig identifizierten Benutzer nochmals zu authentifizieren und zu autorisieren. Federation setzt sich aus den folgenden Standards zusammen: 1. SAML 2. Liberty Alliance 3. Web Service Federation Weitere Informationen dazu können der der folgenden URL entnommen werden - Oracle Security Developer Tools. 5 1.1.11 Webservice Sicherheit Das Oracle Phaos Produkt ist eine Technologie zur Realisierung von Identity Management Sicherheit, sowie die Bereitstellung von standardbasierten Verschlüsselungsprotokollen. Dabei werden die folgenden Komponenten bereitgestellt: • Unterstützung zur Verschlüsselung, • managen von Zertifikaten, • sichere Übertragung und Kommunikation, • XML Verschlüsselung, • Digitale Signatur und • sichere Federation. Alle Produkte sind 100% JAVA basierend und sind teilweise rückwärtskompatibel bis zur Jara Runtime Version 1.1.7. Detailliertere Informationen können der URL „Oracle Phaos Products“ entnommen werden. • Informationen rund um das The SSLAVA Toolkit sind hier zu finden. 1.1.12 Oracle CoreID ( früher OBLIX) • COREid Access & Identity (ehemals NetPoint) stellt per Default eine Single-Sign-On Lösung für eine sehr große Anzahl von „packaged“ Applikationen, Applikationsservern und Mainframe-Systemen zur Verfügung, die sich in jede Unternehmens-infrastruktur nahtlos integrieren lässt. Das Single-Sign-On lässt sich dabei auch unternehmensübergreifend realisieren. Dabei besteht COREid hauptsächlich aus einem Access Subsystem und einem Identity Subsystem. Detailliertere Informationen können der folgenden URL entnommen werden - http://www.oblix.com/products/coreid . • COREDid Federation (früher SHAREid) stellt die Zugriffskontrolle für die Federation zur Verfügung. Damit ist der verteilte Zugriff auch über die Unternehmensgrenzen hinweg zu verstehen. Informationen rund um COREid Federation sind unter der URL – „COREid Federation Makes Federated Identity a Reality“ zu finden. • Oracle Web Services Manager (früher COREsv) ist eine komplette Softwarelösung zur Verwaltung von Webservices, sowie deren Interaktionen. Dabei stellt der Oracle Web Service Manager alle notwendigen Sicherheitsfunktionalitäten zur Verfügung, die zum Verteilen von „Service Oriented Architectures“ (kurz SOA) notwendig sind. Die Plattform besteht dabei aus den folgenden Komponenten: • Policy Manager • Monitor • Gateways und Agenten Weitere Informationen sind unter der URL – „Oracle Web Services Manager“ zu finden. 6 1.1.13 BPEL (Business Process Execution Language) Neben der Webservice-Sicherheit, gehören Webservices anschließend auch ordentlich „orchestriert“. Um dieses zu erreichen besitzt Oracle eine native BPEL Engine. Der BPEL Process Manager ist eine standardbasierende Infrastruktur, um Prozesse in einfacher Form miteinander zu integrieren. Dazu zählen neben der sogenannten „Webservice Orchestrierung“ auch J2EE Prozesse und Datenintegration (wie bsw. Datei-nach-Datebank, Datenbank-nach-Datenbank, Applikationnach-z.B.SAP). Damit ist Oracle in der Lage unterschiedlichste Geschäftsprozesse Ihrer Geschäftsrelevanz nach zu verwalten und an verschiedene Teilnehmer (bzw. Drittsysteme) nativ weiter zu leiten. Die folgende Abbildung gibt eine Überblick über die BPEL Prozeßlogik. Abb. 2: Weitere Informationen rund um das Thema BPEL können unter der URL „Web Services Technology Center“ eingesehen werden. 1.1.14 Biometrische Verfahren Informationen zur zusammengestellt und Landkarte verfügbar. denen Oracle zusammen biometrischen Landkarte hat die Bitkom ist unter der nachfolgenden URL – Biometrische Darüberhinaus gibt es zahlreiche Partner mit Lösungen zum Thema Biometrie erstellt hat. 7 1.2. Sicherheitskomponenten Die nachfolgende Abbildung stellt Sicherheitskomponenten der Datenbank dar: stichpunktartig die 1.2.1 Benutzer- Rollenkonzepte der Datenbank Bevor man sich mit komplexen Sicherheitsarchitekturen befasst, sollten die bestehenden Basisfunktionalitäten in die Sicherheitsüberlegungen einbezogen werden. So kann bereits durch eine wohldurchdachte Installation und Konfiguration die Datenbank sicherer gemacht werden (siehe auch Secure Configuration Guide for Oracle9iR2). Nachfolgend sind einige Basisüberlegungen zur Realisierung eines Sicherheitskonzeptes aufgeführt: • das Aufsetzen eines gehärteten Betriebssystems (siehe auch UNIX Security Checklist v2.0) • eine getrennte Installation der Datenfiles, Audit Logs und des DBMS’s in unterschiedliche Directories • der Aufbau eines ordentlichen Benutzerrollenkonzeptes • die Deaktivierung aller nicht benötigten Benutzer in der DB • Art der Authentifizierung. Genauere Informationen sind der URL „Authenticating Users to the Database“ zu entnehmen. 1.2.2 Enterprise User Security (EUS) Mit dem Einsatz der EUS können alle Benutzerdaten, die zur Authentifizierung und Autorisierung notwendig sind, in den Oracle Internet Directory migriert werden. Die Authenfizierung des Applikationsbenutzer erfolgt über den als trustet gekennzeichneten Applikationserver/Webserver, während die Autorisierung des realen Datenbankbenutzer über den LDAP Verzeichnisdienst erfolgt. Damit müssen beispielsweise veränderte Benutzerrechte nur noch einmal zentral im Oracle Internet Directory gepflegt werden. Ein weiterer Vorteil ist die Möglichkeit mit Shared Schemas in der Datenbank zu arbeiten. Mit dem Einsatz der Enterprise User Security werden folgende Themen adressiert: • Zentrale Provisionierung Datenbankbenutzern und Deprovisionierung von 8 • Zentrale Paßwortverwaltung Paßwortreset • Zentrale Berechtigungsverwaltung globalen Datenbankrollen • Durch die bestehende Directory Synchronization Service besteht darüberhinaus die Möglichkeit Benutzerdaten mit Drittdirectories und Benutzerrepositories, wie z.B. Microsoft Active Directory, DirX oder SunONE Daten zu synchronisieren. und Self durch Services, den Einsatz wie von Informationen zur Enterprise User Security sind hier zu finden. 1.2.3. Secure Application Role Die Secure Application Role ermöglicht die Zuweisung einer Rolle an einen entsprechend autorisierten Benutzer aus der Middleware heraus. Damit wird bei einem Zugriff aus der Middleware in der Datenbank geprüft, ob der User die entsprechenden minimalen Voraussetzungen erfüllt. Werden die Voraussetzungen erfüllt, erhält der User eine entsprechende Datenbankrolle zugewiesen. Die Verwendung der Rolle erfolgt dabei durch die Applikation und benötigt kein Passwort. Ein Benutzer der sich direkt an die Datenbank anmeldet, kann nicht auf das Schema zugreifen, da die Zuweisung der Rolle fehlt. Realisiert wird die Secure Application Role durch ein in der Datenbank realisiertes Package. Weitere Informationen können unter der nachfolgende URL – „Secure Application Role“ eingesehen werden. 1.2.4. Kerberos (aus dem griechischen – Der dreiköpfige Höllenhund) Mit dem Einsatz von Kerberos kann sich der Benutzer neben der OS Authentizierung und -Autorisierung gleichzeitig für die berechtigten Datenbanken authentifizieren und autorisieren. Damit wird der Gedanke eines „wirklichen“ SSO weiter Rechnung getragen. 1.2.5. Hardware Security Modules (HSMs) Um hochsensible Daten entsprechend sicher verwalten und dem Benutzer zur Verfügung stellen zu können, können Anbieter von Hardware Security Modules in die Infrastruktur integriert werden. Zu diesen Anbietern zählen beispielsweise nCipher, Eracom, Crysalis, Vormetric, Decru, etc.. Informationen rund um Oracle Sicherheitspartner unter URL – „Oracle Security Partner News“ zu finden. 1.2.6. Proxy Authentication Der Einsatz der Proxy Authentication ermöglicht die Zugriffseinschränkung auf die Datenbanksyteme. So können beispielsweise nur bestimmte Rechner mit entsprechend gültigen IP Adressen, Benutzer, Applikationen, etc. auf die Datenbank zugreifen. Dabei sollte jedoch die Nutzung von IP-Adressen beispielsweise in diesem Kontext nicht alleine die Zugriffskontrolle bestimmen, da IPAdressen von Hackern verfälscht/geändert werden können. 9 Detailliertere Information können der URL „Proxy Authentication and Authorization“ entnommen werden. 1.2.7. Advanced Security Option (ASO) Die Advanced Security Option stellt den Datenschutz durch Verschlüsselung und Unversehrtheit der Nachrichten sicher. Dazu stellt die ASO Option zwei Sicherheitsfunktionalitäten zur Verfügung: a. Netzwerkverschlüsselung und Datenintegrität b. „Starke“ Authentifizierung Um die Verschlüsselung und Echtheit der Daten während des Transports über unsichere Netzwerke zu gewährleisten, werden Standardalgorithmen wie 3DES, AES, MD5, SHA-1, etc. verwendet. Häufig reichen Paßwörter aber als Authentifizierungsmerkmal nicht mehr aus, sodaß ein weiteres Merkmal notwendig ist. In diesen Fällen spricht man dann von einer „Two-factor“ oder starken Authentifizierung. Die starke Authentifizierung basiert dabei auf einem weiteren Benutzermerkmal, wie zum Beispiel einer Smart Card, einem Token, etc. und dem dazugehörigen PIN oder Paßwort. Zu den starken Authentifizierungen zählt beispielsweise Kerberos, RADIUS (Remote Authentication Dial-In User Service), Secure Socket Layer (mit digitalen Zertifikaten) oder PKI unterstützte Systeme. Die Oracle Advanced Security Option 8.1.6 ist FIPS 140-1 Level 2 zertifiziert. Um den selbigen Sicherheitlevel in der eigenen Konfiguration zu erreichen, sind die folgenden Instruktionen zu berücksichtigen. Desweiteren wird die Advanced Security bei der Realisierung der Enterprise User Security benötigt. Informationen rund um ASO können der URL – Advanced Security Option entnommen werden. 1.2.8. Datenverschlüsselung in der Datenbank Seit der Datenbankversion 8i gibt es die Möglichkeit Daten innerhalb der Datenbank zu verschlüsseln. Auch hier verwendet Oracle zur Verschlüsselung die am Markt gängigen Algorithmen, wie z. B. DES, 3DES, AES, MD5, SHA-1 etc.. Das mit Oracle 8i eingeführte Verschlüsselungspaket DBMS_OBFUSCATION_TOOLKIT ist in der Oracle 10g Version durch das leistungsstärkere Paket DBMS_CRYPTO ersetzt worden. Unterschiede zwischen den beiden Paketen sind unter der nachfolgenden URL – „Oracle Data Encryption“ und „What’s New in Oracle Database Security“ zu finden. 10 1.2.8.1. Transparent Data Encryption (TDE) Aufgrund des zunehmenden Datendiebstahls hat Oracle mit der Oracle 10g Release 2 die Sicherheitsfunktionalität der Datenbank erweitert. Die neu hinzugekommene Funktion „Transparent Data Encryption“ kurz TDE genannt verschlüsselt geschäftkritische Daten, ohne dass darauf zugreifende Applikationen angepasst oder berücksichtigt werden müssen. Die Ver- und Entschlüsselung der Daten/Backups erfolgt transparent für die Applikationen! Die Funktionalität TDE ist mit der Advanced Security Option von Oracle gebündelt. Unter der nachfolgenden URL ist die grundsäztliche Funktionsweise der “Transparent Data Encyrption“ zu finden. 1.2.9. Virtual Private Database (VPD) Die Virtual Private Database ermöglicht die Realisierung einer feingranularen „fine-grained“ Zugriffskontrolle durch die Ausprogrammierung entsprechend notwendiger Policies. Die Policies selber werden als versteckte Spalten den Tabellen hinzugefügt. Beim Zugriff auf die Tabellen werden dann den verschiedenen SQL Statements „WHERE“-Bedingung hinzugefügt, die das Ergebnis entsprechend Ihrer Berechtigungen einschränken. Die dadurch entstehenden Policy-Labels können mit Oracle 10g auch im Oracle eigenen LDAP v3 Directory (OID) in Attributen gespeichert werden. Ein Anwendungsbeispiel der Virtual Private Database ist unter der URL Keeping Your Data Private zu finden. Oracle Label Security (OLS) ist eine auf der Virtual Private Database aufbauende Funktionalität mit bereits ausprogrammierten Policyfunktionen. Ein Datenblatt zur Oracle Label Security ist unter dem Link – Data Sheet Oracle9i Label Security zu finden. Mit der Oracle 10g können sich die Policies neben Zeilen auch auf Spalten beziehen. Damit wird die Möglichkeit den Datenzugriff einzuschränken weiter verfeinert. Der Zugriff auf die Daten erfolgt dabei transparent für die Applikationen! Jeder Zugriff egal von welcher Applikation aus, erfolgt über die Zugriffskontrolle der Virtual Private Database beziehungsweise Oracle Label Security. 11 Einsatzmöglichkeiten: • Mandatenfähiges Data Warehouse. • Vereinfachtes Datenmodell, durch Einsparung von Views, etc.! 1.2.10. Auditing Die Oracle Datenbank ermöglicht das Auditing/Logging von Benutzernund DBA’s in der Datenbank. Die flexiblen Auditingfunktionalitäten können dabei hochflexibel an die unterschiedlichen Unternehmensanforderungen angepasst werden. Auch wenn der Begriff Auditing einen „faden“ Beigeschmack für so manchen Datenschützer hat, sollte nie ausser Acht gelassen werden, das Sicherheit niemals Anonymität bedeutet! Aufgrund der flexiblen Anpassungsmöglichkeiten mit dem Oracle Fine grained Auditing kann jedoch meistens ein Kompromiß zwischen Sicherheitsanforderung und Datenschutz gewährt werden. Informationen rund um das Thema Auditing sind unter den Internetadressen • Fine-Grained Auditing • Fine-Grained Auditing for Real-World Problems, Part 3 1.2.11. Connection Manager (CM) Der Oracle Connection Manager ist ein Router, mit dem Benutzeranmeldungen entweder zum nächsten „Hop“ (Sprungziel, welches einen nächsten Router beispielsweise darstellen könnte) oder zum nächsten Datenbankserver weitergeleitet werden. Benutzer, die Ihre Anmeldungen über einen Connection Manager durchführen, können Vorteile wie Session Multiplexing und ergänzende Funktionalitäten der Zugriffskontrolle nutzen. Das folgende Online Glossar gibt weitere Informationen rund um die Thematik „Oracle Net Services“ wieder. 1.2.12.Database Resource Manager Der Resource Manager kann zur Verteilung der verfügbaren Datenbankressourcen an Datenbankbenutzern, Applikationen oder anderen Diensten innerhalb der Datenbank genutzt werden. Dabei definiert der Administrator einen Ressourcenplan, der die für diese Rolle verfügbaren Ressourcen allokiert und der Benutzergruppe zuweist. Die zu vergebenen Ressourcen beinhalten beispielsweise den zur Verfügung stehenden CPU Anteil, oder die Anzahl der aktiven/offenen Sessions. Nähere Informationen wie bestimmte Ressourcenprofile erstellt und Benutzern hinzugefügt werden, finden Sie unter der URL - Ressource Manager. 1.2.13 HTMLDB Die HTMLDB ist ein Applikationsframework, mit dem quasi „ohne“ Programmierkenntnisse webgestützte Applikationen erstellt werden können. Da sich die HTMLDB in bestehende Sicherheitsinfrastrukturen integrieren muß, sind flexible Authentifizierungsmechanismen unabdingbar. Genauere Information können der folgenden URL entnommen werden. • Change How Users are Authenticated 12 1.2.14 Secure Backup Oracle Secure Backup ist ein neues, automatisiertes Backup-to-TapeManagementsystem und stellt eine leistungsstarke sowie kostengünstige Alternative zu komplexen Backup-Produkten dar. Es unterstützt Verschlüsselung von Backups auf Tape und funktioniert sowohl für Oracle Database 10g als auch für frühere Versionen der Datebank, wie Oracle9i. Mit dem bereits bestehenden Backu-up-to-Disk-Features – Oracle Recovery Manager (RMAN) – können jetzt auch Backup-Daten verschlüsselt werden. Quelle: Presse Information ORACLE gibt Verfügbarkeit von Oracle Database 10g Release 2 bekannt Informationen rund „um Oracle Secure Backup“ können den nachfolgenden URL’s entnommen werden: • • Improve Your Tape Backup Results with Oracle Secure Backup The Oracle secure Backup Administrative Server is the CA... 1.3 Oracle Data Vault Oracle Data Vault (ODV) ist eine hochspezialisierte Datenbankplattform, die neue Sicherheitstechnologien und Zugriffskontrollen mit den vorhandenen Managementund Hochverfügbarkeitsfunktionalitäten von Oracle kombiniert. Dabei vereint ODV verschiedene Sicherheitskonzepte, wie z.B. • • • • • • Factors Rule Sets Command Authorizations Realms Secure Application Role und Protected Schemas an. Die genannten Konzepte sind mit den zur Verfügung stehenden Oracle Technologien, Oracle Label Security (OLS), Oracle Virtual Private Database (VPD), Transparent Data Encryption (TDE), Oracle Advanced Security Option (ASO) und Oracle Real Application Cluster realisiert und entsprechend tief integriert worden. ODV ist von der Lösung her 13 betrachtet eine sehr sichere, gut skallierbare und gut administrierbare Plattform, welche die Unternehmensdaten entsprechend gängiger internationaler Regulierungen und Datenschutzbestimmungen verwaltet. Informationen zum Oracle Data Vault sind unter den URL’s • • http://download-uk.oracle.com/oowsf2005/995wp.pdf Corporate PPT Template zu finden. 1.4 Oracle Audit Vault Unternehmen müssen sich heutzutage mehr und mehr beim Aufbau von IT Systemen an internationale- und nationale Regulierungen und Standards halten. Werden diesen Regulierungen und Standards nicht Folge geleistet, kann das neben empfindlichen Geldstrafen auch für den Einzelnen Haftstrafen nach sich ziehen. Die zunehmende ITKonsolidierung kompliziert noch weiter die einwandtfreie Nachvollziehbarkeit und bringt Unternehmen unter zunehmenden Druck. Oracle adressiert mit dem Projekt „Audit Vault“ Anforderungen an Sicherheit, Datenschutz und Regulierungen, denen sich Unternehmen bei der Realisierung von IT-Systemen stellen müssen. Informationen rund um die Lösung „Oracle Audit Vault“ können den nachfolgenden URL’s entnommen werden: • Oracle Audit directions for privacy & compliance • Oracle Audit Directions 14 1.5 Grid Security Themen wie die Provisionierung und Deprovisionierung von virtuellen Ressourcen innerhalb eines Grids, werden in der Zukunft ein zunehmend wichtigeres Thema, dem sich Unternehmen annehmen müssen. Informationen rund um das Thema Grid Sicherheit kann dem Link http://www.gridalliance.org/en/workgroups/GridSecurity.asp entnommen werden. 1.3. Security Evaluierungsstatus Wie der Applikationsserver besitzt auch die Datenbank einige der weltweit anerkannten Sicherheitsstandards. Die nachfolgende Tabelle gibt dazu stichpunktartig Auskunft über den derzeitigen Evaluierungsstatus der Oracle Businessplattform. Informationen rund um die Evaluierungsergebnisse sind unter den URL’s • Für Common Criteria • Für FIPS • Oracle Corporation - Security Evaluations - http://www.cesg.gov.uk/ - http://csrc.nist.gov/ 1.4. Administration und Konfiguration Anforderungen bezüglich der Administration und Konfiguration des Gesamtsystems können mit dem Oracle Enterprise Manager EM erfüllt werden. Der Enterprise Manager EM (früher OEM genannt) bietet die Möglichkeit, die Systemebenen - von der Applikation bis in das Backend - zu administrieren. Informationen bezüglich des Enterprise Managers können unter dem Link "Enterprise Manager" eingesehen werden. Die soeben genannten Technologien bilden ein integriertes Produkt, das zu einem verbesserten Patch- und Release-Management führt. Aufwendige Integrationstests, wie beispielsweise das Testen von Patches entfallen damit. Die dadurch eingesparten Investitionen, personeller als auch finanzieller Art, können stattdessen für die 15 proaktive Sicherheit des Systems investiert werden. Security ist stets als ganzheitlicher Prozeß über alle Applikationsebenen zu verstehen. Intranetbasierte Systeme, die nur für die Internetfähigkeit repliziert werden, entsprechen nicht dem Gedanken eines ganzheitlichen Securitykonzeptes, da zusätzliche Schnittstellen, Benutzer- Rollenkonzepte, etc. stets Ressourcen benötigen , die für eine proaktive Konfiguration und Administration des Sytems fehlen. Neben potentieller Security-Lücken sind oftmals auch PerformanceProbleme zu erkennen, die nachträglich durch den Einsatz von grösserer Hardware behoben werden müssen. Es ist zu beachten das eine Sicherheitsinfrastruktur neben den oben erwähnten Eigenschaften auch Basiseigenschaften wie Hochverfügbarkeit, Skallierbarkeit, Backup/Recovery-Eigenschaften besitzen muß. Diese gesamtheitlich erwähnten Eigenschaften machen die Infrastruktur zu einer zentralen und geschäftskritischen Komponente, die entsprechende Supportverträge und Gewährleistungen eines professionellen Anbieters wie Oracle erforderlich machen. Die nachfolgende Abbildung gibt einen Überblick über Anforderungen und Möglichkeiten einer Identity Management Plattform wieder. Single Sign On (SSO) Leistung (Performance) Federation Kosten Handlichkeit (Manageability) Kosten Benutzerfreundlichkeit (Useability) Eigenschaften: Hochverfügbarkeit, Skallierbarkeit, Backup/Recovery Administration/ Monitoring (SSA) Zentrale Benutzerverwaltung (SSC) Eigenschaften: Zertifkaten, De- / Provisioning, Auditing, Workflow, Self Services, Webservices, User Life Cycle infrastrukturgesteuert prozessgesteuert 1.5. Weiterführende Informationen Weitere und detailliertere Informationen können den nachfolgenden URL’s entnommen werden. 1. Oracle Security http://www.oracle.com/solutions/security/index.html?content.html 2. Oracle Plattform Security http://otn.oracle.com/deploy/security/index.html 3. Oracle Identity Management http://www.oracle.com/solutions/security/idm_home.html 4. Eine zu Oracle 9i zu findenen Security Checkliste ist unter der URL - Oracle Security Checkliste aufgeführt 16 1.6. Zu beachten Das Papier ist kein offizielles Oracle Whitepaper und besitzt daher nur informativen Charakter. Tiefergehende Informationen zu den einzelnen Produktkomponenten können über die im Text hinterlegten URL’s nachgelesen werden. Wir bedanken uns vorab für Ihr Verständnis und stehen Ihnen jederzeit für Rückfragen gerne zur Verfügung. 17