Poslední dobou jsem se dost věnoval oblasti zabezpečení databáze a auditování.
Chtěl jsem na toto téma napsat knihu, ale zájem ze strany vydavatelů není a tak se budu snažit připravit různé články zde na web.
Ještě uvidím, zda-li to bude vždy příklad na nějaké téma přímo vložený a nebo odkaz na PDF či PPT ke stažení.
Každopádně máte-li někdo, co řici k danému tématu nebo vás zajimá něco konkrétně, dejte vědět.
Jako databázový administrátor máte zodpovědnost za ochranu dat, ale není to jen na vás. Bezpečnost je brána komplexně, tedy svoji část nesou programátoři a systémoví administrátoři.
Nicméně to znáte, odcizí se data a všichni jsou jen po DBA.
Zde je stručný popis okruhů, kterým se chci věnovat:
Proč chránit data?
Metodologie zabezpečení (Best practices)
Jak zabezpečit databázi Oracle
Zabezpečení databáze
Jaké směrnice zvolit?
Použití Vulnerability Assessment Tool
Stanovení základních bezpečnostních pravidel
Co to jsou CPU patche
Příprava dat pro test
Diskuse
Zabezpečení listeneru
Bezpečné spustění lsnrctl
Zamezení změn parametrů
Zabezpečení EXTPROC
Omezení připojení na úrovni zdrojů
Listener logy a trace soubory
Ohrana TNS protokolu před útokem
Diskuse
Zabezpečení uživatelských účtů
Create, Alter, Drop a Lock
Popis procesu připojení
Politika hesel
Složitost hesla
Kontrola slabých hesel
rozlišení malých a velkých znaků
Nastavení nemožných hesel
Omezení systémových zdrojů
Učivatelé a profily
Další zdroje
Šifrování (Cryptography), Oracle Wallets a Oracle PKI
Vytvoření penězenky
Přidání certifikátu
Vytvoření a podepsání žádoti o certifikát
Chyby Orapki
Ověřování (Authentication)
O3/O5 LOGON a OS Authentication
Použití souboru hesel (password file)
Hesla v peněžence
Nastavení SSL-Based ověření pomocí ASO
Nastavení Kerberos ověření pomocí ASO
Nastavení RADIUS a Two- Factor ověření pomocí ASO
Diskuze
Šifrování (Encrypting) dat za běhu
Nastavení sítového šifrování pomocí ASO
Nastavení sítového šifrování pro JDBC Drivers
Nastavení Data Integrity s použití ASO
Použití IPSEC, Tunnels a Hardwarové akcelerace
Diskuze: Vliv šifrování na výkonnost
Další druhy šifrování
Šifrování na úrovni aplikací, databáze a uložiště
Použití DBMS_CRYPTO
Použití TDE při šifrování sloupců
Šifrování cizých a zaindexovaných sloupců
Použití TDE při šifrování tablespaců
Správa TDE master klíčů
Použití HSMs a TDE
Použití TDE s externími tabulkami (datavá pumpa)
Šifrovaný Export/Import pomocí datové
Šifrované RMAN zálohy
Diskuze
Standartní auditování
Zapnutí standartního auditování
Kdy auditovat. Úspěšné/neúspěšné dotazy
Auditování příkazů
Auditování objektů
Auditování oprávnění
Auditování chyb na sítové vrstvě
Čtení auditních záznamů
Co se právě audituje?
Použití NOAUDIT
Diskuze
Povinné a SYSDBA auditování
Nastavení povinného auditování
Nastavení auditování administrátora
Použití Syslogu
Fine-Grained auditování
Nastavení pravidel FGA
Správa FGA pravidel
Čtení FGA tabulek a pohledů
Diskuze – Výkonnost
Auditování před/potom hodnot a kontrola vybraných dat
Použití spínačů (triggerů) k zachycení hodnot
Použití Oracle Streams k zachycení hodnot
Použití SCN a flashback queries
Upozornění
Flashback Quieries : Příklad
Verzování pomocí Flashbacku
Než se použije Flashback
Požití Flashback data archive
Diskuze
Oracle Audit Vault
Přidání, konfigurace a správa Agentů
Přidání, konfigurace a správa Zdrojů (Sources)
Přidání, konfigurace a správa Sběračů (Collectors)
Správa auditních pravidel
Správa AV serveru a skladu
Procházení auditních logu z AV konzole
Správa upozornění
Dopad na výkonnost a uložiště
Diskuze
Sledování databázové aktivity
Ochrana proti SQL Injection
Identifikování a zařazení průniků
Compliance – S čím?
Je potřeba DAM nebo DAMP
Dopady na výkonnost
Dopady na uložiště
Diskuze
Oprávnění a oveřování uživatele
Správa objektů a oprávnění na úrovni sloupců
Přepínač GRANT option
Správa systémových oprávnění
Správa rolí
Použití bezpečných aplikačních rolí
správa role PUBLIC
Použití ACL (access control list)
Generování reportů
Diskuze
Virtual Private Database
Pravidla VPD na úrovni řádků
Pravidla VPD na úrovni sloupců
Pravidla VPD pro skrytí citlivých dat
Použití skupin pravidel
Zvolení optimálního nastavení vzhledem k výkonu
Čtení a analýza VPD pravidel
Použití bezpečných aplikačních rolí s VPD
Oracle Database Vault
Použití Realm pro zamezení vstupu DBA
Povolení příkazu k zabezpečení užitelské aktivity
Použití Rule Sets, Factors a Secure Application Roles
Reportz v DV
povolení přihlášení SYSDBA
Vypnutí DV a kontrola nastavení
Vliv DV na výkonnost
Diskuze