DataSunrise erreicht AWS DevOps Kompetenz Status in AWS DevSecOps und Überwachung, Protokollierung, Performance

Diese Website verwendet Cookies, um Informationen darüber zu sammeln, wie Sie mit unserer Website interagieren. Um mehr zu erfahren, besuchen Sie bitte unsere Datenschutzerklarung.

Beste Praktiken zur Sicherheit von Oracle Datenbanken

Beste Praktiken zur Sicherheit von Oracle Datenbanken

Keines der Datenbankverwaltungssysteme ist standardmäßig sicher. Sie können jedoch die meisten Bedrohungen vermeiden, indem Sie die Umgebung richtig konfigurieren. In diesem Artikel fassen wir unser Wissen über die Oracle-Datenbanksicherheit zusammen und listen die Maßnahmen auf, die Sie bei der Arbeit mit Oracle-Datenbanken in Betracht ziehen sollten.

1. Entfernen Sie Standardpasswörter

Das allererste, womit man sich bei der Datenbanksicherheit auseinandersetzen muss. Wenn Sie Passwörter verwenden, die leicht gehackt oder durch Brute-Force-Angriffe überwunden werden können, sind alle anderen Sicherheitsmaßnahmen ebenso nutzlos wie ein Schuhgeschäft im Auenland. Angreifer beginnen mit einfachen Methoden, die maximalen Schaden anrichten. Wir hoffen, dass nach den jüngsten berüchtigten Attacken auf falsch konfigurierte MongoDB- und MySQL-Datenbanken die Mehrheit die Botschaft verstanden hat. VERWENDEN SIE KEINE Standard- oder schwachen Passwörter und stellen Sie sicher, dass gespeicherte Passwörter verschlüsselt sind.

Verwenden Sie das folgende Skript, um Benutzerkonten mit Standardpasswörtern zu finden.

sqlplus sys as sysdba Enter password: password SELECT d.username, u.account_status FROM DBA_USERS_WITH_DEFPWD d, DBA_USERS u WHERE d.username = u.username ORDER BY 2,1;

Verwenden Sie das Checkpwd-Tool, um Konten mit schwachen Passwörtern zu identifizieren. Es handelt sich um einen wortbuchbasierten Passwortprüfer für Oracle-Datenbanken. Das Tool liest Passwort-Hashes aus der dba_users-Sicht aus und vergleicht lokale Hash-Schlüssel mit den Hash-Schlüsseln aus der gelieferten Wörterbuchdatei. Es zeigt eine Liste abgelaufener Konten und schwacher Passwörter an, sodass Sie diese ändern können.

checkpwd system/oracle@//127.0.0.1:1521/orcl password_list.txt

2. Aktualisieren und Patchen

Der nächste Schritt besteht darin, die neueste Version des Datenbankverwaltungssystems zu installieren. Nach der Aktualisierung können Sie ohne Fehler und andere bereits behobene Probleme arbeiten. Entwickler bemühen sich ständig, die Oracle-Datenbank sicherer zu machen, was insbesondere in Oracle Database 12c bemerkbar ist.

Viermal im Jahr veröffentlicht Oracle das Critical Patch Update, das eine Vielzahl kritischer Sicherheitslücken in verschiedenen Plattformen, einschließlich Oracle Database, behebt. Mit dem Update gibt Oracle allgemeine Informationen über behobene Schwachstellen bekannt, die von Angreifern sofort zu analysieren und auszunutzen beginnen. Laut dem aktuellen Wallarm-Bericht dauert es 2 bis 4 Stunden, bis Hacker beginnen, eine neu gemeldete Schwachstelle auszunutzen. Verpassen Sie daher das Update nicht.

Überprüfen Sie den Zeitplan der Critical Patch Updates hier.

3. Trennen Sie Verantwortlichkeiten

Kennen Sie die Pipeline-Architektur, bei der jedes Mitglied des Systems nur seine Aufgabe erfüllt und nicht mehr? Klingt langweilig, aber dennoch sollten Sie die gleiche Architektur im Unternehmensumfeld in Betracht ziehen. Überlegen Sie es sich gut, bevor Sie Privilegien wie Flugblätter verteilen.

Generell ist es beste Praxis, alle Privilegien zu entfernen und sie erst bei Bedarf zu gewähren. Beginnen Sie neu. Dies hilft Ihnen, Szenarien zu vermeiden, in denen ein Sicherheitsbeauftragter nicht sorgfältig genug darauf geachtet hat, dass ein John aus der Verwaltungsabteilung Zugriff auf vertrauliche Informationen und Geschäftsgeheimnisse hatte.

4. Passwörter verwalten

Jahrelang speicherten Administratoren die Kontopasswörter unverschlüsselt in einem Skript oder einer Konfigurationsdatei. Oracle hat den Secure Password Store eingeführt, um dieses Problem zu beheben. Diese Funktion ermöglicht es Ihnen, eine Wallet-Datei zu erstellen, in der Sie Datenbank-Zugangsdaten sicher speichern können.

Oracle Database verfügt über eine Reihe von Tools zum Schutz von Passwörtern. Einige davon sind standardmäßig deaktiviert.

  • Überprüfung der Passwortkomplexität
    Es gibt eine einfache Passwortüberprüfungsfunktion in den PL/SQL-Skripten UTLPWDMG.SQL ($ORACLE_HOME/rdbms/admin). Das Skript ist standardmäßig deaktiviert. Um es zu aktivieren, melden Sie sich mit administrativen Rechten bei SQL*Plus an und führen Sie das Skript aus. CONNECT SYS/AS SYSDBA Enter password: password @$ORACLE_HOME/RDBMS/ADMIN/utlpwdmg.sql Die Parameter, die die Passwortanforderungen festlegen, sind standardmäßig gesetzt, können aber nach Ihrem Ermessen geändert werden. Seit der Version 11g ist die Groß-/Kleinschreibung bei Passwörtern standardmäßig aktiviert.
  • Sperrung des Kontos
    Aktivieren Sie die Kontosperrung nach 3 ungültigen Versuchen für einen bestimmten Zeitraum. Dies verringert das Risiko von Brute-Force-Angriffen erheblich. Setzen Sie die folgenden Parameter, um Kontosperrungen für ein Oracle-Profil festzulegen: FAILED_LOGIN_ATEMPTS 3 PASSWORD_LOCK_TIME 10 Das Argument des zweiten Parameters ist auf 10 Tage festgelegt.
    Verwenden Sie den Parameter INACTIVE_ACCOUNT_TIME, um die Inaktivitätsperiode festzulegen, nach der das Konto gesperrt wird (der Wert wird ebenfalls in Tagen angegeben).

5. Ändern Sie die Standard-Audit-Einstellungen

Oracle 12c hat den Unified Audit Data Trail eingeführt, der SYS.AUD$ für die Datenbank-Audit-Spur, SYS.FGA_LOG$ für das fein granulare Audit, DVSYS.AUDIT_TRAIL$ für Oracle Database Vault und Oracle Label Security kombiniert.

In Oracle 12c ist der Standardwert von audit_sys_operations TRUE, aber wenn Sie eine ältere Version verwenden, müssen Sie diesen Parameter aktivieren, damit SQL-Befehle des Benutzers sys protokolliert werden.

Verwenden Sie den folgenden Befehl, um ihn zu aktivieren und das System neu zu starten.

SQL> alter system set audit_sys_operations=true scope=spfile;

Aktivieren Sie audit_trail, um SQL-Befehle zu protokollieren.

SQL> alter system set audit_trail=DB,EXTENDED scope=spfile;

Wenn Sie mit Oracle Database 12c arbeiten, können Sie den Mischmodus verwenden, indem Sie eine Richtlinie mit dem Befehl CREATE AUDIT POLICY erstellen und diese dann mit dem Befehl AUDIT aktivieren. Sie können auch vordefinierte Richtlinien verwenden (lesen Sie hier, um mehr über die Standard-Audit-Richtlinien zu erfahren).

6. Implementieren Sie starke Authentifizierungsmethoden

Die Authentifizierung der Benutzeridentität ist in verteilten Umgebungen unerlässlich. Neben der Standardauthentifizierung unterstützt Oracle Database branchenübliche Authentifizierungsprotokolle und -dienste von Drittanbietern. Um diese zu nutzen, nehmen Sie einige Konfigurationsänderungen vor.

  • Kerberos
    Ein Authentifizierungsprotokoll, das in erster Linie für ein Client-Server-Modell entwickelt wurde und gegenseitige Authentifizierung ermöglicht.
  • Secure Socket Layer (SSL)
    Ein branchenüblicher Standard zur Sicherung von Netzwerkverbindungen.
  • Remote Authentication Dial-In User Service (RADIUS)
    Ein Client-/Server-Sicherheitsprotokoll, das Remote-Authentifizierung und -Zugang ermöglicht.
  • Steuern Sie den Datenbankzugriff mit Tools wie Kerberos, Oracle Grant Security, Oracle Wallet Security, Oracle Virtual Private Databases.
  • Für den Fernzugriff auf die Datenbank wird nur ein sicherer Schlüsselaustausch erlaubt (Secure Shell (SSH) oder VPN).

7. Sensible Daten verwalten

Das Leaken sensibler oder vertraulicher Daten kann zu erheblichen Konsequenzen führen. Daher sollten persönlich identifizierbare Informationen, geschützte Gesundheitsdaten, proprietäre Informationen und geistiges Eigentum mit besonderer Sorgfalt behandelt werden.

Zunächst müssen Sie feststellen, wo sich diese Daten befinden. Es gibt verschiedene Lösungen, die dazu entwickelt wurden, Daten über mehrere Plattformen hinweg zu durchsuchen. Oracle Database verfügt über ein integriertes Transparent Sensitive Data Protection-Dienstprogramm.

Datenbankadministratoren müssen die Datenbanken verwalten, aber nicht die Daten selbst, ebenso wie externe Entwickler und Tester. Data-Masking-Lösungen können in diesem Fall sehr hilfreich sein.

8. Verwenden Sie zusätzliche Sicherheitstools

Das anfälligste Objekt in einer Produktionsumgebung ist die Datenbank, doch der Großteil der Unternehmen investiert den größten Teil ihres Sicherheitsbudgets in Netzwerksicherheit. Dem Schutz der Datenbank sollte mehr Aufmerksamkeit geschenkt werden.

  • Datenbank-Aktivitätsüberwachung
    Wenn sich Ihr Unternehmen DAM-Tools leisten kann, kann dies sehr nützlich sein. Sie bieten vollständige Einblicke in alle Datenbankaktivitäten und Systemänderungen in Echtzeit. Sie benachrichtigen die Datenbankadministratoren, falls verdächtige Aktivitäten festgestellt werden. Integrieren Sie es in ein SIEM-System, um eine Analyse von Sicherheitsbedrohungen in Echtzeit zu erhalten, sodass Sie sofortige Maßnahmen gegen beginnende Angriffe ergreifen können.
    Oracle Advanced Security Database-Option beinhaltet ein DAM-Tool. Es können auch Lösungen von Drittanbietern verwendet werden.
  • Datenbank-Firewall
    Die Datenbank-Firewall fungiert als Proxy, indem sie den eingehenden und ausgehenden Datenbankverkehr überwacht und vor SQL-Injektionen sowie unautorisierten Zugriffsversuchen schützt. Anhand unseres Produkts können Sie erfahren, wie eine Firewall gegen SQL-Injektion-Angriffe schützt.
  • Datenbankverkehrsverschlüsselung
    Die Oracle Advanced Security Database-Option beinhaltet ein Datenverschlüsselungstool. Auch Lösungen von Drittanbietern können verwendet werden.
    Diese Lösungen wandeln Klartextdaten mithilfe eines speziellen Schlüssels in unverständlichen Chiffretext um, sodass nur autorisierte Parteien darauf zugreifen können. Ohne Kenntnis des Verschlüsselungsalgorithmus ist es nahezu unmöglich, die Originaldaten aus dem verschlüsselten Text wiederherzustellen.

9. Bilden Sie sie weiter! Beseitigung von Cybersecurity-Analphabetismus

Keine der oben genannten Maßnahmen wird erfolgreich sein, wenn Ihre Kollegen Passwörter an ihre Monitore kleben und Anhänge in bösartigen E-Mails herunterladen. Laut dem neuesten IBM Security Bericht stammen 60% der Cybersecurity-Bedrohungen aus dem eigenen Haus. Dies kann ein böswilliger Insider oder ein unbeabsichtigter Akteur sein.

Organisieren Sie Sicherheitsschulungen. Erklären Sie den normalen Mitarbeitern die Bedeutung von Vorsichtsmaßnahmen. Es ist auch hilfreich, sie über die Sicherheitsgesetzgebung und die von Regulierungsbehörden verhängten Strafen bei Nichteinhaltung und Cyberkriminalität zu informieren.

10. Seien Sie paranoid

Wir verfolgen regelmäßig Nachrichten zur Informationssicherheit, und es ist überraschend, wie riesige Unternehmen gehackt werden, selbst wenn sie über die besten Sicherheitsanwendungen verfügen. Warum geschieht das? Offenbar liegt die Antwort auf diese Frage in der Herangehensweise. Wenn Sie Ihre Arbeitsabläufe als langweilige, unnötige Routine ansehen, werden Sie einige wichtige Punkte vernachlässigen und letztendlich gehackt werden. Aber wenn Sie sich der Verantwortung Ihrer Position bewusst sind und es richtig machen wollen, sollten Sie paranoid werden. Erwarten Sie jederzeit Angriffe aus allen Richtungen.

Seien Sie penibel und lassen Sie nicht zu, dass jemand die Schutzmaßnahmen vernachlässigt. Gehen Sie alle Sicherheitsempfehlungen von Oracle durch (der Link ist im Abschnitt Referenzen zu finden). Es ist harte Arbeit, aber die Mühe lohnt sich. Über abgewehrte Angriffe wird selten gesprochen, aber wenn der Name Ihres Unternehmens nicht in Sicherheitsberichten auftaucht, wissen wir, dass Sie, lieber Sicherheitsmitarbeiter, Ihre Arbeit so gemacht haben, wie es richtig sein sollte.

Zum vollständigen Schutz Ihrer Oracle-Datenbanken verwenden Sie die folgenden Komponenten, die in der DataSunrise Database Security Suite enthalten sind:

*Referenzen

Oracle Database 11g – Network Security Guide

Oracle Database 12c – Security Guide

Nächste

Integration von Ubuntu in eine Windows Active Directory Domäne

Integration von Ubuntu in eine Windows Active Directory Domäne

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Allgemeine Informationen:
[email protected]
Vertrieb:
[email protected]
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
[email protected]