Oracle Security: Sichere Datenbanken

Die Sicherheit einer Datenbank ist ein zentrales Anliegen beim Entwurf und Betrieb von Datencentern. Das Seminar vermittelt, wie Oracle-Datenbank- und Netzwerkfunktionen zur Erfüllung der Sicherheitsanforderungen eines Unternehmens genutzt werden, um nicht privilegierten Nutzen den Zugriff zu verwehren oder Hacker-Angriffen entgegenzuwirken. Dazu gehören sinnvolle Anwenderprofile, Rollen und Privilegien, der Schutz von Systemdaten und Passwörtern, die Kontrolle von Datenbank-Objekten, die Überwachung von Systemzugriffen, sichere Datenübertragung, die Entwicklung von Backup und Wiederherstellungsstrategien. Zusätzlich wird der Einsatz von Connection Manager als Firewall, die Middle Tier-Authentifizierung, die Virtual Private Database sowie verschiedene Formen des Datenbank-Auditing gezeigt und in Oracle Label Security sowie Enterprise Identity Management eingeführt.

Inhalte des Seminars

Oracle und Sicherheit

• Sicherheitsmodelle
• Oracle-Dateisystem
• Entwurf eines Sicherheitsplans, eine Security-Checkliste
• Privilegierung
• Betriebssystemsicherheit, Sicherheit unter Unix und Windows
• Oracle Updates und Sicherheitslücken

Identifizierung, Authentisierung und Datenzugriffskontrolle

• Authentisierung über Passwörter, externe Benutzer
• Oracle Advanced Networking Option
• Gefahr durch Default-Benutzerkonten abwehren
• Passwort- und Benutzerverwaltung, Passwortspeicher, starke Passwörter
• Authentifizierung bei Web-Anwendungen
• Authentifizierung mit CyberSAFE, Kerberos, SecurID
• Single Sign-On
• Enterprise User Security: Public Key Infrastructure (PKI)
• Oracle Internet Directory (OID)
• Client Identifier, Proxy Authentication, Enterprise User Proxy
• Autorisierung der Benutzer, Rollen
• Privilegien, Privilegien von PUBLIC einschränken
• Potenzielle Sicherheitslöcher über PL/SQL und externe Prozeduren/externe Jobs
• Berechtigungen der Pakete UTL_HTTP, UTL_TCP, UTL_SMTP und UTL_FILE
• Zugriffskontrolle über Views, Stores Procedures, Trigger
• Aufbau einer Virtual Private Database (VPD)
• Oracle Label Security und Oracle Database Vault
• Enterprise Identity Management
• Middle-tier Authentication

Sichere Datenübertragung

• Netzwerksicherheit und -protokolle verstehen
• Secure Sockets Layer (SSL) für sichere Verbindungen
• X.509 Zertifikate
• Oracle Connection Manager
• SQL*Net/ Net8 Listener
• Passwortschutz
• Logging
• Restriktionen über IP-Adressen
• Firewall-Blocking
• Abschalten von Services
• Oracle SNMP
• Datenverschlüsselung
• Prüfsummen
• Sichere Datenbankzugriffe über JDBC

Datenspeicherung und Datensicherheit

• Daten einer Datenbank verschlüsseln
• Transparente Datenverschlüsselung
• Paket DBMS_CRYPTO für Verschlüsselung, Hash/MAC-Funktionen
• Paket DBMS_OBFUSCATION_TOOLKIT
• Verschlüsselung von Datensicherungen: Backup-Software und RMAN
• Zufällige Encryption-Keys

Monitoring/Auditing von Oracle-Instanzen

• Logging und Alarme
• Auditing einfacher SELECT, INSERT, UPDATE, DELETE Anweisungen
• AUDIT_TRAIL, Audit-Privilegien, Auswertungen
• Audits auf Datenebene, Oracle Fine-Grained Auditing (FGA), FGA Policy
• Conditional Auditing, Combined Audit Trails, Event Handling
• Paket DBMA_FGA
• Row-Level Security
• Audit in Oracle Label Security
• Oracle LogMiner

Web-Anwendungen mit Datenbankzugriff

• Grundlagen dynamischer Web-Anwendungen mit Datenbankzugriff
• Datenbankzugriffe und mögliche Sicherheitsprobleme
• SQL-Injection