CC BY
1МАКСИМАЛЬНАЯ БЕЗОПАСНОСТЬ АРХИТЕКТУРЫ ORACLE
АБАСОВА ИНАРА АФРАИЛЬ К., АФАНДИ ХЕЙРУЛЛА ЭМИЛЬ О.
Азербайджанский Государственный Университет Нефти и Промышленности
Абстракт. Oracle - ведущий поставщик программного и аппаратного обеспечения для предприятий, включая системы управления базами данных, которые используются организациями для управления и защиты их данных.
Ключевые слова: Oracle, программная обеспечения, база данных, безопасность
Oracle предлагает ряд технологий, которые могут быть использованы для повышения безопасности данных, и эти технологии можно сгруппировать в четыре категории в зависимости от их характеристик:
- Технологии контроля доступа: Эти технологии предназначены для управления доступом к данным и предотвращения несанкционированного доступа. К ним относятся механизмы аутентификации и авторизации, решения для управления идентификацией и доступом, а также возможности единого входа (SSO - Single sing-on).
- Технологии защиты данных: Эти технологии предназначены для защиты данных от несанкционированного доступа, изменения или уничтожения. К ним относятся решения для шифрования и токенизации, методы маскирования и обфускации данных, а также механизмы резервного копирования и восстановления.
- Технологии мониторинга и аудита: Эти технологии предназначены для мониторинга и аудита доступа к данным и их использования, а также для обнаружения и реагирования на инциденты безопасности. К таким технологиям относятся решения для управления информацией и событиями безопасности (SIEM - Security Information and Event Management), инструменты управления журналами и решения для безопасности сети и конечных устройств.
- Технологии соблюдения нормативных требований и управления: Эти технологии предназначены для обеспечения соблюдения регулирующих и отраслевых стандартов, а также для управления и применения политик и процедур безопасности. К ним относятся решения для управления политиками и рисками, инструменты оценки и тестирования безопасности, а также решения для управления уязвимостями и их исправления.
□
Monitoring & Blocking
I
Access Control
I Auditing & Tracking
I
Encryption & Masking
Database Firowal
Database Vau« Label Security Identity Management
Audit Vault
Configuration Management
Total Recall
Advanced Secirity Secure Backup Data Masiung
Рисунок 1. Ориентация безопасности пользователей Oracle DB.
Сочетая технологии контроля доступа, защиты данных, мониторинга и аудита, а также соблюдения нормативных требований и управления, организации могут повысить свою безопасность данных и защитить конфиденциальную информацию от киберугроз.
Oracle DB (Oracle Database) - это мощная и широко используемая система управления базами данных, которая хранит и управляет данными для организаций любого размера. Для обеспечения безопасности пользователей в Oracle DB можно использовать следующие подходы:
- Аутентификация и авторизация: Oracle DB поддерживает различные механизмы аутентификации и авторизации, включая аутентификацию на основе паролей, управление
доступом на основе ролей и тонкую настройку контроля доступа. Эти механизмы позволяют убедиться, что только авторизованные пользователи могут получить доступ к базе данных и что доступ предоставляется только к необходимым данным.
- Шифрование: Oracle DB поддерживает различные методы шифрования, включая прозрачное шифрование данных (TDE - Transparent Data Encryption), которое можно использовать для шифрования данных как в состоянии покоя, так и в процессе передачи. TDE гарантирует защиту конфиденциальных данных от несанкционированного доступа и может быть расшифровано только авторизованными пользователями.
- Установка обновлений и патчей: Oracle DB регулярно выпускает патчи безопасности и обновления для устранения известных уязвимостей и повышения безопасности базы данных. Важно применять эти патчи и обновления, чтобы защитить базу данных от известных угроз безопасности.
- Лучшие практики: Oracle предлагает различные лучшие практики для защиты базы данных, такие как создание сложных паролей, отключение ненужных функций, ограничение доступа к базе данных и регулярное резервное копирование. Эти практики могут помочь повысить безопасность базы данных и защитить её от киберугроз.
Рисунок 2. Иллюстрирует архитектуру максимальной безопасности Oracle.
Организации могут обеспечить конфиденциальность своих баз данных Oracle, защищая свою частную информацию от попыток взлома, используя следующие меры безопасности.
ODBF (Oracle Database Firewall) - это решение безопасности, которое предоставляет мониторинг и блокировку активности базы данных в реальном времени, чтобы предотвратить несанкционированный доступ, атаки SQL-инъекцией и другие угрозы для базы данных. Оно действует как прокси между базой данных и приложением, перехватывая весь трафик базы данных и обеспечивая выполнение политик безопасности для предотвращения вредоносной активности.
ODBF использует комбинацию методов, основанных на сигнатурах, и поведенческого анализа для идентификации и блокировки попыток несанкционированного доступа и вредоносных SQL-запросов. Оно также может мониторить активность пользователей и генерировать предупреждения, когда обнаруживается подозрительная активность, что позволяет администраторам безопасности расследовать и реагировать на потенциальные инциденты безопасности.
Некоторые ключевые функции и преимущества ODBF включают в себя:
- Мониторинг и блокировка трафика базы данных в реальном времени: ODBF предоставляет мониторинг трафика базы данных в реальном времени и может блокировать несанкционированный доступ и атаки SQL-инъекцией в режиме реального времени.
- Настраиваемые политики безопасности: ODBF позволяет администраторам безопасности создавать и настраивать политики безопасности в зависимости от конкретных потребностей и требований.
- Централизованное управление: ODBF предоставляет централизованное управление политиками безопасности, предупреждениями и отчетами, что упрощает управление и мониторинг безопасности базы данных в различных базах данных и средах.
- Соблюдение нормативных требований: ODBF помогает организациям соблюдать нормативные требования, такие как PCI DSS, HIPAA и SOX, предоставляя журналы аудита и отчеты.
- Снижение риска утечки данных: ODBF снижает риск утечки данных, блокируя попытки несанкционированного доступа и атаки SQL-инъекцией, защищая конфиденциальные данные, хранящиеся в базе данных.
Рисунок 3. Oracle Database Firewall.
ODBF - это мощное решение для обеспечения безопасности, которое помогает организациям укрепить защиту своих баз данных и защитить конфиденциальные данные от киберугроз.
Oracle VPD (Virtual Private Database) - это функция безопасности, которая предоставляет детализированный контроль доступа к данным, хранящимся в ODB. VPD позволяет организациям применять политики доступа к данным на основе ролей пользователей, обязанностей и других атрибутов, обеспечивая высокий уровень безопасности и контроля над конфиденциальными данными.
VPD работает, динамически изменяя SQL-запросы во время выполнения на основе политик, определенных администратором. Это позволяет VPD контролировать доступ к данным на уровне строк и столбцов, гарантируя, что пользователи могут получать доступ только к тем данным, к которым им разрешено.
Некоторые ключевые функции и преимущества Oracle VPD включают:
- Детализированный контроль доступа: Oracle VPD предоставляет детализированный контроль доступа к данным, позволяя администраторам применять политики доступа на основе ролей пользователей, обязанностей и других атрибутов.
- Динамические политики безопасности: Oracle VPD позволяет администраторам определять и изменять политики безопасности динамически, обеспечивая высокую степень гибкости и контроля доступа к данным.
- Прозрачность для приложений: Oracle VPD является прозрачным для приложений, что означает, что приложения не нужно модифицировать для работы с VPD.
- Улучшенная производительность: Oracle VPD может повысить производительность базы данных, уменьшая количество запросов к базе данных, необходимых для извлечения данных.
- Повышенная безопасность: Oracle VPD усиливает безопасность базы данных, применяя политики доступа на уровне строк и столбцов, что снижает риск несанкционированного доступа к данным.
Oracle VPD имеет три основных компонента:
- Политика безопасности: Политика безопасности представляет собой набор правил и условий, определенных администратором для контроля доступа к данным. Политика
определяется с помощью SQL-запросов или PL/SQL-кода и связывается с таблицей или представлением базы данных.
- Функция безопасности: Функция безопасности - это PL/SQL-функция, определенная администратором, которая используется для применения политики безопасности. Функция вызывается ODB во время выполнения для динамического изменения SQL-запросов с целью соблюдения политики безопасности.
- Контекст приложения: Контекст приложения - это набор атрибутов, определенных администратором, для идентификации текущего пользователя и другой актуальной информации о сессии. Атрибуты хранятся в пространстве имен контекста и могут использоваться для применения политики безопасности.
Эти три компонента работают вместе, чтобы обеспечивать политику доступа к данным на основе ролей пользователей, обязанностей и других атрибутов. Политика безопасности определяет правила и условия доступа к данным, функция безопасности обеспечивает соблюдение политики, модифицируя SQL-запросы во время выполнения, а контекст приложения предоставляет информацию о пользователе и сессии, необходимую для применения политики.
Чтобы создать функцию генерации с динамическим условием WHERE и добавить к ней политику безопасности в ODB, надо создать функцию генерации и добавлять к ней политику безопасности, вы можете обеспечить детализированный контроль доступа к данным в Oracle Database (ODB) на основе ролей пользователей, привилегий и других атрибутов.
Oracle VPD предоставляет несколько полезных функций для обеспечения безопасности данных и контроля доступа в Oracle Database, включая:
- Детализированный контроль доступа: VPD позволяет администраторам определять политики детализированного контроля доступа на основе ролей пользователей, обязанностей и других атрибутов. Это обеспечивает более точный контроль доступа к данным и гарантирует, что пользователи могут получать доступ только к тем данным, на которые у них есть разрешение.
- Динамическое маскирование данных: VPD может использоваться для динамического маскирования конфиденциальных данных в зависимости от ролей пользователей или других критериев. Это гарантирует, что конфиденциальные данные не будут раскрыты несанкционированным пользователям, даже если они имеют доступ к базе данных.
- Безопасность на уровне строк: VPD может применяться для обеспечения безопасности на уровне строк, что означает, что пользователи могут получать доступ только к конкретным строкам данных в таблице. Это полезно для многопользовательских приложений или других сценариев, когда пользователи должны иметь доступ только к своим данным.
- Последовательная безопасность для всех приложений: VPD обеспечивает последовательную модель безопасности для всех приложений, которые обращаются к базе данных. Это гарантирует, что политики доступа к данным применяются последовательно, независимо от приложения, используемого для доступа к данным.
- Простота реализации: VPD легко реализовать и можно настроить с помощью SQL-запросов или PL/SQL-кода. Это упрощает интеграцию в существующие приложения и рабочие процессы.
Oracle VPD предоставляет мощный и гибкий механизм для обеспечения контроля доступа к данным и гарантии их безопасности в Oracle Database (ODB). Его детализированный контроль доступа, динамическое маскирование данных, безопасность на уровне строк и простота реализации делают его ценным инструментом для организаций, которым необходимо защищать конфиденциальные данные и обеспечивать соответствие требованиям законодательства о конфиденциальности данных.
OLS (Oracle Label Security) - это функция безопасности ODB, которая предоставляет высокоуровневую модель безопасности для защиты данных. Она позволяет администраторам определять политики безопасности на основе классификаций данных, которые представлены
ОФ "Международный научно-исследовательский центр "Endless Light in Science"
в виде меток. Эти метки прикрепляются к строкам в таблицах базы данных и могут использоваться для обеспечения контроля доступа к данным и реализации политик защиты данных. OLS предлагает следующие функции:
- Контроль доступа на основе меток: OLS позволяет администраторам определять политики контроля доступа на основе меток. Пользователи могут получать доступ только к данным с метками, соответствующими их уровню допуска. Например, пользователи с уровнем допуска "совершенно секретно" могут получать доступ только к данным с меткой "совершенно секретно".
- Защита данных на основе меток: OLS может использоваться для защиты данных на основе меток. Например, данные с меткой "совершенно секретно" могут быть зашифрованы, в то время как данные с меткой "публичные" могут не требовать шифрования.
- Контроль на основе политик: OLS позволяет администраторам определять политики для доступа к данным и защиты данных. Эти политики могут основываться на классификациях данных, ролях пользователей и других критериях.
Чтобы создать политику в OLS, которая может быть применена к расписанию, выполните следующие шаги:
- Определите данные, которые нужно защитить: Определите, какие таблицы или столбцы в вашей базе данных содержат конфиденциальные данные, которые необходимо защитить.
- Определите классификации данных: Определите, как вы хотите классифицировать свои данные. Например, вы можете классифицировать данные как "публичные", "внутренние" или "конфиденциальные".
- Создайте метки: Создайте метки, которые соответствуют вашим классификациям данных. Например, вы можете создать метку с названием "конфиденциальная", чтобы она соответствовала вашим наиболее чувствительным данным.
- Создайте политику безопасности: Создайте политику безопасности, которая определяет, как должен контролироваться доступ к данным на основе меток. Вы можете использовать инструмент Oracle Label Security Administrator для создания этой политики.
- Назначьте метки данным: Назначьте метки таблицам или столбцам в вашей базе данных, которые содержат конфиденциальные данные.
- Протестируйте политику: Проведите тестирование политики, чтобы убедиться, что она работает так, как ожидается.
- Примените политику к расписанию: Как только политика будет работать ожидаемым образом, вы можете применить ее к расписанию. Это обеспечит регулярное применение политики.
Следуя этим шагам, вы можете создать политику в OLS, которая может быть применена к расписанию, гарантируя защиту ваших конфиденциальных данных от несанкционированного доступа или раскрытия. OLS особенно полезен для организаций, которые обрабатывают чувствительные или конфиденциальные данные, такие как государственные учреждения, финансовые учреждения и поставщики медицинских услуг.
Oracle AV (Oracle Audit Vault) - это решение для обеспечения безопасности, которое предоставляет централизованный репозиторий для аудиторных данных из различных источников, включая ODB, операционные системы и сторонние приложения. Оно позволяет организациям собирать и анализировать аудит данные из нескольких источников в реальном времени, предоставляя комплексный обзор событий безопасности по всему предприятию. OAV предлагает следующие функции:
- Централизованный сбор аудиторных данных: Аудит данные из различных источников собираются и хранятся в централизованном репозитории, обеспечивая единое место для анализа и отчетности.
- Оповещения в реальном времени: OAV может генерировать оповещения в реальном времени, когда происходят события безопасности, позволяя организациям быстро реагировать на потенциальные угрозы.
- Комплексная отчетность: OAV предлагает широкий спектр возможностей для отчетности, включая настраиваемые панели мониторинга, предустановленные отчеты и отчеты по запросу.
- Соответствие стандартам аудита: OAV поддерживает соответствие стандартам аудита, таким как PCI DSS, HIPAA и SOX.
- Безопасное хранение: Аудит данные надежно хранятся в репозитории Audit Vault, обеспечивая защиту от несанкционированного доступа и подделки.
- Интеграция с ODB: OAV может быть интегрирован с ODB, чтобы предоставить дополнительные функции безопасности, такие как межсетевой экран для базы данных и мониторинг активности базы данных.
А V. ULI' НС ГОЧI ILLJill
Рисунок 4. Архитектура OAV.
Высокоуровневая архитектура Oracle AV состоит из трех основных компонентов:
- Oracle AV Server: Этот компонент является центральной платформой управления для Oracle Audit Vault. Он предоставляет веб-интерфейс для настройки и управления аудиторными политиками, оповещениями и отчетами. Также включает репозиторий аудиторных данных, который хранит данные, собранные от агентов AV.
- Oracle AV Agents: Это легковесные программные компоненты, которые устанавливаются на целевых серверах баз данных или других системах, подлежащих аудиту. Агенты собирают аудит данные с целевых систем и отправляют их на коллектор Audit Vault.
- Oracle AV Collector: Этот компонент собирает аудит данные от агентов и отправляет их на сервер Audit Vault. Коллектор может быть установлен на отдельной системе или совместно с сервером Audit Vault.
Вместе эти компоненты обеспечивают комплексное решение для аудита и отчетности по соблюдению норм для корпоративных систем. Агенты отвечают за сбор аудиторных данных с целевых систем, коллектор — за передачу данных на сервер Audit Vault, а сервер - за хранение и управление данными, а также за генерацию отчетов о соблюдении норм.
OAV особенно полезен для организаций, которым необходимо соответствовать нормативным требованиям, таким как в финансовом секторе, здравоохранении и государственных учреждениях. Он предоставляет централизованный, актуальный обзор событий безопасности по всему предприятию, позволяя организациям быстро и эффективно выявлять и реагировать на потенциальные угрозы.
СПИСОК ЛИТЕРАТУРЫ:
1. Steven Feuerstein, Bill Pribyl /'Oracle PL/SQL programming", 2013,p.12-98;
2. Oracle Security by Released October 1998 Publisher(s):O'Reilly Media, Inc,2019,p.170-189;
3. Ault, Mike; Liu, Daniel; Tumma, MadhuDon Burleson, ed. "Oracle Database 10g New Features: Oracle 10g Reference for Advanced Tuning & Administration",2013,p.109-178;
4. Ron Ben Natan, Elseiver Digital Press, "How to Secure and Audit Oracle 10g and 11g" ,2013,p.109-178;
5. Patricia Huey, "Oracle® Database Vault Administrator's Guide",November 2022,p.132-340;
