• http://www.orcan.se/index.php/component/comprofiler/registersBli medlem
  • image

Database Firewall

Om du vill slippa oväntat besök

En stulen dator, en felkonstruerad applikation eller en arg medarbetare. Datatjuvar har flera vägar in till din information. Med Database Firewall sätter du stopp för dem redan i dörren.

Nästan varje vecka kommer det larmrapporter om att ännu ett företag blivit av med känslig persondata. Är det inte kreditkortsuppgifter som stulits har adresser eller annan information du inte vill dela med dig av kommit på vift. I en nyligen uppmärksammad händelse förlorade till exempel Sony uppgifter om nästan 25 miljoner användare. Resultatet blir givetvis att kundernas förtroende för de felande bolagen naggas i kanten.

Det mest tragiska är att många stölder inte skulle kunna ske om bara företag skyddade sig ordentligt. Mänger av så kallade DAM-verktyg, Database Activity Monitoring, kan hjälpa ditt företag att hindra att data landar i fel händer. Du kan både se vad som sker och hindra att fel personer gör fel saker.

9 av 10 angrepp sker på applikationsnivå

Oracle har historiskt haft ett bra skydd, men detta har framför allt funnits inuti databasen. Detta hjälper inte mot angrepp på applikationen utanför, som ofta har en mycket svagare säkerhetslösning. Därför kan tjuvar exempelvis använda sig av SQL-injektioner för att lura sig in i systemet. Undersökningar visar att uppemot 9 av 10 angrepp använder sig av denna metod.

I princip fungerar tekniken genom att angriparen förändrar koden som applikationen skickar. Det kan ske på flera olika sätt, men i regel krävs det bara ett enda misstag av programmerarna för att det ska vara fritt fram för datatjuven. I bästa fall kan de bara expandera frågan till att returnera för mycket data. I värsta fall kan de köra nästan vilken SQL-sats som helst, inklusive uppdateringar och borttag.

Database Firewall säkrar även andra databaser

För skydd mot detta redan på första nivån, det vill säga innan frågan nått databasen, har användare fått söka sig till företags i DAM-branschen, till exempel Imperva och AppSec. Men med Database Firewall har detta ändrats. Nu kan du vända dig direkt till Oracle och få hjälp med säkerheten hela vägen. Enklare både vid inköp och för supportärenden.

Liksom många andra produkter i Oracles portfolio är detta en inköpt applikation. Originalbolaget hette Secerno och produkten DataWall. Likt ett annat uppmärksammat uppköp, GoldenGate, är det en lösning som inte bara är byggd för Oracles produkter. Tvärtom fungerar det utmärkt även för exempelvis SQL Server, DB2 och Sybase ASE.
skiss

Hittar konstigheter i realtid

I princip fungerar skyddet som en brandvägg på nätverket. Fast för SQL. All kod måste passera genom applikationens nålsöga och där kan den undersökas grundligt. Men det är inte passiva kontroller. Database Firewall lär sig känna igen riktiga anrop och kan på så sätt upptäcka underligheter i realtid.

Det vanliga beteendet lagras i vad som kallas ”vita listor”. Allting som är nedtecknat där är tillåtet och övrig trafik stoppas. Denna metod ger överlägset bäst säkerhet, men kan hindra korrekta frågor. Framför allt är det infrekventa anrop som kan bromsas upp, till exempel kvartalsrapporter eller årskörningar.

Ett annat problem med vita listor är förändringar i applikationen. Detta kan exempelvis ske när ett program uppgraderas eller byts ut. Lösningen är att först köra igenom allting i en testmiljö med Database Firewall installerad och sedan flytta över listorna till produktion.

Svarta och vita listor

Ett alternativ till de vita listorna är att blockera givna SQL-satser. Dessa lagras i ”svarta listor”. Tyvärr är detta ett trubbigt verktyg, eftersom det ofta är möjligt för en sofistikerad angripare att justera frågan tillräckligt mycket för att komma runt väggen.

Förutom själva grundskyddet går det att lägga in andra restriktioner. Exempel på detta är IP-nummer, applikationer och tidpunkter, vilket du kanske känner igen från vanliga brandväggar. Med detta stöd kan du hindra att någon gör oönskade anrop mitt i natten, när administratörer och säkerhetspersonal inte är på plats.

Vid behov kan programmet ingripa på flera olika sätt. Enklaste varianten är att helt enkelt stoppa misstänkt SQL i dörren. Men det går också att förändra frågan så att den inte returnerar något svar. Detta kan vara bättre om man inte vill att angriparen ska förstå att han upptäckts och blockerats.

Vidare går det givetvis att skicka varningar till administratörer så att de kan kontrollera de misstänkta anropen. Denna funktion går att lägga på toppen av något av de andra skydden för att både hindra SQLen och även göra säkerhetspersonal uppmärksamma på angreppsförsöken.

Rapporter och säkerhetsanalyser

Förutom basfunktionen finns även en del extra finesser i Database Firewall. Exempelvis går det att ta fram rapporter för att tillgodose kraven för SOX och PCI DSS. Vidare kan du också göra en säkerhetsanalys av lagrade procedurer och roller i databaserna.

admin_lienAtt jobba med produkten är smidigt. Administrationsverktyget är webbaserat och väldigt lättarbetat. Det går snabbt att konfigurera servern, skapa regler och sedan övervaka dem – direkt eller i efterhand. Enda nackdelen är att det står för sig självt. Det vore smidigare att ha funktionen i Grid Managern. Men mycket talar för att Database Firewall kommer att flytta in där inom kort. Inte minst som gränssnitten påminner om varandra.

Prioritera mellan prestanda och säkerhet

Tekniskt installeras produkten för sig själv. Du avgör om en server ska hantera flera databaser eller bara fokusera på en. Sedan kan du välja att skicka all trafik igenom Database Firewall, eller att bara mata den med kopior av SQLen i realtid. Valet beror på hur du viktar säkerhet och prestanda.

Vill du vara säker på att produkten inte stannar, går det bra att skapa en lösning där två maskiner samkör med varandra. Faller den ena står den andra kvar. Detta är en absolut rekommendation om du har krav på dig att hålla med hög tillgänglighet.

Det går också att installera en tunn agent på databasservrar där du inte har Database Firewallskyddet. Denna kan skicka vidare information till den feta servern. Skillnaden är att SQL inte strömmar igenom agenten. Du får alltså reda på faktum i efterhand. Även om fördröjningen är marginell innebär det att skadan redan kan vara skedd.

Kompletterar databasens skydd

Störst kritik har Database Firewall fått för att det inte är en komplett lösning för databasskydd. Det är framför allt konkurrerande företag som höjt rösten för detta. Flera funktioner som andra DAM-verktyg erbjuder saknas nämligen. Men det stämmer bara om man har skygglappar på sig. Mycket av säkerheten finns nämligen i databasen. Med Audit Vault blir till exempel trafikövervakningen nära nog komplett och det finns många andra tillägg att aktivera.

Ett större problem är att produkten ännu inte klarar av krypterad trafik. Det gör det knepigt för alla de företag som använder nätverksskyddet i Advanced Security, eller någon tredjepartsprodukt; något många potentiella köpare av Database Firewall gör. Lyckligtvis är förbättringar inom området utlovade till kommande versioner.
Tyvärr går det heller inte att kontrollera utgående data. Vill du hindra given information från att hamna på fel klient får du använda databasens egna verktyg för detta. Just att det finns skydd längre ner, talar för att funktionen inte kommer att dyka upp i Database Firewall i det närmaste. Men det skulle vara bra för att få en extra kontroll.

Bra köp för dig som vill ha dina data ifred

Sammantaget är det här ändå ett riktigt bra köp för både Oracle och deras användare. Precis som för många andra produkter de handlat senaste åren blir det enklare för kunder att faktiskt börja använda en mycket bra funktion. Detta då relationen med leverantören finns redan på plats.

En brandvägg för databasen borde nämligen vara lika självklart som de som redan finns i nätverket. Inte minst som denna angreppsvektor är betydligt vanligare, enklare att utföra och ofta minst lika allvarlig. Det är ju informationen som ska skyddas.

När nu funktionen finns i Oracle verktygslåda kommer de att göra användare mer medvetna om vilka möjligheter som finns. Något som känns riktigt bra. I synnerhet för oss som vill ha våra kreditkortsuppgifter i fred.

Robert Ilijason

 

Logga in

Orcan – Sveriges Oracle-användarförening