• http://www.orcan.se/index.php/component/comprofiler/registersBli medlem
  • image

CardlockAnvänd säkerheten
i din databas

När terabytemängder med data färdas genom nätet, från server till server, kan det vara svårt att skydda sig mot ovälkommet besök. På senare tid har många företag exempelvis drabbats av stöld av kreditkortsinformation. Oracle gör det lätt att skydda informationen och därmed även dina kunder.

Med ett litet företag är det i regel relativt lätt att hålla informationen säkrad. Alla vägar in och ut är kända och problemet är överskådligt. Men i takt med att nya datorhallar fylls på och personalomsättningen ökar blir det betydligt svårare; utan rätt teknik nära nog omöjligt att få det rätt.

Lyckligtvis finns numera allting som behövs för att skydda systemen i Oracles mjukvaruportfölj. Det finns ett dussintal olika lösningar som endera följer med databasen eller går att köpa som tillägg.

I grunden finns dessutom ett stort antal smarta finesser inbyggda direkt i databasmotorn. De flesta är väldigt enkla att konfigurera och löpande underhålla.

 

Använd profiler och VPD

Ett talande exempel är profiler. Detta är ett regelverk som går att koppla till alla användarkonton. Med denna triviala metod går det säkerställa att lösenorden blir tillräckligt komplexa för att inte kunna knäckas av Password Cracker eller liknande verktyg. En simpel funktion som förbättrar säkerheten avsevärt.

Vidare finns tekniken Virtual Private Database, VPD, för att hindra användare från att se fel information. Om denna typ av begränsningar av åtkomst byggs in i applikationen är risken stor att samma regelverk missas. I synnerhet om andra program använder samma data. Problemet kan också uppstå om någon klurig kund kopplar upp sig direkt mot databasen via ODBC eller SQL Net.

Med VPD skyddas informationen i databasmotorn, vilket är betydligt säkrare än alternativen. Alla frågor som skickas till systemet får ett villkor påkopplad, som styr vad som skickas tillbaka. Beroende på vem det är som ansluter visas alltså olika resultat för samma fråga. Ingen ser mer än det de ska se.

 

Kryptering på flera plan

För att skydda informationen ännu mer bör dessutom kryptering användas. Att lagra applikationslösenord i klartext är ingen bra idé. Oracle erbjuder flera programmatiska gränssnitt för detta; bland annat dbms_crypto.

Ännu bättre hantering finns i form av Transparent Data Encryption, som är en del av paketet Advanced Security. Med denna teknik går det att skydda information från tablespace- till kolumnnivå. Detta gör det oerhört enkelt att säkra upp stora informationsmängder.

Paketet Advanced Security i övrigt innehåller lösningar för att säkra data som rör sig på nätverket, till exempel med autentiseringslösningar. Också här är det stark kryptering som är nyckeln.

Om informationen i databasen är väldigt känslig går det att säkra upp varje rad för sig. Lösningen för detta heter Label Security och bygger på tidigare nämnda Virtual Private Database.

När detta kopplas till en tabell skapas en ny kolumn. I denna sparas information om den aktuella radens känslighet. På detta sätt kan personer vars identitet är skyddad samlagras med vanliga individer.

I regel används bara tekniken för de tabeller som verkligen behöver den extra säkerheten. Men det finns ingenting som hindrar att den används på ett större antal tabeller. Varje tabell kan dessutom ha ett eget regelverk eller dela på det med andra objekt.

 

Hindrar administratörer från att se innehållet

Ett problem är att administratörer kan ta sig förbi spärrarna. Detta gör att det finns personer som har åtkomst till information de inte borde se. Även om de i regel inte är intresserade, kan det vara ett problem.

Lösningen på detta heter Database Vault. Med detta paket går det att låsa ner databasen även för de priviligierade användarna. De kommer kunna sköta sina uppgifter, men hindra från att snoka i applikationsdata de i regel inte har med att göra. Det är istället informationsägaren som har den yttersta kontrollen.

Det går det att precisera väldigt exakt vem eller vilka som ska få åtkomst till innehållet i tabellerna. Som exempel går det att styra vilka klienter som ska kunna logga på och även mellan vilka tidpunkter. Detta kan hindra nattliga besök på olovligt lånade konton.

 

Viktig komponent för regelefterlydnad

Totalt sett gör Data Vault det möjligt för företag att relativt snabbt nå upp till flera säkerhetskrav som finns i många regelverk; däribland Sarbanes-Oxley och Basel 2.

Om snokande administratörer är lätta att glömma bort är det ännu värre med säkerhetskopior. Även de allra bästa system och finesser i databasen är luft värda om innehållet lagras i klartext på band; i synnerhet om dessa sedan inte blir inlåsta ordentligt.

 

Skydda dina säkerhetskopior

Vad Oracle erbjuder för att lösa detta är Oracle Secure Backup. Denna komponent ser till att kryptera all information innan den ens lämnat databasen. Kopiorna blir därför värdelösa för någon obehörig som kommer över dem.

En extramodul gör det dessutom möjligt att skicka informationen ut i molnet. Det innebär att det är fullt möjligt att faktiskt säkerhetskopiera information till exempelvis Amazon på ett skyddat sätt. Allting krypteras och hanteringen är precis som vanligt, med Recovery Manager som bottenplatta.

 

Data Masking nödvändigt i test- och utveckling

Oracle Data Masking hjälper också till med något mycket viktigt som ibland glöms bort. Under utveckling är det vanligt att information kopieras från produktionssystem till test- och utvecklingsmiljön. Detta för att arbetet ska kunna genomföras mot verklig information.Detta är givetvis det bästa för projekten, men ur säkerhetssynvinkel är det betydligt sämre.

Vad Data Masking gör är att justera data på vägen. Till exempel kan personnummer förvanskas. Men det kan göras på ett sätt så att informationen ändå är användbar och realistisk.

Regelverket går att bygga på kammaren, men Oracle skickar dessutom med en uppsättning färdiga mallar. Därför är det en smal sak att justera exempelvis telefonnummer eller kreditkortsdata.

När allting är nedlåst och skyddat gäller det att dessutom hålla koll på vad som sker. Detta ger inte bara en bild av vad som skett, utan kan också ge en förvarning ifall någon försöker bryta sig in i systemet.

 

Övervaka och logga minsta detalj

Inbyggt i databasen har du traditionella granskningsfunktioner, Audit, som ger information om vem som gjort vad. Regelverket är ganska grovhugget, men det går att förfina med Fine Grained Auditing, FGA.

Paketet gör det möjligt att peka ut exakt vilka händelser som ska övervakas, ner till kolumnnivå. Dessutom är det relativt simpelt att koppla till kod som aktiveras ifall en regel överskrids. Utmärkt om administratörer snabbt ska informeras om ett potentiellt intrång.
Men om det är många databaser som ska övervakas blir det snabbt oöverskådligt att bygga separata lösningar överallt. Även smarta rutiner blir svåra att hantera när förändringar måste göras på 100-tals ställen.

Det går ganska enkelt att samla in allting själv, fast det är lättare att bara köpa Oracles Audit Vault. All kontrollinformation samlas då till ett centralt datalager. Från detta kan sedan administratörer hantera hela miljön.

Vidare blir det väldigt mycket enklare att skapa rapporter och varningssystem från det centrala systemet. Inte minst som lösningen också fungerar på konkurrerande databaser från bland andra Microsoft och IBM.

Lösningar för att kontrollera miljöerna finns dessutom i verktyget Enterprise Manager. Förutom att det är den centrala punkten för många av funktionerna ovan, går det att använda policies för att se till att konfigurationerna är rätt.

Ett antal fördefinierade regler ser till att miljön är skyddad från kända fel. Att bortse från dessa kan vara ett ödesdigert misstag. Därför kan det vara bra att faktiskt också kontrollera dem.

Allting som omnämnts ovan finns redan inbyggt i databasen, eller är tillgängligt från Oracles webbplats, och är enkelt att använda. Det enda som krävs för att aktivera funktionerna är konfigurering. Några investerade timmar kan alltså ge företaget en helt ny trygghetsnivå – något som alldeles säkert lönar sig.

Robert Ilijason

S1 image001

Med kryptering ser du till att informationen inte läcker ut även om datafilerna kommer på avvägar. Även säkerhetskopiorna blir skyddade när Transparent Data Application används.

S2 image002

Även om användare inte identifieras via en LDAP-katalog går det att ställa lite på lösenord. Profilverktyget ger det bland annat möjligt att skapa egen kod för att verifiera komplexiteten.

S3 dv oem

Om data är känsligt bör inte heller databasadministratörerna komma åt all information. Data Vault låser ner innehållet utan att för den skulle begränsa det dagliga arbetet.

S4 security concerns

Med Data Vault är det inte databasadministratören som har yttersta kontrollen på informationen. Den funktionen ligger istället på en egen roll som i sin tur inte behöver ha stora rättigheter på den tekniska sidan.

S5 6

En del funktioner måste aktivt väljas under installationen för att komma med. 

S6 ViewData emp click email

Med Virtual Private Database läggs ett extra villkor till SQL som körs direkt i databasen. Det gör att säkerhetsfunktionerna fungerar oavsett vilket verktyg användaren kopplar upp sig mot.

S7 PasswordCracker

I tveksamma fall kan du ju alltid själv ta reda på hur svårt eller enkelt det är att knäcka lösenord. Det finns gott om program för ändamålet på Internet, så man behöver inte vara en expert.

 

 

Logga in

Orcan – Sveriges Oracle-användarförening