Externe Einflüsse wie Gesetze fordern die IT auf, (unsere) Daten zu schützen. Doch wie prüft man die eingestellte Sicherheit einer Oracle-Datenbank überhaupt? Ist die geforderte Sicherheit ausreichend umgesetzt und zwar im Idealfall entsprechend dem notwendigen Schutzbedarf? Wann haben Sie eigentlich die Sicherheit Ihrer Oracle-Datenbank das letzte Mal überprüft? Und noch besser gefragt, kennen Sie die Bedrohungen und die davon abgeleiteten Risiken? Alles Fragen, deren Antworten ein verantwortlicher Anwendungsbesitzer sofort parat haben sollte oder sehen Sie das anders?

Wie kann man sich am besten vor Bedrohungen schützen? Die einzige richtige Antwort auf diese Frage ist: durch Informationen und daraus abgeleitetes Wissen. Nun umfassen Informationen und das darin versteckte Wissen wahrscheinlich sehr viele Quellen. D.h. es wird immer schwieriger, sich das richtige Wissen anzueignen und dieses Wissen für den Schutz von Daten und Datenbanken anzuwenden.
Betrachtet man die Oracle Datenbank, dann empfehle ich zwei wesentliche Bereiche, die man tun muss bzw. wissen sollte.

  1. Die Best Practices Lösungen zu kennen, die man implementieren sollte und teilweise muss, um gute Sicherheit zu garantieren. Ich nenne diesen Bereich „13 Lösungen für eine höhere Sicherheit in einer Oracle Datenbank (Best Practices)“
  2. Wie sieht der wirkliche Sicherheitszustand einer Oracle Datenbank aus? Diesen Bereich nenne ich „Check Oracle DB Security“

In diesem Beitrag möchte ich Sie nun in die Grundlagen einer guten Oracle-Datenbank Sicherheit einführen und Sie ermutigen, den Sicherheitszustand Ihrer Datenbank selber zu bestimmen.

Hier nun die 13 Lösungen:

  1. Password-Management aktivieren: Seien Sie sich bewusst, dass schwache Kennwörter eine hohe Bedrohung bedeuten. Aktivieren Sie ein vernünftiges Password Management.
  2. Kennen Sie den Funktionsumfang Ihrer aktuellen Datenbank-Version: auch die Funktionen, die nicht mehr unterstützt werden. Der „New Feature und Upgrade Guide“ sollte eine Pflichtlektüre werden.
  3. Implementieren Sie eine passende Mindestsicherheit: Oracle liefert hier viele Vorgaben.
  4. Haben Sie das Rollen- und Account Management im Griff: Hier geht es um eine kontrollierte Privilegien-Vergabe (Least Privileg), eine Zwecktrennung im Account Management und eine andauernde Überprüfung des Rollenmanagements und Zugriffskonzepts.
  5. Sicheres Datenbank Link Konzept implementieren: Gerade im Bereich der Datenintegration werden wiederholt DB-Links in der Datenbank konfiguriert. Diese Links eröffnen u.U. unkontrollierte Zugriffe auf entfernte Datenbanken. Tracken Sie den Zugriff und setzen Sie ein sicheres DB-Link Konzept um. Oracle liefert hier die entsprechenden Vorgaben.
  6. Definieren Sie Schutz-Policies für Ihre Anwendungen: Hierunter fällt z.B. ein richtiges Anwendungs-Owner und Anwendungs-User Setup.
  7. Implementieren Sie den notwendigen Datenschutz für wichtige Daten: Kennen Sie die Daten, die geschützt werden müssen und schützen Sie diese angemessen.
  8. Kontrollieren Sie den Ressourcenverbrauch in Ihrer Datenbank!
  9. Implementieren Sie eine sinnvolle Zwecktrennung in der Datenbank: Auch bei der Datenbank ist es sinnvoll,eine Zwecktrennung zu implementieren.
  10. Schalten Sie eine sinnvolle und gesetzeskonforme Protokollierung ein: Gesetze erfordern das und Oracle gibt eine Mindestprotokollierung vor.
  11. Implementieren Sie Prozesse, die den guten Zustand der Datenbank erhalten
  12. Führen Sie regelmäßige Health- Checks durch: Oracle liefert z.B. mit dem Enterprise Manager eine vollständige Library.
  13. Definieren Sie ein funktionierendes Patch-Management: Kennen Sie die Critical Patch Updates und handeln Sie falls notwendig.
    PS: Oracle empfiehlt im CPU Oktober 2013 eine Einschaltung der Netzwerkverschlüsselung mit einem Risikofaktor 5. Also bitte die Netzwerkverschlüsselung einschaltung, diese gehört zum Funktionsumfang jeder Datenbankedition.

Check Oracle DB Security oder wer den Sicherheitszustand nicht kennt, wird auch keine Maßnahmen ergreifen

Den Sicherheitszustand einer Oracle-Datenbank zu überprüfen, ist sehr wichtig. Hierfür kann man verschiedene Anwendungen nutzen, die im Markt erhältlich sind. Eine gute Entscheidung wäre z.B. den Oracle Enterprise Manager (Cloud Control) mit dem Lifecycle Management zu nutzen, der periodisch den Sicherheitszustand für Sie ermittelt.
Eine manuelle Überprüfung ist auch möglich, erfordert aber tiefes Wissen. Doch auch trotz der hohen Wissensanforderung ist ein Verstehen, wie man eine Oracle-Datenbank manuell auf Sicherheit überprüft, wichtig. Hier sollten Sie unbedingt das neue Buch „Oracle Security in der Praxis“ verwenden.

Vertrauen Sie nicht mehr auf Vermutungen, sondern nehmen Sie die Sicherheit Ihrer Datenbank ernst und lernen Sie den realen Zustand Ihrer Datenbank kennen. Wissen über reale Zustände und Wissen über geeignete Konzepte schützen. Erst dann können Sie entscheiden, welche Maßnahmen tatsächlich notwendig sind. Tatsächlich helfen auch die Richtlinien und Gesetze, die einen Datenschutz fordern, um geeignete Konzepte abzuleiten.

Weiterführende Informationen:

Oracle Online Dokumentation für die Datenbank
Verschiedene Artikel in der Knowledge Base vom Oracle Support
Das neue Buch „Oracle Security in der Praxis. Vollständige Sicherheitsüberprüfung Ihrer Oracle Datenbank“.