Каковы "best practice" по распределению полномочий в БД Oracle с точки зрения информационной безопасности?

Question

[illi4]

Подскажите, пожалуйста, какое распределение полномочий и какие параметры логирования для различных типов учётных записей соответствует стандартам де-факто или лучшим практикам?



Если я правильно понимаю, каждый администратор должен иметь персональную учётную запись, для которой включено логирование и отключен доступ к бизнес-данным.

Учётные записи пользователей, если таковые создаются, не должны иметь доступ к таблице приложения, и журналирование операций, опять-таки, должно быть включено.



Сейчас администраторы в сферической компании заходят под dcsdba или sys, а логирование отключено, что не соответствует ни то чтобы стандартам, а минимальным требованиям безопасности.

Answer 1

[snevsky]

Думаю этот вопрос является общим для всех БД. Распишу идеальный вариант:
— все owners схем на промышленной БД заблокированы. Доступ под этими пользователями не возможен.
— для проведения установки каждый администратор БД должен обладать собственным логином, с правами позволяющими ему проводить все необходимые операции в этих схемах
— логирование действия настраивается стандартными средствами Oracle aka Audit
— там логируются все действия данных пользователей
— пароль от аккаунта sys должен лежать в сейфе у главного боса и его использование должно быть регламентировано, ибо согласно политики Oracle его действия не могут быть залогированы, иначе он не сможет зайти в систему при возникновении непредвиденных ситуаций, к примеру переполнения табличного пространства для Audit
— из таблицы AUD все данные должны в онлайне стекаться на мониторинг администратору по безопасности
— успешные и неуспешные комманды должны выделаться признаками для возможности предотвращения несанкционированного доступа к данным

Ну вот вроде все что вспомнил согласно PCI DSS

Comments

[snevsky]

— да и успешные неуспешные логины конечно же тоже должны поступать на пульт security officer и логироваться

[illi4]

Спасибо. А существует ли какой-либо простой способ запретить администраторам доступ к бизнес-данным. Использование VPD потребует значительных ресурсов — есть ли альтернатива?

[snevsky]

а для чего? если при такой схеме фактически нет администратора, а у тех что есть все действия логируются, подумайте сами как вы будут проводить изменение размера колонки private_data если у вас нету доступа к этой колонке и вы вообще не видите её. Главное в безопасности это не забрать как можно больше прав, а предотвратить все несанкционированные действия. К примеру:
— жизненно важной для вас является информация из таблицы user_passwords
— настройте логирование таким образом что как только администратор обращается к этой таблице — у инженера по безопасности всплывает красное окошко, и он в установленном регламентом порядке — идет разбираться для чего произошел несанкционированный доступ.
Рекоммендую проконсультироваться с аудиторами по данному вопросу, для того чтобы выяснить какое решение их удовлетворит. Знаете ли у всех свои тараканы в голове.

[illi4]

Я и есть аудитор :) На мой взгляд, запрет доступа к бизнес-данным (таблицам приложения) для администраторов необходим для того, чтобы снизить риск утечки конфиденциальной информации и персональных данных. В гайдлайнах Oracle рекомендуют вообще запретить select для пользователей с набором полномочий system и dba — но, на мой взгляд, это слишком жёсткая мера, т.к. просмотр таблиц приложения администраторам нужен.

[snevsky]

Что то Oracle явно врем про select. Для чего мне иметь возможность делать запросы если я могу под администратором дампануть любой блок нужной мне таблицы выставив соотвествующий уровень профилирования, или трейсы мне тоже снимать будет нельзя?
Коль аудит ваш то и решать вам, но сугубо ИМХО цель стандартов PCI DSS и ISO может быть достигнута и без столь жестких ограничений, зачем мешать людям работать, все равно заход в БД под единственным нелогируемым пользователем невозможен.

[ComodoHacker]

> все owners схем на промышленной БД заблокированы.

А патчи как накатывать?

Answer 2

[lesha_penguin]

С точки зрения информ безопасности, самое первое с чем стоит определится это что мы защищаем и от кого/от чего. Без этого особого смысла нет вообще чего-то городить.
Второе: «информбезопасность» это всегда комплекс как технических так и огранизационных мер. Одно без другого смысла не имеет.

Вот вам список вопросов:

1) Вы хотите защитится от DBA? А зачем вы тогда держите у себя такого «сферического DBA в вакууме» которому вы не доверяете? Или у вас администрирование осуществляет сторонняя компания которой вы не доверяете? Тогда зачем такая ком пания? Так может «информбезопасность» начать с того, что подписать с ней соответствующий договор об ответственности за возможные утечки?

2) Вы хотите защитится от нерадивых программистов, которые херачат все направо и налево данные и пакеты на production базе? Вопрос правильный, только стоит его переформулировать так: у вас все программисты такие безотвественные школьники или есть один-два «ведущих разработчика», которые обладают достаточной квалификацией и ответственностью?

3) Вы хотите защитится от некорректных изменений/некорректных действий пользователей БД? А также от всяческих сломанных/слетевших с катушек внешних скриптов имеющих коннект к базе?

4) Вы хотите защититься от злых дядечек которые спят и видят как поиметь вашу базу и утянуть из нее все ваши суперсекретные данные?

А вот теперь, после вступительных вопросов я могу поделится своей Best Practice организацией безопасности (и надежности также) в Oracle.
* ответ на 1)й вопрос — чисто организационные меры
* отучаемся держать все данные в общей схеме-помойке.
* разделяем схемы на бекендные и фронтендные
* бекендные схемы содержат бизнес-данные и пакеты с бизнес-логикой их обработки
* бекендные схемы разделены по задачам и зонам отвественности — за каждую бекендную схему есть свой ответственный ведущий программист и никто туда без его ведома не лазит.
* фронтендные схемы таблиц c данными не содержат (вообще на них просто нет такого гранта как create table). они содержат только вью и пакеты которые преобразуют бизнес-логику «внешнего потребителя» во внутреннюю логику, адресуемую бекендным пакетам. Собственно фронтенд-вью и фронтенд-пакеты в том числе несут на себе задачи безопасности (такие как например не показывать например паспортные данные клиентов-физиков тому кому их показывать низя, не давая менять определенные поля в определенных документах тому кому не надо, показывать в фронтенд-вьюшке для менеджера только его клиентов а не всю клиентсткую базу, и прочее и прочее… то есть задач тут может решатся дофига-дофига-дофига, самое главное составить список этих решаемых задач).
* т.е. обратите внимание, на разделение «бизнес-логики» (бекенд-схемы) и «security-логики»(фронтенд-схемы).
* Все остальные пользователи и внешние скрипты ходят под своим отдельным логином (юзер с грантом только на коннект). Работают только с теми фронтенд-обьектами которые им явно грантованны. О структуре, огранизации и существовании чего-то в бекенд-схемах они вообще не догадываются, что дает сразу +100% к безопасности и надежности.

Много раз применял данную огранизацию в разных местах и всегда она себя оправдывала «на ура».

Answer 3

[Ruslan_Y]

Есть отдельный продукт Oracle Database Vault который как раз и дает защитить бизнес-данные от DBA, но это отдельные деньги и отдельный администратор + наверное еще и Oracle Audit Vault с еще одним админом… ну и без отдельных сотрудников службы безопасности тоже врядли обойдется :). Далеко не все смогу и захотят иметь такую роскошь, но, вообще, это как раз та самая технология от привилегированных пользователей. Презентация PDF

Comments

[snevsky]

Ого, сильная штука. Ставлю 5 баксов на то что она не просто ужасно дорогая, но ещё ужасно тормознутая и ужасно глючная. Но идея конечно хороша — именно то что необходимо банкам. Жаль что у нас не Oracle. Такой софт решил бы все проблемы с аудитом, если бы мы его конечно смогли заставить работать. Помню была такая штука как Oracle RAC. На бумаге тоже выглядело очень красиво, но на практике ни на 10 ни на 9 Oracle сами специалисты Oracle не смогли его заставить работать на нашей БД.