Datenbanken sollten ja grundsätzlich so konfiguriert werden, dass sie ausschließlich nur Funktionen zulassen, die für den Betrieb der Anwendungen beziehungsweise der Verfahren notwendig sind. Für jedes Datenbanksystem, welches personenbezogene Daten verarbeitet, muss ein Grundschutz implementiert werden. Insbesondere das seit Mai 2018 in Kraft getretene EU-Datenschutzgesetz (DSGVO) stellt höhere Anforderungen an die Sicherheit bei der Verarbeitung personenbezogener Daten.
Häufig gehen Angreifer bei ihrem Handeln sehr kreativ vor und verbringen viel Zeit damit, das Angriffsziel zu verstehen. Sie verwenden mitunter illegale Werkzeuge zur Informationsgewinnung und halten sich nicht an Gesetze und Regeln. Diese Werkzeuge nutzen u.a. Sicherheitslücken und Fehlkonfigurationen ihrer Angriffsziele aus, um die besten Angriffsvektoren zu erhalten. Haben die Angreifer genügend Informationen gesammelt, beginnen sie meist sehr diskret mit dem eigentlichen Angriff und gelangen so – viel zu oft – an sensible Daten. Als Eigentümer, Verantwortlicher oder Verarbeiter von Daten hilft es ähnlich zu denken wie ein Angreifer, aber mit dem Ziel die Sicherheitslage so zu verbessern, dass ein Angreifer sein Ziel nicht erreicht.
Die Lösung: Das Werkzeug zur Erkennung von Sicherheits- und Datenschutzrisiken
Oracle hilft bei der Umsetzung notwendiger Datensicherheitsmaßnahmen und bietet ein Werkzeug zur Erkennung potenzieller Sicherheitsrisiken für Oracle Datenbanken. Das Oracle Database Security Assessment Tool (DBSAT) überprüft bis zu 71 Datenbankkonfigurationen und Sicherheitsempfehlungen gemäß Oracle Datenbanksicherheit Best Practices. Die hiermit aufgezeigten potenziellen Sicherheitsrisiken werden dokumentiert und können bei Bedarf und Notwendigkeit vom Datenbankadministrator behoben werden.
So dient das DBSAT in erster Linie zur kurzfristigen Erkennung und Behebung allgemeiner Risiken und unterstützt bei der Umsetzung einer umfassenden Sicherheitsstrategie. Für einen dauerhaft sicheren Betrieb sollte aber ein entsprechender Prozess und ein automatisiertes Monitoring etabliert sein, um die Datenbank hinsichtlich Konfiguration, Patching und Nutzung zu überwachen. Dies ist beispielsweise mit dem Lifecycle Management Pack von Oracle Enterprise Manager möglich.
Im Wesentlichen besteht das Werkzeug aus drei Komponenten:
- NEU: DBSAT Discoverer (Aufspüren sensitiver Daten)
- DBSAT Collector (Sammeln von Konfigurations-Informationen)
- DBSAT Reporter (Erstellung des DBSAT Berichts)
Der DBSAT Collector führt Tests in Form von SQL-Abfragen (nur gegen das Oracle Datenbank Dictionary) und Betriebssystembefehle (für Listener-Konfiguration, SQLNET.ORA usw.) aus, um die notwendigen Informationen aus dem System zu sammeln. Diese Daten werden in eine – durch ein Passwort verschlüsselte – JSON-Datei geschrieben und im Anschluss von dem DBSAT Reporter, während der Analysephase, verwendet.
Mit dem Oracle Database Security Assessment Tool werden Tests in folgenden Kategorien durchgeführt:
- Benutzerkonten, Privilegien und Rollen
- Berechtigungskontrolle
- Datenverschlüsselung
- Zugriffskontrolle
- Passwortrichtlinien
- Datenbank-Konfiguration
- Listener-Konfiguration
- Betriebssystem-Dateiberechtigungen
Wir bei PROMATIS haben das DBSAT auf Herz und Nieren geprüft und mit Hilfe einer Testdatenbank aufgesetzt. Die Installation und Konfiguration der Tool-Komponenten wurde dabei in wenigen Stunden erfolgreich durchgeführt. Der Gesamtablauf ist in Abb.1 dargestellt. Richtig spannend wird es eigentlich erst, nachdem DBSAT seine Analysen durchgeführt hat: nämlich in der Identifikation und Durchführung von nötigen Maßnahmen.
Abb. 1.: Einsatz von DBSAT
Mein Fazit zum Oracle Database Security Assessment Tool:
- Analysiert schnell den aktuellen Sicherheitsstatus einer Datenbank
- Identifiziert sensible Daten, um Risiken und angemessene Sicherheitskontrollen zu ermitteln
- Reduziert Risikobelastung mithilfe bewährter Best Practices
- Beschleunigt die Einhaltung der EU-DSGVO und anderer Vorschriften
- Unterstützt Oracle Database 10g, 11g, 12c und 18c
- Kostenfrei für Oracle-Kunden
- Schnelle Bereitstellung und Verwendung
Autor: Michael Pergande
Bildquelle: © Vertigo3d/istockphoto.com