Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
-
Upload
carsten-muetzlitz -
Category
Technology
-
view
192 -
download
5
Transcript of Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Share with
#ODSD2015
OracleDirect Security Day 2015
Bitte Fragen über den WebEx Chat.
Danke.
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Safe Harbor Statement
The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.
OracleDirect Security Day 2015 3
Security Day 2015 Eine geniale Lösung für das Benutzermanagement
Suvad Sahovic Systemberatung Potsdam OracleDirect
SECURITY Inside-Out
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Referent: Kurz vorgestellt
5
• Suvad Sahovic
– Unterstützt Deutschlands Daten sicher(er) zu machen , ORACLE Potsdam
OracleDirect Security Day 2015
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
Agenda
OracleDirect Security Day 2015 6
Informationssicherheit als Prozess - Wo stehen wir?
Kurze Einführung – Was ist die Ausgangssituation?
Die Lösung – Wofür soll sie/das gut sein?
1
2
3
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015
Das Informationssicherheitskonzept beruht auf einem Risikomodell und beleuchtet die Organisation und die Prozesse
INFORMATIONSSICHERHEIT als Prozess
Sicherheitsprozess
Initialaktivitäten
Laufende Aktivitäten
Umsetzungen / Betrieb
Pro
ze
ss
e
Sicherheitsstrategie
Risikomanagement
Sicherheitsmgmt.
Schutz Informationswerte
(Vetraulichkeit, Integrität)
Sicherstellung der Verfügbarkeit
Disaster Recovery /Business
Continuity Planning
Monitoring
Auditing
Bereiche
Technisch
Physisch Organisatorisch Systeme (HW& OS)
Netze Software Daten
Bu
ild
Op
era
te
Ablauf
Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung
Risikomanagement
Security Policy, Standards & Procedures
Sicherheits- organisation
Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Sicherheitszonen
Zugangskontrollen
Zutrittsicherungs-
syteme Firewalls
Netzwerkdesign
Clustering
Netzwerkmgmt.
Virenschutz-management
Sichere OS
System-Aktualisierung
SW-Design
Verbindlichkeit
Datenklassifik.
Datenträger
System-performance Monitoring
CM
Hot-Backup Gebäudesicherheit Personelle Sicherheit
Arbeitsplatz
Schutz vor Elem-entarereignissen
Notfallpläne
(Contingency Plans)
Intrusion Detection Systems
Gebäude-überwachung
Videoaufzeichnung Activity Logging
Sicherheitsaudits Vulnerability Checks
Sicherheitsmanagement
Security Vision, Strategie für den Umgang mit unternehmenskritischen Infrastrukturen und Informationswerten
Governance
HR-Prozesse
Betriebl. Praktiken
Awareness
Training
Backup, Backup-Facitilites
Logging, Evaluierung, Behandlung von Sicherheitsvorfällen
System Recovery
Informationssicherheit ist ein Prozess, der alle Teile eines Unternehmens be-trifft. Es reicht nicht zu denken: “Die IT Abteilung wird mich schon schützen”
7
Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN
SW-Design
Verbindlichkeit
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
Agenda
OracleDirect Security Day 2015 8
Informationssicherheit als Prozess - Wo stehen wir?
Kurze Einführung – Was ist die Ausgangssituation?
Die Lösung – Wofür soll sie/das gut sein?
1
2
3
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
Komplexität bedeutet auch Verlust der Kontrolle
Komplexitätsberechung einer typischen Umgebung
ComplexDBAMGMT = Count(DBAs) x Count (DB Instances)
Zur Erinnerung:
Das LDSG und die DSVO stellen hierfür konkrete Anforderungen. Bei jeder administrativen Tätigkeit muss stets der Ausführende ermittelt werden können. Auch Oracle empfiehlt den Einsatz von personalisierten DBAs. SYS wird nur in Ausnahmenfällen genutzt und SYSTEM wird gesperrt. Hinzu kommt, dass bestimmte Zertifizierungen (wie z.B. BSI) eine regelmäßige Änderung der Passwörter fordert.
Gegeben (Ist-Situation):
Eine Unternehmung betreibt 100 Datenbanken inkl. Entwicklung, Test, Integration und Abnahme DBs. Diese Datenbanken werden von 5 DBAs betreut. Jeder DBA ist in jeder DB lokal angelegt. Zusätzlich zu den Datenbanken besteht ein zentrales Benutzerrepository (MS Active Directory)
5 DBAs x 100 DB Instances ComplexDBAMGMT =
500 ComplexDBAMGMT =
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
Inkonsequenz bedeutet auch Verlust der Kontrolle
Passwort Mangement – das größte Übel
Zur Erinnerung: BDSG $9 Abs.3 Gegeben (Ist-Situation):
Eine Unternehmung betreibt 100 Datenbanken inkl. Entwicklung, Test, Integration und Abnahme DBs. DBA Passwordwechsel erfolgt (hoffentlich) regelmäßig z.B. 4/Jahr. Zusätzlich zu den Datenbanken besteht ein zentrales Benutzerrepository (MS Active Directory)
Pro User: ComplexPWDMGMT = 100 DB Inst. x 4 PWD Wechsel 400 ComplexPWDMGMT =
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 11
Personalisierung ist komplex
Wie sieht die Realität aus?
Anonym!
DBA SYS oder SYSTEM
Wegen der Komplexität werden wichtige Maßnahmen nicht implementiert!
Wesentliche Maßnahmen für einen sicheren Datenbank-Betrieb werden nicht implementiert 1. Kein Passwortwechsel 2. Keine Zwecktrennung 3. Keine personalisierten DBAs, alle DBAs
arbeiten mit SYS und SYSTEM. 4. Etc.
Copyright © 2015, Oracle and/or its affiliates. All rights reserved. |
Agenda
OracleDirect Security Day 2015 12
Informationssicherheit als Prozess - Wo stehen wir?
Kurze Einführung – Was ist die Ausgangssituation?
Die Lösung – Wofür soll sie/das gut sein?
1
2
3
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 13
Viele positive Nebeneffekte
Business Cases
• Bus.Case #1: DBA, Entwickler erhalten automatisch DBA/DEV Privilegien
• Bus.Case #2: DBA/AppUser Funktionstrennung
• Bus.Case #3: DEV/Release Mgr. Funktionstrennung
• Bus.Case #4: Bestehende Kerberos Authentifizierung in der DB
• Bus.Case #5: Bestehende Kerberos Authentifizierung bei Oracle Linux
• Bus.Case #6: Bestehende Kerberos Authentifizierung bei DB Tools (SQL Developer, MS Office,...)
• Bus.Case #7: SYSDBA ohne Passwordfile
• Bus.Case #8: Batch User für Batch Jobs
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 14
Bestehende Infrastruktur nachhaltig nutzen
Welche Infrastruktur brauche ich?
ORA DB
ORA DB
ORA DB
ORA DB
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 15
Viele positive Nebeneffekte
Benefits
• Zentralisiertes Password Management - Erzwingung der Passwortrichtlinien durch Einsatz der bestehenden Infrastruktur
• Einhaltung und Erzwingung der unternehmerischen und gesetzlichen Sicherheitsrichtlinien. Vorhandene Inkonsequenzen, falsche oder falsche implementierte Security Konzepte, verursacht durch menschliches Versagen, werden ausgeschlossen.
• Erzwingung von Least Privilege Konzept. Durchgehendes Konzept, welches nicht umgegangen werden kann.
• Zentralisierte Benutzerauthentifizierung - durch bestehende Infrastruktur (Oracle Datenbank und MS Active Directory)
• Zwecktrennung - Account Management und Applikations/DB Management wird voneinander getrennt.
• Reduzierung der Komplexität - durch Zentralisierung und Auslagerung werden viele Betriebsaufgaben überflüssig.
• Starke Authentifizierung (Kerberos) - in der Oracle DB Welt, die bereits in Ihrem Unternehmen weitgehend genutzt wird.
• Keine User Repository Redundanzen. Es wird Ihr bestehendes User Repository (typischerweise MS Active Directory) als führendes Benutzer Verzeichnisdienst verwendet.
• Reduzierung vieler administrativen DB Aufgaben. Bei den DBAs entfallen viele Aufgaben z.B. im Bereich User Management, Password Mgmt,...,die nicht anderweitig ausgelagert werden, sondern die einfach entfallen. Es wird die bestehende Infrastruktur dafür verwendet.
• Single Sign On. Es wird bestehendes unternehmensweites Single Sign On (basierend auf Kerberos) nachhaltig genutzt.
• Eindeutigkeit und bessere Nachvollziehbarkeit.
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 16
Die nachfolgende Präsentation
OracleDirect Security Day 2015
• 16:45 Uhr: Sichere Speicherung von Daten in der Cloud und Live-Hack auf eine ungeschützte Datenbank - Test prüft die wesentliche Funktionalität