SlideShare ist ein Scribd-Unternehmen logo

Implementierbare Sicherheitsregeln im Enterprise Manager

Martin Obst
Martin Obst

Security Technical Implementation Guides im Oracle Enterprise Manager sichern höchste Ansprüche an die Oracle Datenbank-Sicherheit. Sie sind schon implementiert und können direkt genutzt werden. Einfacher geht´s nicht. Die konsequente Nutzung führt zu bester Sicherheit.

Präsentationen & Vorträge
1 von 14
Downloaden Sie, um offline zu lesen
Security Day 2015 Umfassende Datenbank-Sicherheit mit Enterprise Manager Martin Obst Systemberatung Potsdam Oracle Direct
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | Share with Bitte Fragen über den WebEx-Chat #ODSD2015 2OracleDirect Security Day 2015
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | Safe Harbor Statement The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle. 3Oracle Direct Security Day, 16. April 2015
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 Oracle Enterprise Manager als Werkzeug bei Strategie-Definition, Schwachstellen- Analyse und deren kontinuierlicher Umsetzung Datenbank-SICHERHEIT als Prozess Sicherheitsprozess Initialaktivitäten Laufende Aktivitäten Umsetzungen / Betrieb Prozesse Sicherheitsstrategie Risikomanagement Sicherheitsmgmt. Schutz Informationswerte (Vetraulichkeit, Integrität) Sicherstellung der Verfügbarkeit Disaster Recovery /Business Continuity Planning Monitoring Auditing Bereiche Technisch Physisch Organisatorisch Systeme (HW& OS) Netze Software Daten Build Operate Ablauf Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung Risikomanagement Security Policy, Standards & Procedures Sicherheits- organisation Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Sicherheitszonen Zugangskontrollen Zutrittsicherungs- sytemeFirewalls Netzwerkdesign Clustering Netzwerkmgmt. Virenschutz- management Sichere OS System- Aktualisierung SW-Design Verbindlichkeit Datenklassifik. Datenträger System- performance Monitoring CM Gebäudesicherheit Personelle Sicherheit Arbeitsplatz Schutz vor Elem- entarereignissen Notfallpläne (Contingency Plans) Intrusion Detection Systems Gebäude- überwachung Videoaufzeichnung Activity Logging Sicherheitsaudits Vulnerability Checks Sicherheitsmanagement Security Vision, Strategie für den Umgang mit unternehmenskritischen Infrastrukturen und Informationswerten Governance HR-Prozesse Betriebl. Praktiken Awareness Training Backup, Backup-Facitilites Logging, Evaluierung, Behandlung von Sicherheitsvorfällen System Recovery Informationssicherheit ist ein Prozess, der alle Teile eines Unternehmens be- trifft. Es reicht nicht zu denken: “Die IT Abteilung wird mich schon schützen” 4 Compliance Frameworks im Enterprise Manager sicherheits- relevante Messpunkte • Bestimmung (initial) • Überwachung / Auditierung (kontinuierl.) • Behebung Hot-Backup Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung Security Policy, Standards & Procedures Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Virenschutz- management Sichere OS System- Aktualisierung Datenklassifik. Datenträger System- performance Monitoring CM Sicherheitsaudits Vulnerability Checks Logging, Evaluierung, Behandlung von Sicherheitsvorfällen
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | Wie ? Konkret ?! • Welche Datenbanken sind betroffen? • Welche Sicherheits-Lücken bestehen? • Wie kritisch stellen sich diese Situationen dar? • Wer beschäftigt sich mit der Härtung der Datenbanken? – Wieviel Arbeitszeit wird für die Vorbereitung verwendet? (Schulung / Internet) – Wieviel Arbeitszeit wird für die Analyse verwendet? (eigene Umgebung) – Wieviel Arbeitszeit wird für die Schließung von Lücken verwendet? Oracle Direct Security Day, 16.04.2015 5 Viel Aufwand von der initialen Definition bis zur konkreten Umsetzung
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 Oracle Enterprise Manager als Werkzeug bei Strategie-Definition, Schwachstellen- Analyse und deren kontinuierlicher Umsetzung SICHERHEIT für Ihre Datenbanken Sicherheitsprozess Initialaktivitäten Laufende Aktivitäten Umsetzungen / Betrieb Prozesse Sicherheitsstrategie Risikomanagement Sicherheitsmgmt. Schutz Informationswerte (Vetraulichkeit, Integrität) Sicherstellung der Verfügbarkeit Disaster Recovery /Business Continuity Planning Monitoring Auditing Bereiche Technisch Physisch Organisatorisch Systeme (HW& OS) Netze Software Daten Build Operate Ablauf Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung Risikomanagement Security Policy, Standards & Procedures Sicherheits- organisation Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Sicherheitszonen Zugangskontrollen Zutrittsicherungs- sytemeFirewalls Netzwerkdesign Clustering Netzwerkmgmt. Virenschutz- management Sichere OS System- Aktualisierung SW-Design Verbindlichkeit Datenklassifik. Datenträger System- performance Monitoring CM Gebäudesicherheit Personelle Sicherheit Arbeitsplatz Schutz vor Elem- entarereignissen Notfallpläne (Contingency Plans) Intrusion Detection Systems Gebäude- überwachung Videoaufzeichnung Activity Logging Sicherheitsaudits Vulnerability Checks Sicherheitsmanagement Security Vision, Strategie für den Umgang mit unternehmenskritischen Infrastrukturen und Informationswerten Governance HR-Prozesse Betriebl. Praktiken Awareness Training Backup, Backup-Facitilites Logging, Evaluierung, Behandlung von Sicherheitsvorfällen System Recovery Informationssicherheit ist ein Prozess, der alle Teile eines Unternehmens be- trifft. Es reicht nicht zu denken: “Die IT Abteilung wird mich schon schützen” 6 Compliance Frameworks im Enterprise Manager sicherheits- relevante Punkte • Bestimmung (initial) • Überwachung / Auditierung (kontinuierl.) • Behebung Hot-Backup Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung Security Policy, Standards & Procedures Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Virenschutz- management Sichere OS System- Aktualisierung Datenklassifik. Datenträger System- performance Monitoring CM Sicherheitsaudits Vulnerability Checks Logging, Evaluierung, Behandlung von Sicherheitsvorfällen • Anwendung von Best Practices auf die eigene konkrete System-Umgebung • Risiko-Bewertungen verschieden • Metriken identisch • Compliance Frameworks vor-implementiert • Anwendung je nach individueller Bewertung • Überwachung / Auditierung identisch
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | Compliance Frameworks im Enterprise Manager • „normale“ Basis-Compliance Standards – Basic Security Configuration For Oracle Cluster DB und Oracle Cluster DB Instance – Basic Security Configuration For Oracle DB – Basic Security Configuration For Oracle Listener – Basic Security Configuration For Oracle Pluggable Database – 909 Compliance Standard Regeln für Basis-Sicherheit • weitere mitgelieferte Compliance Frameworks (Sicherheit): – PCI DSS (Version 2.0) (nur Beispiel) – Oracle Engineered Systems Compliance – Oracle Generic Compliance Framework Oracle Direct Security Day, 16.04.2015 7 Mehrwerte „out of the box“
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | Und noch ein weiteres Compliance Framework • Security Technical Implementation Guides • = direkt anwendbare Prozeduren zur Feststellung des Status • bereitgestellt durch Technologie-Hersteller (u.A. Oracle) für US Defense Information Systems Agency Oracle Direct Security Day, 16.04.2015 8 Speziell für höchste Sicherheits-Ansprüche Quelle: http://iase.disa.mil/stigs/app-security/database/Pages/index.aspx
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | Beispiel für eine STIG-Regel Group ID (Vulid): V-2531 Group Title: Oracle OS_AUTHENT_PREFIX parameter Rule ID: SV-24902r2_rule Severity: CAT III Rule Version (STIG-ID): DO3447-ORACLE11 Rule Title: The Oracle OS_AUTHENT_PREFIX parameter should be changed from the default value of OPS$. Vulnerability Discussion: The OS_AUTHENT_PREFIX parameter defines the prefix for database account names to be identified EXTERNALLY by the operating system. When set to the special value of OPS$, accounts defined with the prefix of OPS$ may authenticate either with a password or with OS authentication. Use of more than one authentication method to access a single account results in a loss of accountability, that is, it is similar to a shared account. Setting this parameter to a value other than OPS$ prevents a shared usage of a single account. Responsibility: Database Administrator IAControls: IAGA-1 Check Content: From SQL*Plus: select value from v$parameter where name = 'os_authent_prefix'; If the value returned is OPS$ or ops$, this is a Finding. Fix Text: Specify an operating system authenticated username prefix other than OPS$. From SQL*Plus: alter system set os_authent_prefix = [prefix value] scope = spfile; Compliant selections for [prefix value] are: a null string ('') a text value other than 'OPS$' The above SQL*Plus command will set the parameter to take effect at next system startup. Oracle Direct Security Day, 16.04.2015 9 konkrete Nutzung ohne Hilfsmittel aufwendig
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | STIGs im Enterprise Manager • Vorarbeit bereits erledigt – 92 Regeln für sichere Installation – 96 Regeln für sichere Konfiguration – „neues Rad“ notwendig für mein Unternehmen ? • andere Frage: Wie funktioniert die effektive Anwendung des neuen Standards basierend auf dem US Defense Information Systems Agency (DISA) Security Technical Implementation Guide (STIG)? • a u t o m a t i s i e r t mit dem Oracle Enterprise Manager ! Oracle Direct Security Day, 16.04.2015 10 Konzentration auf die Oracle Datenbank
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | STIGs im Enterprise Manager = direkt anwendbare Prozeduren zur Feststellung des Status – automatische Ausführung der geskripteten Prüfung der Umgebungen • Single Instance Datenbank • Cluster Datenbank (Real Application Clusters) • Listener – Darstellung in Compliance Dashboard • Kategorisierung nach Schweregrad • Berichte über BI Publisher (out of box oder selbst definiert) – detaillierte Empfehlungen für jedes einzelne Ziel Oracle Direct Security Day, 16.04.2015 11 Viel mehr als nur Checklisten
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | D E M O Oracle Direct Security Day, 16.04.2015 12
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 Oracle Enterprise Manager als Werkzeug bei Strategie-Definition, Schwachstellen- Analyse und deren kontinuierlicher Umsetzung SICHERHEIT für Ihre Datenbanken Sicherheitsprozess Initialaktivitäten Laufende Aktivitäten Umsetzungen / Betrieb Prozesse Sicherheitsstrategie Risikomanagement Sicherheitsmgmt. Schutz Informationswerte (Vetraulichkeit, Integrität) Sicherstellung der Verfügbarkeit Disaster Recovery /Business Continuity Planning Monitoring Auditing Bereiche Technisch Physisch Organisatorisch Systeme (HW& OS) Netze Software Daten Build Operate Ablauf Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung Risikomanagement Security Policy, Standards & Procedures Sicherheits- organisation Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Sicherheitszonen Zugangskontrollen Zutrittsicherungs- sytemeFirewalls Netzwerkdesign Clustering Netzwerkmgmt. Virenschutz- management Sichere OS System- Aktualisierung SW-Design Verbindlichkeit Datenklassifik. Datenträger System- performance Monitoring CM Gebäudesicherheit Personelle Sicherheit Arbeitsplatz Schutz vor Elem- entarereignissen Notfallpläne (Contingency Plans) Intrusion Detection Systems Gebäude- überwachung Videoaufzeichnung Activity Logging Sicherheitsaudits Vulnerability Checks Sicherheitsmanagement Security Vision, Strategie für den Umgang mit unternehmenskritischen Infrastrukturen und Informationswerten Governance HR-Prozesse Betriebl. Praktiken Awareness Training Backup, Backup-Facitilites Logging, Evaluierung, Behandlung von Sicherheitsvorfällen System Recovery Informationssicherheit ist ein Prozess, der alle Teile eines Unternehmens be- trifft. Es reicht nicht zu denken: “Die IT Abteilung wird mich schon schützen” 13 Compliance Frameworks im Enterprise Manager sicherheits- relevante Punkte • Bestimmung (initial) • Überwachung / Auditierung (kontinuierl.) • Behebung Hot-Backup Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung Security Policy, Standards & Procedures Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Virenschutz- management Sichere OS System- Aktualisierung Datenklassifik. Datenträger System- performance Monitoring CM Sicherheitsaudits Vulnerability Checks Logging, Evaluierung, Behandlung von Sicherheitsvorfällen • Anwendung von Best Practices auf die eigene konkrete System-Umgebung • Risiko-Bewertungen verschieden • Metriken identisch • Compliance Frameworks vor-implementiert • Anwendung je nach individueller Bewertung • Überwachung / Auditierung identisch • Aufdeckung und Behebung von Sicherheitslücken
Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 14 OD Sec Day: Die heutige Tages-Agenda OracleDirect Security Day 2015 • 10:00 Uhr: Negib Marhoul Zugunsten einer ganzheitlichen Sicherheit – Security by Design • 11:15 Uhr: Martin Obst Von Oracle entwickelt, im Enterprise Manager bereits integriert und direkt nutzbar • 13:00 Uhr: Carsten Mützlitz Typische Angriffsszenarien und deren Auswirkungen Der Security Smoke Test • 14:15 Uhr: Michal Soszynski Störungsfreiheit kritischer IT- Infrastrukturen • 15:30 Uhr: Suvad Sahovic Eine geniale Lösung für das Benutzermanagement in kurzer Zeit implementiert • 16:45 Uhr: Wolfgang Hennes Sichere Speicherung von Daten in der Cloud und Live-Hack auf eine ungeschützte Datenbank

Empfohlen

End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiCarsten Muetzlitz
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitCarsten Muetzlitz
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Carsten Muetzlitz
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicCarsten Muetzlitz
 
Oracle Secure Patching Concept
Oracle Secure Patching ConceptOracle Secure Patching Concept
Oracle Secure Patching ConceptCarsten Muetzlitz
 
„Compliance as a Service“ auf der AWS Enterprise Summit 2016
„Compliance as a Service“ auf der AWS Enterprise Summit 2016 „Compliance as a Service“ auf der AWS Enterprise Summit 2016
„Compliance as a Service“ auf der AWS Enterprise Summit 2016direkt gruppe GmbH
 
Thorsten Bruhns – IT-Tage 2015 – Monitoring von Oracle-Datenbanken mit check_mk
Thorsten Bruhns – IT-Tage 2015 – Monitoring von Oracle-Datenbanken mit check_mkThorsten Bruhns – IT-Tage 2015 – Monitoring von Oracle-Datenbanken mit check_mk
Thorsten Bruhns – IT-Tage 2015 – Monitoring von Oracle-Datenbanken mit check_mkInformatik Aktuell
 
IBP_Whitepaper_Roam Like Home – EU-Verordnungen & -Regulierungen und ihre Aus...
IBP_Whitepaper_Roam Like Home – EU-Verordnungen & -Regulierungen und ihre Aus...IBP_Whitepaper_Roam Like Home – EU-Verordnungen & -Regulierungen und ihre Aus...
IBP_Whitepaper_Roam Like Home – EU-Verordnungen & -Regulierungen und ihre Aus...Iskander Business Partner GmbH
 

Empfohlen

End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiCarsten Muetzlitz
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitCarsten Muetzlitz
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Carsten Muetzlitz
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicCarsten Muetzlitz
 
Oracle Secure Patching Concept
Oracle Secure Patching ConceptOracle Secure Patching Concept
Oracle Secure Patching ConceptCarsten Muetzlitz
 
„Compliance as a Service“ auf der AWS Enterprise Summit 2016
„Compliance as a Service“ auf der AWS Enterprise Summit 2016 „Compliance as a Service“ auf der AWS Enterprise Summit 2016
„Compliance as a Service“ auf der AWS Enterprise Summit 2016direkt gruppe GmbH
 
Thorsten Bruhns – IT-Tage 2015 – Monitoring von Oracle-Datenbanken mit check_mk
Thorsten Bruhns – IT-Tage 2015 – Monitoring von Oracle-Datenbanken mit check_mkThorsten Bruhns – IT-Tage 2015 – Monitoring von Oracle-Datenbanken mit check_mk
Thorsten Bruhns – IT-Tage 2015 – Monitoring von Oracle-Datenbanken mit check_mkInformatik Aktuell
 
IBP_Whitepaper_Roam Like Home – EU-Verordnungen & -Regulierungen und ihre Aus...
IBP_Whitepaper_Roam Like Home – EU-Verordnungen & -Regulierungen und ihre Aus...IBP_Whitepaper_Roam Like Home – EU-Verordnungen & -Regulierungen und ihre Aus...
IBP_Whitepaper_Roam Like Home – EU-Verordnungen & -Regulierungen und ihre Aus...Iskander Business Partner GmbH
 
Ingreso de la compu al aula
Ingreso de la compu al aulaIngreso de la compu al aula
Ingreso de la compu al aulaMelisa Martinez
 
Oferta San Valentín 2013 en Galicia en Costa da Morte
Oferta San Valentín 2013 en Galicia en Costa da MorteOferta San Valentín 2013 en Galicia en Costa da Morte
Oferta San Valentín 2013 en Galicia en Costa da MorteEnrique Pérez Sampedro
 
Spanischkurse in madrid
Spanischkurse in madridSpanischkurse in madrid
Spanischkurse in madridtandemmadrid
 
Metodologia de la enseñanza
Metodologia de la enseñanzaMetodologia de la enseñanza
Metodologia de la enseñanzaJessica Lizeth Tipantuña Tapia
 
Präsentation Schulorganizer
Präsentation SchulorganizerPräsentation Schulorganizer
Präsentation SchulorganizerTobias Dankert
 
Komplett werbung24 händlerzeitung_auto
Komplett werbung24 händlerzeitung_autoKomplett werbung24 händlerzeitung_auto
Komplett werbung24 händlerzeitung_autoUwe E. Nimmrichter
 
German_iSignthis Brochures
German_iSignthis BrochuresGerman_iSignthis Brochures
German_iSignthis BrochuresJohn Karantzis
 
Organisationsfähigkeit
OrganisationsfähigkeitOrganisationsfähigkeit
OrganisationsfähigkeitThomas Mezger
 
LOS SENTIDOS
LOS SENTIDOSLOS SENTIDOS
LOS SENTIDOSSoledad Roblero
 
Deck Vontravel
Deck VontravelDeck Vontravel
Deck Vontraveljschinocca
 
Manejo del aula virtual y google docs ¡
Manejo del aula virtual y google docs ¡Manejo del aula virtual y google docs ¡
Manejo del aula virtual y google docs ¡criztianpoveda
 
Presentation1 - AnnaM
Presentation1 - AnnaMPresentation1 - AnnaM
Presentation1 - AnnaMannapke
 
Organimos del deporte
Organimos del deporteOrganimos del deporte
Organimos del deportekowoll
 
B&IT-Kurzfilm: Komfortable Materialstammsuche mit Klassen bzw. Merkmalen - SA...
B&IT-Kurzfilm: Komfortable Materialstammsuche mit Klassen bzw. Merkmalen - SA...B&IT-Kurzfilm: Komfortable Materialstammsuche mit Klassen bzw. Merkmalen - SA...
B&IT-Kurzfilm: Komfortable Materialstammsuche mit Klassen bzw. Merkmalen - SA...Wolfgang Hornung
 
Castells la dimensión cultural de internet
Castells la dimensión cultural de internetCastells la dimensión cultural de internet
Castells la dimensión cultural de internetEdixela Burgos
 
Fünf parteien frage2
Fünf parteien frage2Fünf parteien frage2
Fünf parteien frage2pflichtlektuere
 
Aulas y correo uni
Aulas y correo uniAulas y correo uni
Aulas y correo unimanolo2512
 
Correspondencia
CorrespondenciaCorrespondencia
Correspondenciadiandano5
 
Calidad del software
Calidad del softwareCalidad del software
Calidad del softwarevaoe11
 
11 did gimeno_sacristan_1_unidad_2
11 did gimeno_sacristan_1_unidad_211 did gimeno_sacristan_1_unidad_2
11 did gimeno_sacristan_1_unidad_2Angelo Porzio
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasCarsten Muetzlitz
 
Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Harald Erb
 

Weitere ähnliche Inhalte

Andere mochten auch

Ingreso de la compu al aula
Ingreso de la compu al aulaIngreso de la compu al aula
Ingreso de la compu al aulaMelisa Martinez
 
Oferta San Valentín 2013 en Galicia en Costa da Morte
Oferta San Valentín 2013 en Galicia en Costa da MorteOferta San Valentín 2013 en Galicia en Costa da Morte
Oferta San Valentín 2013 en Galicia en Costa da MorteEnrique Pérez Sampedro
 
Spanischkurse in madrid
Spanischkurse in madridSpanischkurse in madrid
Spanischkurse in madridtandemmadrid
 
Präsentation Schulorganizer
Präsentation SchulorganizerPräsentation Schulorganizer
Präsentation SchulorganizerTobias Dankert
 
Komplett werbung24 händlerzeitung_auto
Komplett werbung24 händlerzeitung_autoKomplett werbung24 händlerzeitung_auto
Komplett werbung24 händlerzeitung_autoUwe E. Nimmrichter
 
German_iSignthis Brochures
German_iSignthis BrochuresGerman_iSignthis Brochures
German_iSignthis BrochuresJohn Karantzis
 
Organisationsfähigkeit
OrganisationsfähigkeitOrganisationsfähigkeit
OrganisationsfähigkeitThomas Mezger
 
Deck Vontravel
Deck VontravelDeck Vontravel
Deck Vontraveljschinocca
 
Manejo del aula virtual y google docs ¡
Manejo del aula virtual y google docs ¡Manejo del aula virtual y google docs ¡
Manejo del aula virtual y google docs ¡criztianpoveda
 
Presentation1 - AnnaM
Presentation1 - AnnaMPresentation1 - AnnaM
Presentation1 - AnnaMannapke
 
Organimos del deporte
Organimos del deporteOrganimos del deporte
Organimos del deportekowoll
 
B&IT-Kurzfilm: Komfortable Materialstammsuche mit Klassen bzw. Merkmalen - SA...
B&IT-Kurzfilm: Komfortable Materialstammsuche mit Klassen bzw. Merkmalen - SA...B&IT-Kurzfilm: Komfortable Materialstammsuche mit Klassen bzw. Merkmalen - SA...
B&IT-Kurzfilm: Komfortable Materialstammsuche mit Klassen bzw. Merkmalen - SA...Wolfgang Hornung
 
Castells la dimensión cultural de internet
Castells la dimensión cultural de internetCastells la dimensión cultural de internet
Castells la dimensión cultural de internetEdixela Burgos
 
Aulas y correo uni
Aulas y correo uniAulas y correo uni
Aulas y correo unimanolo2512
 
Correspondencia
CorrespondenciaCorrespondencia
Correspondenciadiandano5
 
Calidad del software
Calidad del softwareCalidad del software
Calidad del softwarevaoe11
 
11 did gimeno_sacristan_1_unidad_2
11 did gimeno_sacristan_1_unidad_211 did gimeno_sacristan_1_unidad_2
11 did gimeno_sacristan_1_unidad_2Angelo Porzio
 

Andere mochten auch (20)

Ingreso de la compu al aula
Ingreso de la compu al aulaIngreso de la compu al aula
Ingreso de la compu al aula
 
Oferta San Valentín 2013 en Galicia en Costa da Morte
Oferta San Valentín 2013 en Galicia en Costa da MorteOferta San Valentín 2013 en Galicia en Costa da Morte
Oferta San Valentín 2013 en Galicia en Costa da Morte
 
Spanischkurse in madrid
Spanischkurse in madridSpanischkurse in madrid
Spanischkurse in madrid
 
Metodologia de la enseñanza
Metodologia de la enseñanzaMetodologia de la enseñanza
Metodologia de la enseñanza
 
Präsentation Schulorganizer
Präsentation SchulorganizerPräsentation Schulorganizer
Präsentation Schulorganizer
 
Komplett werbung24 händlerzeitung_auto
Komplett werbung24 händlerzeitung_autoKomplett werbung24 händlerzeitung_auto
Komplett werbung24 händlerzeitung_auto
 
German_iSignthis Brochures
German_iSignthis BrochuresGerman_iSignthis Brochures
German_iSignthis Brochures
 
Organisationsfähigkeit
OrganisationsfähigkeitOrganisationsfähigkeit
Organisationsfähigkeit
 
LOS SENTIDOS
LOS SENTIDOSLOS SENTIDOS
LOS SENTIDOS
 
Deck Vontravel
Deck VontravelDeck Vontravel
Deck Vontravel
 
Manejo del aula virtual y google docs ¡
Manejo del aula virtual y google docs ¡Manejo del aula virtual y google docs ¡
Manejo del aula virtual y google docs ¡
 
Presentation1 - AnnaM
Presentation1 - AnnaMPresentation1 - AnnaM
Presentation1 - AnnaM
 
Organimos del deporte
Organimos del deporteOrganimos del deporte
Organimos del deporte
 
B&IT-Kurzfilm: Komfortable Materialstammsuche mit Klassen bzw. Merkmalen - SA...
B&IT-Kurzfilm: Komfortable Materialstammsuche mit Klassen bzw. Merkmalen - SA...B&IT-Kurzfilm: Komfortable Materialstammsuche mit Klassen bzw. Merkmalen - SA...
B&IT-Kurzfilm: Komfortable Materialstammsuche mit Klassen bzw. Merkmalen - SA...
 
Castells la dimensión cultural de internet
Castells la dimensión cultural de internetCastells la dimensión cultural de internet
Castells la dimensión cultural de internet
 
Fünf parteien frage2
Fünf parteien frage2Fünf parteien frage2
Fünf parteien frage2
 
Aulas y correo uni
Aulas y correo uniAulas y correo uni
Aulas y correo uni
 
Correspondencia
CorrespondenciaCorrespondencia
Correspondencia
 
Calidad del software
Calidad del softwareCalidad del software
Calidad del software
 
11 did gimeno_sacristan_1_unidad_2
11 did gimeno_sacristan_1_unidad_211 did gimeno_sacristan_1_unidad_2
11 did gimeno_sacristan_1_unidad_2
 

Ähnlich wie Implementierbare Sicherheitsregeln im Enterprise Manager

DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasCarsten Muetzlitz
 
Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Harald Erb
 
Windows as a Service - Herausforderungen ohne Windows Desktop Analytics
Windows as a Service - Herausforderungen ohne Windows Desktop AnalyticsWindows as a Service - Herausforderungen ohne Windows Desktop Analytics
Windows as a Service - Herausforderungen ohne Windows Desktop AnalyticsFabian Niesen
 
20181120_DOAG_OracleNoSQLDB_KPatenge
20181120_DOAG_OracleNoSQLDB_KPatenge20181120_DOAG_OracleNoSQLDB_KPatenge
20181120_DOAG_OracleNoSQLDB_KPatengeKarin Patenge
 
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"Eileen Erdmann
 
Machine Learning
Machine LearningMachine Learning
Machine LearningSplunk
 
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ..."Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...Bernhard Schimunek
 
Oracle Mobile Cloud Service im Einsatz
Oracle Mobile Cloud Service im EinsatzOracle Mobile Cloud Service im Einsatz
Oracle Mobile Cloud Service im EinsatzVolker Linz
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!Carsten Cordes
 
Endeca Web Acquisition Toolkit - Integration verteilter Web-Anwendungen und a...
Endeca Web Acquisition Toolkit - Integration verteilter Web-Anwendungen und a...Endeca Web Acquisition Toolkit - Integration verteilter Web-Anwendungen und a...
Endeca Web Acquisition Toolkit - Integration verteilter Web-Anwendungen und a...Harald Erb
 
Oracle AVDF in der Praxis
Oracle AVDF in der PraxisOracle AVDF in der Praxis
Oracle AVDF in der PraxisTrivadis
 
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...Carsten Muetzlitz
 
Oracle Datenbank Manageability
Oracle Datenbank ManageabilityOracle Datenbank Manageability
Oracle Datenbank Manageabilityoraclebudb
 
Oracle Security Übersicht
Oracle Security ÜbersichtOracle Security Übersicht
Oracle Security Übersichtoraclebudb
 
Sensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle DatenbankSensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle DatenbankUlrike Schwinn
 
Dv 20 sdlc_oss_automation
Dv 20 sdlc_oss_automationDv 20 sdlc_oss_automation
Dv 20 sdlc_oss_automationTorsten Glunde
 
Einführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle DeutschlandEinführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle DeutschlandCarsten Muetzlitz
 
Sichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMSichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMOPTIMAbit GmbH
 
Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Sopra Steria Consulting
 

Ähnlich wie Implementierbare Sicherheitsregeln im Enterprise Manager (20)

DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
 
Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!Big Data Discovery + Analytics = Datengetriebene Innovation!
Big Data Discovery + Analytics = Datengetriebene Innovation!
 
Windows as a Service - Herausforderungen ohne Windows Desktop Analytics
Windows as a Service - Herausforderungen ohne Windows Desktop AnalyticsWindows as a Service - Herausforderungen ohne Windows Desktop Analytics
Windows as a Service - Herausforderungen ohne Windows Desktop Analytics
 
20181120_DOAG_OracleNoSQLDB_KPatenge
20181120_DOAG_OracleNoSQLDB_KPatenge20181120_DOAG_OracleNoSQLDB_KPatenge
20181120_DOAG_OracleNoSQLDB_KPatenge
 
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
 
Machine Learning
Machine LearningMachine Learning
Machine Learning
 
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ..."Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
"Erfolgreiche Strategien zur Migration veralteter Software" Präsentation vom ...
 
Oracle Mobile Cloud Service im Einsatz
Oracle Mobile Cloud Service im EinsatzOracle Mobile Cloud Service im Einsatz
Oracle Mobile Cloud Service im Einsatz
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
 
Endeca Web Acquisition Toolkit - Integration verteilter Web-Anwendungen und a...
Endeca Web Acquisition Toolkit - Integration verteilter Web-Anwendungen und a...Endeca Web Acquisition Toolkit - Integration verteilter Web-Anwendungen und a...
Endeca Web Acquisition Toolkit - Integration verteilter Web-Anwendungen und a...
 
Oracle AVDF in der Praxis
Oracle AVDF in der PraxisOracle AVDF in der Praxis
Oracle AVDF in der Praxis
 
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
 
Oracle Datenbank Manageability
Oracle Datenbank ManageabilityOracle Datenbank Manageability
Oracle Datenbank Manageability
 
Oracle Security Übersicht
Oracle Security ÜbersichtOracle Security Übersicht
Oracle Security Übersicht
 
Sensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle DatenbankSensitive Daten in der Oracle Datenbank
Sensitive Daten in der Oracle Datenbank
 
Dv 20 sdlc_oss_automation
Dv 20 sdlc_oss_automationDv 20 sdlc_oss_automation
Dv 20 sdlc_oss_automation
 
Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)
 
Einführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle DeutschlandEinführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle Deutschland
 
Sichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMSichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMM
 
Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting
 

Implementierbare Sicherheitsregeln im Enterprise Manager

  • 1. Security Day 2015 Umfassende Datenbank-Sicherheit mit Enterprise Manager Martin Obst Systemberatung Potsdam Oracle Direct
  • 2. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | Share with Bitte Fragen über den WebEx-Chat #ODSD2015 2OracleDirect Security Day 2015
  • 3. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | Safe Harbor Statement The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle. 3Oracle Direct Security Day, 16. April 2015
  • 4. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 Oracle Enterprise Manager als Werkzeug bei Strategie-Definition, Schwachstellen- Analyse und deren kontinuierlicher Umsetzung Datenbank-SICHERHEIT als Prozess Sicherheitsprozess Initialaktivitäten Laufende Aktivitäten Umsetzungen / Betrieb Prozesse Sicherheitsstrategie Risikomanagement Sicherheitsmgmt. Schutz Informationswerte (Vetraulichkeit, Integrität) Sicherstellung der Verfügbarkeit Disaster Recovery /Business Continuity Planning Monitoring Auditing Bereiche Technisch Physisch Organisatorisch Systeme (HW& OS) Netze Software Daten Build Operate Ablauf Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung Risikomanagement Security Policy, Standards & Procedures Sicherheits- organisation Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Sicherheitszonen Zugangskontrollen Zutrittsicherungs- sytemeFirewalls Netzwerkdesign Clustering Netzwerkmgmt. Virenschutz- management Sichere OS System- Aktualisierung SW-Design Verbindlichkeit Datenklassifik. Datenträger System- performance Monitoring CM Gebäudesicherheit Personelle Sicherheit Arbeitsplatz Schutz vor Elem- entarereignissen Notfallpläne (Contingency Plans) Intrusion Detection Systems Gebäude- überwachung Videoaufzeichnung Activity Logging Sicherheitsaudits Vulnerability Checks Sicherheitsmanagement Security Vision, Strategie für den Umgang mit unternehmenskritischen Infrastrukturen und Informationswerten Governance HR-Prozesse Betriebl. Praktiken Awareness Training Backup, Backup-Facitilites Logging, Evaluierung, Behandlung von Sicherheitsvorfällen System Recovery Informationssicherheit ist ein Prozess, der alle Teile eines Unternehmens be- trifft. Es reicht nicht zu denken: “Die IT Abteilung wird mich schon schützen” 4 Compliance Frameworks im Enterprise Manager sicherheits- relevante Messpunkte • Bestimmung (initial) • Überwachung / Auditierung (kontinuierl.) • Behebung Hot-Backup Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung Security Policy, Standards & Procedures Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Virenschutz- management Sichere OS System- Aktualisierung Datenklassifik. Datenträger System- performance Monitoring CM Sicherheitsaudits Vulnerability Checks Logging, Evaluierung, Behandlung von Sicherheitsvorfällen
  • 5. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | Wie ? Konkret ?! • Welche Datenbanken sind betroffen? • Welche Sicherheits-Lücken bestehen? • Wie kritisch stellen sich diese Situationen dar? • Wer beschäftigt sich mit der Härtung der Datenbanken? – Wieviel Arbeitszeit wird für die Vorbereitung verwendet? (Schulung / Internet) – Wieviel Arbeitszeit wird für die Analyse verwendet? (eigene Umgebung) – Wieviel Arbeitszeit wird für die Schließung von Lücken verwendet? Oracle Direct Security Day, 16.04.2015 5 Viel Aufwand von der initialen Definition bis zur konkreten Umsetzung
  • 6. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 Oracle Enterprise Manager als Werkzeug bei Strategie-Definition, Schwachstellen- Analyse und deren kontinuierlicher Umsetzung SICHERHEIT für Ihre Datenbanken Sicherheitsprozess Initialaktivitäten Laufende Aktivitäten Umsetzungen / Betrieb Prozesse Sicherheitsstrategie Risikomanagement Sicherheitsmgmt. Schutz Informationswerte (Vetraulichkeit, Integrität) Sicherstellung der Verfügbarkeit Disaster Recovery /Business Continuity Planning Monitoring Auditing Bereiche Technisch Physisch Organisatorisch Systeme (HW& OS) Netze Software Daten Build Operate Ablauf Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung Risikomanagement Security Policy, Standards & Procedures Sicherheits- organisation Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Sicherheitszonen Zugangskontrollen Zutrittsicherungs- sytemeFirewalls Netzwerkdesign Clustering Netzwerkmgmt. Virenschutz- management Sichere OS System- Aktualisierung SW-Design Verbindlichkeit Datenklassifik. Datenträger System- performance Monitoring CM Gebäudesicherheit Personelle Sicherheit Arbeitsplatz Schutz vor Elem- entarereignissen Notfallpläne (Contingency Plans) Intrusion Detection Systems Gebäude- überwachung Videoaufzeichnung Activity Logging Sicherheitsaudits Vulnerability Checks Sicherheitsmanagement Security Vision, Strategie für den Umgang mit unternehmenskritischen Infrastrukturen und Informationswerten Governance HR-Prozesse Betriebl. Praktiken Awareness Training Backup, Backup-Facitilites Logging, Evaluierung, Behandlung von Sicherheitsvorfällen System Recovery Informationssicherheit ist ein Prozess, der alle Teile eines Unternehmens be- trifft. Es reicht nicht zu denken: “Die IT Abteilung wird mich schon schützen” 6 Compliance Frameworks im Enterprise Manager sicherheits- relevante Punkte • Bestimmung (initial) • Überwachung / Auditierung (kontinuierl.) • Behebung Hot-Backup Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung Security Policy, Standards & Procedures Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Virenschutz- management Sichere OS System- Aktualisierung Datenklassifik. Datenträger System- performance Monitoring CM Sicherheitsaudits Vulnerability Checks Logging, Evaluierung, Behandlung von Sicherheitsvorfällen • Anwendung von Best Practices auf die eigene konkrete System-Umgebung • Risiko-Bewertungen verschieden • Metriken identisch • Compliance Frameworks vor-implementiert • Anwendung je nach individueller Bewertung • Überwachung / Auditierung identisch
  • 7. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | Compliance Frameworks im Enterprise Manager • „normale“ Basis-Compliance Standards – Basic Security Configuration For Oracle Cluster DB und Oracle Cluster DB Instance – Basic Security Configuration For Oracle DB – Basic Security Configuration For Oracle Listener – Basic Security Configuration For Oracle Pluggable Database – 909 Compliance Standard Regeln für Basis-Sicherheit • weitere mitgelieferte Compliance Frameworks (Sicherheit): – PCI DSS (Version 2.0) (nur Beispiel) – Oracle Engineered Systems Compliance – Oracle Generic Compliance Framework Oracle Direct Security Day, 16.04.2015 7 Mehrwerte „out of the box“
  • 8. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | Und noch ein weiteres Compliance Framework • Security Technical Implementation Guides • = direkt anwendbare Prozeduren zur Feststellung des Status • bereitgestellt durch Technologie-Hersteller (u.A. Oracle) für US Defense Information Systems Agency Oracle Direct Security Day, 16.04.2015 8 Speziell für höchste Sicherheits-Ansprüche Quelle: http://iase.disa.mil/stigs/app-security/database/Pages/index.aspx
  • 9. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | Beispiel für eine STIG-Regel Group ID (Vulid): V-2531 Group Title: Oracle OS_AUTHENT_PREFIX parameter Rule ID: SV-24902r2_rule Severity: CAT III Rule Version (STIG-ID): DO3447-ORACLE11 Rule Title: The Oracle OS_AUTHENT_PREFIX parameter should be changed from the default value of OPS$. Vulnerability Discussion: The OS_AUTHENT_PREFIX parameter defines the prefix for database account names to be identified EXTERNALLY by the operating system. When set to the special value of OPS$, accounts defined with the prefix of OPS$ may authenticate either with a password or with OS authentication. Use of more than one authentication method to access a single account results in a loss of accountability, that is, it is similar to a shared account. Setting this parameter to a value other than OPS$ prevents a shared usage of a single account. Responsibility: Database Administrator IAControls: IAGA-1 Check Content: From SQL*Plus: select value from v$parameter where name = 'os_authent_prefix'; If the value returned is OPS$ or ops$, this is a Finding. Fix Text: Specify an operating system authenticated username prefix other than OPS$. From SQL*Plus: alter system set os_authent_prefix = [prefix value] scope = spfile; Compliant selections for [prefix value] are: a null string ('') a text value other than 'OPS$' The above SQL*Plus command will set the parameter to take effect at next system startup. Oracle Direct Security Day, 16.04.2015 9 konkrete Nutzung ohne Hilfsmittel aufwendig
  • 10. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | STIGs im Enterprise Manager • Vorarbeit bereits erledigt – 92 Regeln für sichere Installation – 96 Regeln für sichere Konfiguration – „neues Rad“ notwendig für mein Unternehmen ? • andere Frage: Wie funktioniert die effektive Anwendung des neuen Standards basierend auf dem US Defense Information Systems Agency (DISA) Security Technical Implementation Guide (STIG)? • a u t o m a t i s i e r t mit dem Oracle Enterprise Manager ! Oracle Direct Security Day, 16.04.2015 10 Konzentration auf die Oracle Datenbank
  • 11. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | STIGs im Enterprise Manager = direkt anwendbare Prozeduren zur Feststellung des Status – automatische Ausführung der geskripteten Prüfung der Umgebungen • Single Instance Datenbank • Cluster Datenbank (Real Application Clusters) • Listener – Darstellung in Compliance Dashboard • Kategorisierung nach Schweregrad • Berichte über BI Publisher (out of box oder selbst definiert) – detaillierte Empfehlungen für jedes einzelne Ziel Oracle Direct Security Day, 16.04.2015 11 Viel mehr als nur Checklisten
  • 12. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | D E M O Oracle Direct Security Day, 16.04.2015 12
  • 13. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015 Oracle Enterprise Manager als Werkzeug bei Strategie-Definition, Schwachstellen- Analyse und deren kontinuierlicher Umsetzung SICHERHEIT für Ihre Datenbanken Sicherheitsprozess Initialaktivitäten Laufende Aktivitäten Umsetzungen / Betrieb Prozesse Sicherheitsstrategie Risikomanagement Sicherheitsmgmt. Schutz Informationswerte (Vetraulichkeit, Integrität) Sicherstellung der Verfügbarkeit Disaster Recovery /Business Continuity Planning Monitoring Auditing Bereiche Technisch Physisch Organisatorisch Systeme (HW& OS) Netze Software Daten Build Operate Ablauf Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung Risikomanagement Security Policy, Standards & Procedures Sicherheits- organisation Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Sicherheitszonen Zugangskontrollen Zutrittsicherungs- sytemeFirewalls Netzwerkdesign Clustering Netzwerkmgmt. Virenschutz- management Sichere OS System- Aktualisierung SW-Design Verbindlichkeit Datenklassifik. Datenträger System- performance Monitoring CM Gebäudesicherheit Personelle Sicherheit Arbeitsplatz Schutz vor Elem- entarereignissen Notfallpläne (Contingency Plans) Intrusion Detection Systems Gebäude- überwachung Videoaufzeichnung Activity Logging Sicherheitsaudits Vulnerability Checks Sicherheitsmanagement Security Vision, Strategie für den Umgang mit unternehmenskritischen Infrastrukturen und Informationswerten Governance HR-Prozesse Betriebl. Praktiken Awareness Training Backup, Backup-Facitilites Logging, Evaluierung, Behandlung von Sicherheitsvorfällen System Recovery Informationssicherheit ist ein Prozess, der alle Teile eines Unternehmens be- trifft. Es reicht nicht zu denken: “Die IT Abteilung wird mich schon schützen” 13 Compliance Frameworks im Enterprise Manager sicherheits- relevante Punkte • Bestimmung (initial) • Überwachung / Auditierung (kontinuierl.) • Behebung Hot-Backup Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung Security Policy, Standards & Procedures Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Virenschutz- management Sichere OS System- Aktualisierung Datenklassifik. Datenträger System- performance Monitoring CM Sicherheitsaudits Vulnerability Checks Logging, Evaluierung, Behandlung von Sicherheitsvorfällen • Anwendung von Best Practices auf die eigene konkrete System-Umgebung • Risiko-Bewertungen verschieden • Metriken identisch • Compliance Frameworks vor-implementiert • Anwendung je nach individueller Bewertung • Überwachung / Auditierung identisch • Aufdeckung und Behebung von Sicherheitslücken
  • 14. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 14 OD Sec Day: Die heutige Tages-Agenda OracleDirect Security Day 2015 • 10:00 Uhr: Negib Marhoul Zugunsten einer ganzheitlichen Sicherheit – Security by Design • 11:15 Uhr: Martin Obst Von Oracle entwickelt, im Enterprise Manager bereits integriert und direkt nutzbar • 13:00 Uhr: Carsten Mützlitz Typische Angriffsszenarien und deren Auswirkungen Der Security Smoke Test • 14:15 Uhr: Michal Soszynski Störungsfreiheit kritischer IT- Infrastrukturen • 15:30 Uhr: Suvad Sahovic Eine geniale Lösung für das Benutzermanagement in kurzer Zeit implementiert • 16:45 Uhr: Wolfgang Hennes Sichere Speicherung von Daten in der Cloud und Live-Hack auf eine ungeschützte Datenbank