SlideShare uma empresa Scribd logo

Hardening Oracle Databases (German)

Carsten Muetzlitz
Carsten Muetzlitz

This short presentation gives an overview of possibilities how to harden an Oracle database. This presentation is in German.

Tecnologia
1 de 16
Baixar para ler offline
DTCC Pre-Sales “DB Hardening” und Oracle Security Pre- Version 1.0 Carsten Mützlitz
Grundbedrohungen der IT sind nachwievor gegeben Vorbemerkungen Verlust der Vertraulichkeit Verlust der Verfügbarkeit - Netzverkehr abhören - Ausfall (sniffer attacks) - Zerstörung - „Knacken“ kryptographischer Schlüssel und Verfahren - Unterbrechung von Diensten (code breaking/key recovery) (denial of service) durch: - Angriffe auf Kennwörter - ping of death (password guessing/ Mobile Teleworking - ICMP attacks cracking) Computing INTERNET - SYN flooding, etc. - Falsche Rechte-Konzept Corporate Corporate Network Network - Verarbeitungs-, Übertragungs- - Rechtsverbindlichkeit und Speicherfehler elektronisch abgeschlossener Verträge, wie z.B. per: - Manipulation von Daten z. B. • Schlagwörter die als - Fax, E-Mail durch spoofing attacks: Bedrohung eingestuft - ip spoofing (IP fälschen) werden sind: - Electronic Commerce • Hacker, Fremdpersonal, - Gesetzesauflagen - DNS spoofing (Fälschung eigenes Personal, von DNS-Einträgen) - Risiko-Früherkennung • Fehler, Ausfälle, - web spoofing (Fälschen • Fernwartung und - Authentizitätscheck (Who) von Webseiten) • Wirtschaftsspionage Verlust der Integrität • u.v.m. Verlust der Verbindlichkeit Eine Überwachung ist notwendig, um zu erkennen, ob eine Grundbedrohung ein Risiko darstellt.
IT wird HEUTE in das Risikomanagement einbezogen Darüber besteht heute weitgehend Konsens Die IT als Bestandteil des Risikomanagements • Die zunehmende Technologieabhängigkeit führt dazu, dass die IT-Systeme in die Risikobetrachtung miteinbezogen werden • IT Risikofaktoren sind Auswirkungen/Maßnahmen • Sicherheit: Angriffe, Schadcode, Aktuelle Hard/Software, Regularien, moderne Unautorisierte Zugriffe Sicherheitseinrichtungen • Verfügbarkeit: Ausfälle, Downtimes, Redundante Auslegung der Systeme, Wartung etc. Backup/Recovery, Spiegelung, Virtualisierung • Performance: Produktivität der Skalierung von IT Systemen, Nutzung von Endanwender/Kunden, Kundenverluste Peaks, Grids • Compliance: Einhaltung von Aufbewahrungspflicht, Sorgfaltsanforderungen, behördlichen und sonstigen Vorschriften Überwachung, Kontrolle • Erweiterte Haftung: KontraG, Risikofrüherkennung, IT Infrastruktur muss alle Transparenzschaffung im Jahresbericht Anforderungen erfüllen, Prozesse • Ansätze des IT-Service Managements ITIL, ISO/IEC 17799, ISO 2000, Cobit sollen unterstützen IT Sicherheit/Compliance System Governance Automatisierte Risikomanagement Prozesse können unterstützen: Analyse, Bewertung, Minimierung, Kontrolle, Verfolgung.
Einführung in das Härten von Datenbanken • Was genau bedeutet „HÄRTEN“? • Welche Tools stehen zur Verfügung? • Was genau erreicht man durch das „HÄRTEN“? • Oracle Security Lösungen
Härten = Die Sicherheit eines Systems erhöhen Kleine Auswahl von Möglichkeiten Härtung Erläuterung • Unter Härten versteht man, die Sicherheit eines Systems zu erhöhen. Bas BSI sagt: Definition „...die Entfernung aller Softwarebestandteile und Funktionen, die zur Erfüllung der vorgesehenen Aufgabe durch das Programm nicht zwingend notwendig sind...“. • Reduktion der Möglichkeiten zur Ausnutzung von Verwundbarkeiten • Minimierung der möglichen Angriffsmethoden • Beschränkung der einem Angreifer nach einem erfolgreichen Angriff zur Verfügung Ziele stehenden Werkzeuge • Minimierung der einem Angreifer nach einem erfolgreichen Angriff zur Verfügung stehenden Privilegien • Erhöhung der Wahrscheinlichkeit der Entdeckung eines erfolgreichen Angriffs • Nebenziel: Komplexität verringern • Entfernung/Deaktivierung von für den Betrieb nicht zwingend erforderlichen Softwarekomponenten • Verwendung unprivilegierter Benutzerkonten zur Ausführung von Server-Prozessen • Anpassung von Dateisystemrechten und ihrer Vererbung • Verwendung von chroot oder anderen Jails für die Ausführung von Software Methoden • Verwendung von Mandatory Access Control • Nutzung von Verschlüsselung, z.B. für die Datenübertragung • Verwendung möglichst fehlerfreier Software ohne bekannte Verwundbarkeiten • Backup Recovery, Deployment, Testing • Einheitliche Admin-Umgebung, Überwachung, SLAs
Einführung in das Härten von Datenbanken • Was genau bedeutet „HÄRTEN“? • Welche Tools stehen zur Verfügung? • Was genau erreicht man durch das „HÄRTEN“? • Oracle Security Lösungen
Welche Tools existieren für das Härten von DBs? Kleine Auswahl von Möglichkeiten Wissen Dokumente und Checklisten Tools • Wissen schützt immer • Im Internet vorhanden • Security Scanner • Fortbildungen • Oracle Standard • 3rd Party sind Pflicht Listen • Oracle Tools Egal welche Tools man nutzt. Das Härten von DB-Systemen ist ein manueller Vorgang, der jedoch durch den Einsatz von Tools unterstützt UNBREAKABLE DATABASE werden kann. Das Härten von DB-Systemen erfordert ein umfangreiches Wissen.
Dokumente und Checklisten In der virtuellen Welt stehen verschiedene Dokumente zur Verfügung Dokumente Erläuterung • Oracle Standard Dokumentation 11g Security Guide, Sec. Checklist 10g Oracle • Oracle Projekt Lockdown (Oracle Magazin): • Technical Whitepaper: „Security Checkliste“ : • Zahlreiche Blogs von Security Experten Öffentlich (privat) • Internet googeln • Bundesamt für Sicherheit in der Informationstechnik • Beratungsunternehmen 3rd Parties (Business) • Softwarehersteller • Oracle Partnerunternehmen • Freiberufliche Berater Oracle liefert einigen Content ...
Oracle Tool: Der Enterprise Manager Configuration Management Pack
Oracle Configuration Management Schwachstellen Begutachtung & Sichere Konfiguration Monitor Discover Classify Assess Prioritize Fix Monitor Asset Configuration Policy Vulnerability Analysis & Management Management Management Management Analytics & Audit • Datenbank Erkenntnisse darstellen (Reporting) • Andauerndes Scanning von 375+ Best-Practices und Industriestandards (“erweiterbar”) • Aufdecken und verhindern unautorisierte Konfigurationsänderungen • Änderungsmanagement Compliance Reports 11
Einführung in das Härten von Datenbanken • Was genau bedeutet „HÄRTEN“? • Welche Tools stehen zur Verfügung? • Was genau erreicht man durch das „HÄRTEN“? • Oracle Security Lösungen
Das HÄRTEN vermindert das Risiko Ein Risiko bewertet man durch eine Bedrohungs- und Risikoanalyse Risiko vs. Kosten Hoch Risiko ?Nicht gehärtetes System? ?Gehärtetes System? Geringe Kosten Hohe Kosten Hohes Risiko geringes Risiko Gering Kosten Hoch Ziel: Unwahrscheinlichkeit erhöhen, dass Risiko eintritt, bzw. die Folgen abgemildert werden. Fazit: Risiken erkennt man durch Überwachnung!!!
Einführung in das Härten von Datenbanken • Was genau bedeutet „HÄRTEN“? • Welche Tools stehen zur Verfügung? • Was genau erreicht man durch das „HÄRTEN“? • Oracle Security Lösungen
Oracle Security Lösungen Zur Maßnahmenumsetzung und Überwachung Verschlüsselung / Maskierung • Oracle Advanced Security • Oracle Secure Backup • Oracle Data Masking Zugriffskontrolle • Oracle Database Vault • Oracle Label Security Audit und Tracking • Oracle Audit Vault • Oracle Configuration Management • Oracle Total Recall Monitoring und Blocking • Oracle Database Firewall
Digitally signed by Carsten CarstenMützlitz DN: cn=Carsten Mützlitz, c=DE, o=Oracle Deutschland, ou=Systemberatung, email=carsten.muetzlitz@oracl Mützlitz e.com Date: 2011.04.28 08:28:03 +01'00'

Recomendados

Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue Architekturen
ICT Economic Impact
 
Präsentation der IBS Schreiber GmbH
Präsentation der IBS Schreiber GmbHPräsentation der IBS Schreiber GmbH
Präsentation der IBS Schreiber GmbH
IBS Schreiber GmbH
 
Astaro Security Wall - Sechs Schritte zur sicheren IT
Astaro Security Wall - Sechs Schritte zur sicheren ITAstaro Security Wall - Sechs Schritte zur sicheren IT
Astaro Security Wall - Sechs Schritte zur sicheren IT
netlogix
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter
A. Baggenstos & Co. AG
 
Web Application Security
Web Application SecurityWeb Application Security
Web Application Security
Jonathan Weiss
 
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
ONE Schweiz
 
It_management_saas_overview_presentation_(external-german)
It_management_saas_overview_presentation_(external-german)It_management_saas_overview_presentation_(external-german)
It_management_saas_overview_presentation_(external-german)
Liane_Schmidt
 
Cryption proflyer de
Cryption proflyer deCryption proflyer de
Cryption proflyer de
cynapspro GmbH
 

Recomendados

Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue Architekturen
ICT Economic Impact
 
Präsentation der IBS Schreiber GmbH
Präsentation der IBS Schreiber GmbHPräsentation der IBS Schreiber GmbH
Präsentation der IBS Schreiber GmbH
IBS Schreiber GmbH
 
Astaro Security Wall - Sechs Schritte zur sicheren IT
Astaro Security Wall - Sechs Schritte zur sicheren ITAstaro Security Wall - Sechs Schritte zur sicheren IT
Astaro Security Wall - Sechs Schritte zur sicheren IT
netlogix
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter
A. Baggenstos & Co. AG
 
Web Application Security
Web Application SecurityWeb Application Security
Web Application Security
Jonathan Weiss
 
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im FirmenumfeldReto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld
ONE Schweiz
 
It_management_saas_overview_presentation_(external-german)
It_management_saas_overview_presentation_(external-german)It_management_saas_overview_presentation_(external-german)
It_management_saas_overview_presentation_(external-german)
Liane_Schmidt
 
Cryption proflyer de
Cryption proflyer deCryption proflyer de
Cryption proflyer de
cynapspro GmbH
 
Projekte & Objekte 01 2010
Projekte & Objekte 01 2010Projekte & Objekte 01 2010
Projekte & Objekte 01 2010
projekteobjekte
 
htaccess SEO Tipps
htaccess SEO Tippshtaccess SEO Tipps
htaccess SEO Tipps
Malte Landwehr
 
9 10
9 109 10
9 10
Sakunthala Dhanasekaran
 
Marke Gott - Die Wiedergeburt in Lebenswelten
Marke Gott - Die Wiedergeburt in LebensweltenMarke Gott - Die Wiedergeburt in Lebenswelten
Marke Gott - Die Wiedergeburt in Lebenswelten
Ostfalia - University of Applied Sciences; Media Management
 
Social Media für KMUs - Konkreter Nutzen oder Verschwendung von Ressourcen
Social Media für KMUs - Konkreter Nutzen oder Verschwendung von RessourcenSocial Media für KMUs - Konkreter Nutzen oder Verschwendung von Ressourcen
Social Media für KMUs - Konkreter Nutzen oder Verschwendung von Ressourcen
VCAT Consulting GmbH
 
Web 2
Web 2Web 2
Web 2
Elizabethalbelda82
 
NewTeacher
NewTeacherNewTeacher
NewTeacher
ppoosiri
 
Transparenz Studien 2011+2012 Klenk & Hoursch
Transparenz Studien 2011+2012 Klenk & HourschTransparenz Studien 2011+2012 Klenk & Hoursch
Transparenz Studien 2011+2012 Klenk & Hoursch
Dr. Volker Klenk
 
Rau innsbruck gut_informiert
Rau innsbruck gut_informiertRau innsbruck gut_informiert
Rau innsbruck gut_informiert
Ostfalia - University of Applied Sciences; Media Management
 
Nistagmus
NistagmusNistagmus
Nistagmus
kebaplik
 
Margelhs1
Margelhs1Margelhs1
Margelhs1
kabbada
 
Slideshare
SlideshareSlideshare
Slideshare
nathaliebb
 
PROYECTO DE LEY DE REDISTRIBUCIÓN DEL GASTO SOCIAL
PROYECTO DE LEY DE REDISTRIBUCIÓN DEL GASTO SOCIALPROYECTO DE LEY DE REDISTRIBUCIÓN DEL GASTO SOCIAL
PROYECTO DE LEY DE REDISTRIBUCIÓN DEL GASTO SOCIAL
Andrea Mâlquïn Maura
 
Pmcdsp v5
Pmcdsp v5Pmcdsp v5
Pmcdsp v5
Ricardo Gidi
 
Innovationen durch Netzwerke - Beispiele aus Niedersachsen
Innovationen durch Netzwerke - Beispiele aus NiedersachsenInnovationen durch Netzwerke - Beispiele aus Niedersachsen
Innovationen durch Netzwerke - Beispiele aus Niedersachsen
Mario Leupold
 
Groups 2010.02: Offenheit des Android-Betriebssystems (Digital Sustainability)
Groups 2010.02: Offenheit des Android-Betriebssystems (Digital Sustainability)Groups 2010.02: Offenheit des Android-Betriebssystems (Digital Sustainability)
Groups 2010.02: Offenheit des Android-Betriebssystems (Digital Sustainability)
Marcus Dapp
 
Game domain b1b
Game domain b1bGame domain b1b
Game domain b1b
Pietro Caruso
 
40 Thesen Unternehmenskommunikation, 2005
40 Thesen Unternehmenskommunikation, 200540 Thesen Unternehmenskommunikation, 2005
40 Thesen Unternehmenskommunikation, 2005
Dr. Volker Klenk
 
Groups 2010.05: Google Street View Debatte (Digital Sustainability)
Groups 2010.05: Google Street View Debatte (Digital Sustainability)Groups 2010.05: Google Street View Debatte (Digital Sustainability)
Groups 2010.05: Google Street View Debatte (Digital Sustainability)
Marcus Dapp
 
Tesco Case Study
Tesco Case StudyTesco Case Study
Tesco Case Study
Kolle Rebbe GmbH
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der Wissenschaft
Fraunhofer AISEC
 
Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)
Carsten Muetzlitz
 

Mais conteúdo relacionado

Destaque

NewTeacher
NewTeacherNewTeacher
NewTeacher
ppoosiri
 
Transparenz Studien 2011+2012 Klenk & Hoursch
Transparenz Studien 2011+2012 Klenk & HourschTransparenz Studien 2011+2012 Klenk & Hoursch
Transparenz Studien 2011+2012 Klenk & Hoursch
Dr. Volker Klenk
 
Margelhs1
Margelhs1Margelhs1
Margelhs1
kabbada
 
PROYECTO DE LEY DE REDISTRIBUCIÓN DEL GASTO SOCIAL
PROYECTO DE LEY DE REDISTRIBUCIÓN DEL GASTO SOCIALPROYECTO DE LEY DE REDISTRIBUCIÓN DEL GASTO SOCIAL
PROYECTO DE LEY DE REDISTRIBUCIÓN DEL GASTO SOCIAL
Andrea Mâlquïn Maura
 
40 Thesen Unternehmenskommunikation, 2005
40 Thesen Unternehmenskommunikation, 200540 Thesen Unternehmenskommunikation, 2005
40 Thesen Unternehmenskommunikation, 2005
Dr. Volker Klenk
 

Destaque (20)

Projekte & Objekte 01 2010
Projekte & Objekte 01 2010Projekte & Objekte 01 2010
Projekte & Objekte 01 2010
 
htaccess SEO Tipps
htaccess SEO Tippshtaccess SEO Tipps
htaccess SEO Tipps
 
9 10
9 109 10
9 10
 
Marke Gott - Die Wiedergeburt in Lebenswelten
Marke Gott - Die Wiedergeburt in LebensweltenMarke Gott - Die Wiedergeburt in Lebenswelten
Marke Gott - Die Wiedergeburt in Lebenswelten
 
Social Media für KMUs - Konkreter Nutzen oder Verschwendung von Ressourcen
Social Media für KMUs - Konkreter Nutzen oder Verschwendung von RessourcenSocial Media für KMUs - Konkreter Nutzen oder Verschwendung von Ressourcen
Social Media für KMUs - Konkreter Nutzen oder Verschwendung von Ressourcen
 
Web 2
Web 2Web 2
Web 2
 
NewTeacher
NewTeacherNewTeacher
NewTeacher
 
Transparenz Studien 2011+2012 Klenk & Hoursch
Transparenz Studien 2011+2012 Klenk & HourschTransparenz Studien 2011+2012 Klenk & Hoursch
Transparenz Studien 2011+2012 Klenk & Hoursch
 
Rau innsbruck gut_informiert
Rau innsbruck gut_informiertRau innsbruck gut_informiert
Rau innsbruck gut_informiert
 
Nistagmus
NistagmusNistagmus
Nistagmus
 
Margelhs1
Margelhs1Margelhs1
Margelhs1
 
Slideshare
SlideshareSlideshare
Slideshare
 
PROYECTO DE LEY DE REDISTRIBUCIÓN DEL GASTO SOCIAL
PROYECTO DE LEY DE REDISTRIBUCIÓN DEL GASTO SOCIALPROYECTO DE LEY DE REDISTRIBUCIÓN DEL GASTO SOCIAL
PROYECTO DE LEY DE REDISTRIBUCIÓN DEL GASTO SOCIAL
 
Pmcdsp v5
Pmcdsp v5Pmcdsp v5
Pmcdsp v5
 
Innovationen durch Netzwerke - Beispiele aus Niedersachsen
Innovationen durch Netzwerke - Beispiele aus NiedersachsenInnovationen durch Netzwerke - Beispiele aus Niedersachsen
Innovationen durch Netzwerke - Beispiele aus Niedersachsen
 
Groups 2010.02: Offenheit des Android-Betriebssystems (Digital Sustainability)
Groups 2010.02: Offenheit des Android-Betriebssystems (Digital Sustainability)Groups 2010.02: Offenheit des Android-Betriebssystems (Digital Sustainability)
Groups 2010.02: Offenheit des Android-Betriebssystems (Digital Sustainability)
 
Game domain b1b
Game domain b1bGame domain b1b
Game domain b1b
 
40 Thesen Unternehmenskommunikation, 2005
40 Thesen Unternehmenskommunikation, 200540 Thesen Unternehmenskommunikation, 2005
40 Thesen Unternehmenskommunikation, 2005
 
Groups 2010.05: Google Street View Debatte (Digital Sustainability)
Groups 2010.05: Google Street View Debatte (Digital Sustainability)Groups 2010.05: Google Street View Debatte (Digital Sustainability)
Groups 2010.05: Google Street View Debatte (Digital Sustainability)
 
Tesco Case Study
Tesco Case StudyTesco Case Study
Tesco Case Study
 

Semelhante a Hardening Oracle Databases (German)

Splunk corporate overview German 2012
Splunk corporate overview German 2012Splunk corporate overview German 2012
Splunk corporate overview German 2012
jenny_splunk
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
Carsten Cordes
 
Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC
 
+ Self Defending Network V2
+ Self Defending Network V2+ Self Defending Network V2
+ Self Defending Network V2
Werner Buhre
 
Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse
Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse
Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse
QAware GmbH
 
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
QAware GmbH
 

Semelhante a Hardening Oracle Databases (German) (20)

Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der Wissenschaft
 
Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)Oracle Information Rights Management Introduction (German)
Oracle Information Rights Management Introduction (German)
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
 
Splunk corporate overview German 2012
Splunk corporate overview German 2012Splunk corporate overview German 2012
Splunk corporate overview German 2012
 
Compliance needs transparency
Compliance needs transparencyCompliance needs transparency
Compliance needs transparency
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
 
Datenrettung in Virtuellen Umgebungen
Datenrettung in Virtuellen UmgebungenDatenrettung in Virtuellen Umgebungen
Datenrettung in Virtuellen Umgebungen
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Security
 
Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativ
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
 
CryptionPro HDD Flyer deutsch
CryptionPro HDD Flyer deutschCryptionPro HDD Flyer deutsch
CryptionPro HDD Flyer deutsch
 
CryptionPro HDD Flyer deutsch
CryptionPro HDD Flyer deutschCryptionPro HDD Flyer deutsch
CryptionPro HDD Flyer deutsch
 
Die Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP SicherheitDie Top 5 Mythen der SAP Sicherheit
Die Top 5 Mythen der SAP Sicherheit
 
+ Self Defending Network V2
+ Self Defending Network V2+ Self Defending Network V2
+ Self Defending Network V2
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
 
Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse
Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse
Observability: Der Schlüssel für Threat Detection, Mitigation und Analyse
 
Oracle Cloud
Oracle CloudOracle Cloud
Oracle Cloud
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
 
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
Enterprise-level Kubernetes Security mit Open Source Tools - geht das?
 
LineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude
LineMetrics Data-as-a-Service - Monitoring für BestandsgebäudeLineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude
LineMetrics Data-as-a-Service - Monitoring für Bestandsgebäude
 

Mais de Carsten Muetzlitz

Mais de Carsten Muetzlitz (8)

Einführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle DeutschlandEinführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle Deutschland
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
 
Secure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin ObstSecure Technical Implementation Guide for databases by Martin Obst
Secure Technical Implementation Guide for databases by Martin Obst
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal Soszynski
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
 
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
 
Oracle Secure Patching Concept
Oracle Secure Patching ConceptOracle Secure Patching Concept
Oracle Secure Patching Concept
 
Oracle Application Express enabled to use central User Management (LDAP) (in ...
Oracle Application Express enabled to use central User Management (LDAP) (in ...Oracle Application Express enabled to use central User Management (LDAP) (in ...
Oracle Application Express enabled to use central User Management (LDAP) (in ...
 

Hardening Oracle Databases (German)

  • 1.
  • 2. DTCC Pre-Sales “DB Hardening” und Oracle Security Pre- Version 1.0 Carsten Mützlitz
  • 3. Grundbedrohungen der IT sind nachwievor gegeben Vorbemerkungen Verlust der Vertraulichkeit Verlust der Verfügbarkeit - Netzverkehr abhören - Ausfall (sniffer attacks) - Zerstörung - „Knacken“ kryptographischer Schlüssel und Verfahren - Unterbrechung von Diensten (code breaking/key recovery) (denial of service) durch: - Angriffe auf Kennwörter - ping of death (password guessing/ Mobile Teleworking - ICMP attacks cracking) Computing INTERNET - SYN flooding, etc. - Falsche Rechte-Konzept Corporate Corporate Network Network - Verarbeitungs-, Übertragungs- - Rechtsverbindlichkeit und Speicherfehler elektronisch abgeschlossener Verträge, wie z.B. per: - Manipulation von Daten z. B. • Schlagwörter die als - Fax, E-Mail durch spoofing attacks: Bedrohung eingestuft - ip spoofing (IP fälschen) werden sind: - Electronic Commerce • Hacker, Fremdpersonal, - Gesetzesauflagen - DNS spoofing (Fälschung eigenes Personal, von DNS-Einträgen) - Risiko-Früherkennung • Fehler, Ausfälle, - web spoofing (Fälschen • Fernwartung und - Authentizitätscheck (Who) von Webseiten) • Wirtschaftsspionage Verlust der Integrität • u.v.m. Verlust der Verbindlichkeit Eine Überwachung ist notwendig, um zu erkennen, ob eine Grundbedrohung ein Risiko darstellt.
  • 4. IT wird HEUTE in das Risikomanagement einbezogen Darüber besteht heute weitgehend Konsens Die IT als Bestandteil des Risikomanagements • Die zunehmende Technologieabhängigkeit führt dazu, dass die IT-Systeme in die Risikobetrachtung miteinbezogen werden • IT Risikofaktoren sind Auswirkungen/Maßnahmen • Sicherheit: Angriffe, Schadcode, Aktuelle Hard/Software, Regularien, moderne Unautorisierte Zugriffe Sicherheitseinrichtungen • Verfügbarkeit: Ausfälle, Downtimes, Redundante Auslegung der Systeme, Wartung etc. Backup/Recovery, Spiegelung, Virtualisierung • Performance: Produktivität der Skalierung von IT Systemen, Nutzung von Endanwender/Kunden, Kundenverluste Peaks, Grids • Compliance: Einhaltung von Aufbewahrungspflicht, Sorgfaltsanforderungen, behördlichen und sonstigen Vorschriften Überwachung, Kontrolle • Erweiterte Haftung: KontraG, Risikofrüherkennung, IT Infrastruktur muss alle Transparenzschaffung im Jahresbericht Anforderungen erfüllen, Prozesse • Ansätze des IT-Service Managements ITIL, ISO/IEC 17799, ISO 2000, Cobit sollen unterstützen IT Sicherheit/Compliance System Governance Automatisierte Risikomanagement Prozesse können unterstützen: Analyse, Bewertung, Minimierung, Kontrolle, Verfolgung.
  • 5. Einführung in das Härten von Datenbanken • Was genau bedeutet „HÄRTEN“? • Welche Tools stehen zur Verfügung? • Was genau erreicht man durch das „HÄRTEN“? • Oracle Security Lösungen
  • 6. Härten = Die Sicherheit eines Systems erhöhen Kleine Auswahl von Möglichkeiten Härtung Erläuterung • Unter Härten versteht man, die Sicherheit eines Systems zu erhöhen. Bas BSI sagt: Definition „...die Entfernung aller Softwarebestandteile und Funktionen, die zur Erfüllung der vorgesehenen Aufgabe durch das Programm nicht zwingend notwendig sind...“. • Reduktion der Möglichkeiten zur Ausnutzung von Verwundbarkeiten • Minimierung der möglichen Angriffsmethoden • Beschränkung der einem Angreifer nach einem erfolgreichen Angriff zur Verfügung Ziele stehenden Werkzeuge • Minimierung der einem Angreifer nach einem erfolgreichen Angriff zur Verfügung stehenden Privilegien • Erhöhung der Wahrscheinlichkeit der Entdeckung eines erfolgreichen Angriffs • Nebenziel: Komplexität verringern • Entfernung/Deaktivierung von für den Betrieb nicht zwingend erforderlichen Softwarekomponenten • Verwendung unprivilegierter Benutzerkonten zur Ausführung von Server-Prozessen • Anpassung von Dateisystemrechten und ihrer Vererbung • Verwendung von chroot oder anderen Jails für die Ausführung von Software Methoden • Verwendung von Mandatory Access Control • Nutzung von Verschlüsselung, z.B. für die Datenübertragung • Verwendung möglichst fehlerfreier Software ohne bekannte Verwundbarkeiten • Backup Recovery, Deployment, Testing • Einheitliche Admin-Umgebung, Überwachung, SLAs
  • 7. Einführung in das Härten von Datenbanken • Was genau bedeutet „HÄRTEN“? • Welche Tools stehen zur Verfügung? • Was genau erreicht man durch das „HÄRTEN“? • Oracle Security Lösungen
  • 8. Welche Tools existieren für das Härten von DBs? Kleine Auswahl von Möglichkeiten Wissen Dokumente und Checklisten Tools • Wissen schützt immer • Im Internet vorhanden • Security Scanner • Fortbildungen • Oracle Standard • 3rd Party sind Pflicht Listen • Oracle Tools Egal welche Tools man nutzt. Das Härten von DB-Systemen ist ein manueller Vorgang, der jedoch durch den Einsatz von Tools unterstützt UNBREAKABLE DATABASE werden kann. Das Härten von DB-Systemen erfordert ein umfangreiches Wissen.
  • 9. Dokumente und Checklisten In der virtuellen Welt stehen verschiedene Dokumente zur Verfügung Dokumente Erläuterung • Oracle Standard Dokumentation 11g Security Guide, Sec. Checklist 10g Oracle • Oracle Projekt Lockdown (Oracle Magazin): • Technical Whitepaper: „Security Checkliste“ : • Zahlreiche Blogs von Security Experten Öffentlich (privat) • Internet googeln • Bundesamt für Sicherheit in der Informationstechnik • Beratungsunternehmen 3rd Parties (Business) • Softwarehersteller • Oracle Partnerunternehmen • Freiberufliche Berater Oracle liefert einigen Content ...
  • 10. Oracle Tool: Der Enterprise Manager Configuration Management Pack
  • 11. Oracle Configuration Management Schwachstellen Begutachtung & Sichere Konfiguration Monitor Discover Classify Assess Prioritize Fix Monitor Asset Configuration Policy Vulnerability Analysis & Management Management Management Management Analytics & Audit • Datenbank Erkenntnisse darstellen (Reporting) • Andauerndes Scanning von 375+ Best-Practices und Industriestandards (“erweiterbar”) • Aufdecken und verhindern unautorisierte Konfigurationsänderungen • Änderungsmanagement Compliance Reports 11
  • 12. Einführung in das Härten von Datenbanken • Was genau bedeutet „HÄRTEN“? • Welche Tools stehen zur Verfügung? • Was genau erreicht man durch das „HÄRTEN“? • Oracle Security Lösungen
  • 13. Das HÄRTEN vermindert das Risiko Ein Risiko bewertet man durch eine Bedrohungs- und Risikoanalyse Risiko vs. Kosten Hoch Risiko ?Nicht gehärtetes System? ?Gehärtetes System? Geringe Kosten Hohe Kosten Hohes Risiko geringes Risiko Gering Kosten Hoch Ziel: Unwahrscheinlichkeit erhöhen, dass Risiko eintritt, bzw. die Folgen abgemildert werden. Fazit: Risiken erkennt man durch Überwachnung!!!
  • 14. Einführung in das Härten von Datenbanken • Was genau bedeutet „HÄRTEN“? • Welche Tools stehen zur Verfügung? • Was genau erreicht man durch das „HÄRTEN“? • Oracle Security Lösungen
  • 15. Oracle Security Lösungen Zur Maßnahmenumsetzung und Überwachung Verschlüsselung / Maskierung • Oracle Advanced Security • Oracle Secure Backup • Oracle Data Masking Zugriffskontrolle • Oracle Database Vault • Oracle Label Security Audit und Tracking • Oracle Audit Vault • Oracle Configuration Management • Oracle Total Recall Monitoring und Blocking • Oracle Database Firewall
  • 16. Digitally signed by Carsten CarstenMützlitz DN: cn=Carsten Mützlitz, c=DE, o=Oracle Deutschland, ou=Systemberatung, email=carsten.muetzlitz@oracl Mützlitz e.com Date: 2011.04.28 08:28:03 +01'00'