Blog Name
  • Freitag, 01.09.2017

Überprüfung der Datensicherheit mit dem Oracle Database Security Assessment Tool

Datenbanken sollten so konfiguriert werden, dass sie ausschließlich nur Funktionen zulassen, die für den Betrieb der Anwendungen beziehungsweise der Verfahren notwendig sind. Für jedes Datenbanksystem, welches personenbezogene Daten verarbeitet, muss ein Grundschutz implementiert werden. Insbesondere das im Mai 2018 in Kraft tretende EU-Datenschutzgesetz (englisch GDPR - general data protection regulation) stellt höhere Anforderungen an die Sicherheit bei der Verarbeitung personenbezogener Daten. Es ist für alle Unternehmen die in Geschäftsbeziehungen zu EU Bürgern stehen verpflichtend, unabhängig von ihrem Firmensitz.

Oracle möchte bei der Umsetzung notwendiger Datensicherheitsmaßnahmen helfen und bietet seinen Kunden ein Werkzeug zur Erkennung potenzieller Sicherheitsrisiken für Oracle Datenbanken an. Das Oracle Database Security Assessment Tool (DBSAT) überprüft bis zu 71 Datenbankkonfigurationen und Sicherheitsempfehlungen gemäß Oracle Datenbanksicherheit Best Practices. Die hiermit aufgezeigten potenziellen Sicherheitsrisiken werden dokumentiert und können bei Bedarf und Notwendigkeit vom Datenbankadministrator behoben werden.

Das Oracle Database Security Assessment Tool dient in erster Linie zur kurzfristigen Erkennung und Behebung allgemeiner Risiken und unterstützt bei der Umsetzung einer umfassenden Sicherheitsstrategie.

Für einen dauerhaft sicheren Betrieb sollte ein entsprechender Prozess und ein automatisiertes Monitoring etabliert sein, um die Datenbank hinsichtlich Konfiguration, Patching und Nutzung zu überwachen. Dieses ist zum Beispiel mit dem Lifecycle Management Pack von Oracle Enterprise Manager möglich.

Oracle Database Security Assessment Tool (DBSAT)

Es werden Tests in folgende Kategorien durchgeführt:

  • Benutzerkonten, Privilegien und Rollen
  • Berechtigungskontrolle
  • Datenverschlüsselung
  • Zugriffskontrolle
  • Passwortrichtlinien
  • Datenbank-Konfiguration
  • Listener-Konfiguration
  • Betriebssystem-Dateiberechtigungen

Im Wesentlichen besteht das Werkzeug aus zwei Komponenten, dem DBSAT Collector und DBSAT Reporter. Der DBSAT Collector führt Tests in Form von SQL-Abfragen (nur gegen das Oracle Datenbank Dictionary) und Betriebssystembefehle (für Listener-Konfiguration, SQLNET.ORA usw.) aus, um die notwendigen Informationen aus dem System zu sammeln. Die gesammelten Daten werden in eine durch ein Passwort verschlüsselte JSON-Datei geschrieben. Diese Datei wird dann von der zweiten Komponente, dem DBSAT Reporter, während der Analysephase verwendet. Der DBSAT Collector kann für Oracle Datenbanken ab der Version 10.2.0.5 und für die folgenden Betriebssysteme verwendet werden:

  • Solaris x64 and Solaris SPARC
  • Linux x86-64
  • Windows x64
  • HP-UX IA (64-bit)
  • IBM AIX & zSeries Based Linux

Die Datenerfassung aus den Kategorien Listener-Konfiguration und Betriebssystem-Dateiberechtigungen werden auf Windows-Plattformen momentan nicht unterstützt.

Der DBSAT Reporter analysiert die gesammelten Daten und bietet die Ergebnisse und Empfehlungen in mehreren Ausgabeformaten an: PDF, XLS und Text. Der DBSAT Reporter ist ein plattformunabhängiges Python-Programm und benötigt Python 2.6 oder höher.

Zur Ausführung des DBSAT Collectors werden folgende Datenbank Privilegien benötigt:

  • CREATE SESSION
  • SELECT on SYS.REGISTRY$HISTORY
  • Role SELECT_CATALOG_ROLE
  • Role DV_SECANALYST (wenn Database Vault aktiviert ist)
  • Role AUDIT_VIEWER (nur 12c)
  • Role CAPTURE_ADMIN (nur 12c)
  • SELECT on SYS.DBA_USERS_WITH_DEFPWD (11g und 12c)
  • SELECT on AUDSYS.AUD$UNIFIED (nur 12c)

Zur Ermittlung der Betriebssystem-Informationen werden Leseberechtigungen für das entsprechende Oracle-Home Verzeichnis benötigt.

Folgende Schritte sind bei Verwendung des Oracle Database Security Assessment Tools notwendig:

  • Herunterladen des Oracle Database Security Assessment Tools von My Oracle Support
  • Schaffen der Ablaufumgebung und Zuweisen der Privilegien
  • Sammeln der Informationen, indem Sie 'dbsat collect' auf dem Ziel ausführen
  • Ausführung des 'dbsat report' Kommandos
  • Sichern der Ausgabedateien

Die aktuelle Vorgehensweise zur technischen Ausführung des Tools finden Sie hier in der Dokumentation.

Als Ergebnis erstellt DBSAT Berichte in drei unterschiedlichen Formaten - HTML, XLS und TEXT - für verschiedene Zielgruppen und Verwendungszwecke.

Beispiel HTML-Format ( HTML-Output Beispiel)

Der HTML-Bericht liefert detaillierte Ergebnisse in einem einfach zu navigierenden Format. Die folgende Abbildung zeigt die ersten drei HTML-Tabellen einer Zusammenfassung:

Die einzelnen "Findings" werden im Weiteren detailliert angezeigt:

Im Bereich der 'Findings' finden Sie:

Titel

Eindeutige ID des einzelnen Tests, hier USER.DEFPWD.

Status

Der Status kann als Empfehlung zur Priorisierung der Problembehebung verstanden werden. Ein schweres Risiko könnte sofortige Abhilfemaßnahmen erfordern, während andere Risiken bei einer geplanten Ausfallzeit beziehungsweise bei Wartungsaktivitäten behoben werden können.

Es existieren 6 Status:

  • Pass: kein Problem gefunden
  • Evaluate: Muss manuell beurteilt werden
  • Some Risk: geringes Risiko
  • Significant Risk: mittleres Risiko
  • Severe Risk: Sollte umgehend behoben werden
  • Opportunity: Eine Verbesserung der Sicherheit durch zusätzliche Sicherheitsmaßnahmen sollte bedacht werden

Summary

Hier steht eine kurze Zusammenfassung der Test-Ergebnisse.

Details

Hier finden sich konkrete Angaben zu den betroffenen Objekten.

Remarks

Detaillierte Problembeschreibung und Empfehlung zur Behebung des Problems.

Hinweis

Dieses Werkzeug hilft, potenzielle Schwachstellen in Ihrem Datenbanksystem zu identifizieren. Sowohl die Ausführung des Tools und eventuell negative Folgen durch Behebungen identifizierter Probleme obliegt in der Verantwortung des Kunden. Weiterhin kann die von diesem Werkzeug erzeugte Ausgabe potenziell sensible Systemkonfigurationsdaten und Informationen enthalten, die von einem Angreifer missbraucht werden könnten. Der Kunde ist dafür verantwortlich, die Ausgabe dieses Tools, einschließlich aller generierten Berichte vor Missbrauch zu schützen.

Lizenz

Kunden die einen aktiven Oracle Support Account haben, können das Oracle Database Security Assessment Tool unter der Support Note ( Doc ID 2138254.1) beziehen und nutzen.

Weitere Informationen

 

Zurück zum Anfang des Artikels

Zurück zur Community-Seite
 

Visit the Oracle Blog

 

Contact Us

Oracle

Integrated Cloud Applications & Platform Services