Security Services

Security ist eines der wichtigsten Themen im Unternehmen. Mit den Security Services von ASPICON verbessern wir die Sicherheit Ihrer Datenbanken und Infrastruktur.

Icon Services

Security Themen stehen in den meisten Firmen auf der Tagesordnung. Viele würden gern mehr in Sicherheit investieren, nicht selten scheitert es am Budget für teure Zusatzoptionen und Features. Das muss aber nicht unbedingt sein. Oftmals reichen schon kleinere Schritte, um Systeme sukzessive sicher zu machen.


Oracle Secure External Password Store (SEPS)

Passworte für hoch privilegierte Accounts, wie z.B. sysdba-Zugänge oder Accounts für Monitoring, Backup, Cloneskripts, DataGuard-Broker oder Datenex- und Importe gehören nicht im Klartext in Shellskripts oder auf den Datenbankserver. Wo immer sie zwingend erforderlich sind, werden sie in einem Secure External Password Store sicher verschlossen und können bei Bedarf von dort abgerufen werden. Selbst dann sind sie nicht im Klartext sichtbar. Daten sicherheits- oder datenschutzrelevanter Accounts tauchen damit weder auf dem Server selbst, noch in Filesystembackups etc. auf. Zudem kann jeder, der diese Accountdaten für autorisierte Arbeiten benötigt, sei es der lokale DBA oder ein Supportmitarbeiter einer Drittfirma, selbige in einem streng umrissenen Rahmen nutzen, ohne sie explizit ausgehändigt zu bekommen.

Das heißt, diese Personen können diese Credentials nutzen, ohne sie tatsächlich zu kennen. SEPS hat u.a. folgende Vorteile:

  • Passworte können zentral, im SEPS, geändert werden, ohne dass das die Anpassung zahlreicher Skripts nach sich zöge.
  • Es können starke Passworte und kurze Änderungszyklen umgesetzt werden. Wer sich starke Passworte merken, respektive sie manuell eingeben soll, tut das aus Bequemlichkeit in der Regel nicht.
  • Wer die Credentials nicht kennt, kann sich auch nicht missbräuchlich über nicht autorisierte Wege (z.B. SQL-Konsolen) Zugang zur Datenbank verschaffen.
  • Da Kennworte nicht mehr an Dienstleister herausgegeben werden müssen, müssen sie auch nicht mehr zwingend unmittelbar nach Abschluss der Wartungsarbeiten geändert werden.

Oracle Transparent Network Encryption

Der Datentransfer zwischen Client und Datenbankserver erfolgt in den meisten Kundeninstallationen ohne SSL-basierte Verschlüsselung, über einen TCP-Listener-Endpoint (meist Port 1521). Damit werden sowohl Passwort-Hashes als auch Datenbankinhalte unverschlüsselt übertragen.

Transparent Network Encryption verschlüsselt eben diesen Datenverkehr mittels starker, symmetrischer Verschlüsselungsverfahren. Welcher Algorithmus dabei zum Einsatz kommt, wird völlig transparent und vom sichersten absteigend zum unsichersten Verfahren zwischen Client und Server ausgehandelt. Damit reduziert sich der Konfigurationsaufwand für den Einsatz von Transparent Network Encryption auf ein absolutes Minimum.

In dem von ASPICON standardmäßig konfigurierten Modus fordert der Server symmetrische Verschlüsselung vom Client an, fällt aber automatisch auf unverschlüsselte Verbindung zurück, wenn der Client keinen der angebotenen Algorithmen unterstützt oder ihm Verschlüsselung explizit untersagt wurde. Somit ist das ausgewogenste Verhältnis zwischen Sicherheit und Kompatibilität umgesetzt.

Auf Kundenwunsch kann die Verschlüsselung aber auch erzwungen werden. Die Version 11gR2 kann mit AES256, AES192, 3DES168, AES128 und 3DES112 verschlüsseln. Release 12c hat zusätzlich einige ältere, schwächere Verfahren, wie RC4 und DES implementiert, um eine noch breitere Palette von Clients bedienen zu können. Transparent Network Encryption kann bereits durch lediglich zwei Einträge in der sqlnet.ora aktiviert werden. Eine Änderung der Client- oder Listenerkonfiguration ist nicht erforderlich.


Oracle Audit Vault and Database Firewall

Oracle Audit Vault and Database Firewall ist das prädestinierte Werkzeug  für alle Unternehmen und Institutionen, die einen besonderen Wert auf die Überwachung Ihrer Datenbankaktivitäten legen, Compliance-Richtlinien einhalten wollen und dazu entsprechende Nachweise führen müssen. Dabei werden sowohl die hauseigenen Datenbanken als auch die Datenbanken anderer Hersteller wie Microsoft, IBM und SAP unterstützt.

Weitere Informationen >>>

Aktuelle Meldungen zum Thema