3 Wege, um direkte Verbindungen zur Oracle-Datenbank zu verhindern und DataSunrise zu umgehen
Das Hauptprinzip des Betriebs einer Firewall besteht darin, den Netzwerkverkehr zu analysieren, um Verbindungen und Dienste entsprechend einem Satz von Regeln zu akzeptieren oder abzulehnen. So wird nur autorisierter Verkehr gemäß der lokalen Sicherheitspolitik zugelassen. Eine Firewall kann jedoch nicht gegen Angriffe schützen, die die Firewall umgehen.
Die DataSunrise-Plattform kann so konfiguriert werden, dass sie als Datenbank-Firewall fungiert. Somit kann DataSunrise den Datenbankverkehr analysieren und basierend auf vordefinierten Regeln agieren. Aber DataSunrise geht über die „Ablehnen“- oder „Akzeptieren“-Operationen hinaus und ermöglicht das Verschleiern sensibler Daten, das Überwachen von Datenbankabfragen, das Verfolgen verdächtiger Aktivitäten usw. Wie im Fall einer Firewall kann DataSunrise eine Datenbank schützen, wenn der gesamte Verkehr ausschließlich über DataSunrise läuft.
Dieser Artikel behandelt verschiedene Ansätze zum Schutz der Datenbank mit der DataSunrise-Lösung.
Direkte Datenbankverbindungen ablehnen
Es ist wichtig, direkte Verbindungen zu einer Datenbank zu verhindern. Der gesamte Verkehr sollte über DataSunrise laufen, um unbefugte Aktionen zu vermeiden. Dies kann leicht erreicht werden, indem der gesamte Verkehr durch den Datenbankport auf den Datenverkehr beschränkt wird, der nur von der DataSunrise-Host-Box stammt.
In dieser Umgebung verwenden wir eine Konfiguration, bei der DS und die Datenbank auf separaten Hosts installiert sind. Die Datenbank-Hostmaschine hat die IP-Adresse 192.168.0.99 und Port 1521 ist offen, um Datenbankverbindungen zu akzeptieren. DataSunrise ist im selben Netzwerk installiert und ist über die IP-Adresse 192.168.0.100 erreichbar. Es ist als Datenbank-Firewall für die auf dem Host 192.168.0.99 laufende Oracle-Datenbank konfiguriert.
Um den Verkehr nur von der DataSunrise-Box zuzulassen, müssen auf dem Datenbank-Host folgende Befehle ausgeführt werden:
iptables -I INPUT -p tcp -s 192.168.0.100 --dport 1521 -j ACCEPT
iptables -I INPUT -p tcp -s 0.0.0.0/0 --dport 1521 -j DROP
Dies erlaubt den Datenverkehr von der DataSunrise-Hostmaschine und verbietet externen Clients, direkt eine Verbindung zur Datenbank herzustellen.
Schützen Sie DataSunrise-Host und Datenbank-Hostboxen
Da wir direkten Datenbankverkehr nur von DataSunrise zulassen, muss der DataSunrise-Host so konfiguriert werden, dass jeglicher unbefugter Zugriff auf den Host eingeschränkt wird. Benutzer können DataSunrise weiterhin umgehen, indem sie eine Verbindung zur Datenbank vom Datenbank-Host herstellen, daher muss der Zugriff auf den Datenbank-Host ebenfalls eingeschränkt werden. Darüber hinaus muss der Zugang zu allen Betriebssystemkonten, die für die Konfiguration und Wartung einer Datenbank verwendet werden, streng begrenzt werden.
Verbindungen mit Datenbankdiensten einschränken
Einige Datenbanken verfügen über einen eingebauten Mechanismus zur Einschränkung der Verbindung zur Datenbank. Diese Konfiguration kann verwendet werden, um die Verbindung zu einer Datenbank über die eingebauten Dienste anstelle der Firewall-Konfiguration zu verbieten. In der Zwischenzeit kann diese Konfiguration mit der Firewall-Konfiguration koexistieren, um den stärksten Schutz der Datenbank zu bieten.
Insbesondere kann die Sicherheitseinstellung „valid node checking“ von Oracle Net verwendet werden, um den Zugriff auf die Oracle-Serverprozesse von Netzwerkclients mit den angegebenen IP-Adressen zu erlauben oder zu verweigern. Um die Funktion „valid node checking“ zu aktivieren, müssen die folgenden Parameter in die Datei sqlnet.ora aufgenommen werden:
tcp.validnode_checking = yes
tcp.invited_nodes = 192.168.0.100
Sobald die Parameter angewendet wurden, erlaubt der Oracle-Listener nur noch Datenbankverbindungen, die ausschließlich von der DataSunrise-Host kommen.
Schlussfolgerung
Verwenden Sie diesen Artikel als Leitfaden, um sicherzustellen, dass der gesamte Datenverkehr zu Ihrer Datenbank ausschließlich über DataSunrise erfolgt, und genießen Sie die vollständige Sicherheit Ihrer Daten! Die beste Lösung, um Ihre Daten intakt zu halten, ist die Oracle-Firewall.
Wenn Sie nicht verhindern können, dass Benutzer direkt eine Verbindung zu Ihrer Datenbank herstellen, können Sie die Funktion „Trailing the Database Audit Logs“ von DataSunrise verwenden. Sie ermöglicht es Ihnen, Auditergebnisse zu erhalten, die von den nativen Auditing-Tools von Oracle gesammelt wurden. Diese Funktion kann in erster Linie auf Amazon RDS Oracle-Datenbanken verwendet werden, da DataSunrise das Sniffing auf RDS-Datenbanken nicht unterstützt. Datenmaskierung und das Blockieren von Abfragen sind in diesem Modus nicht möglich.
Nächste