DataSunrise erreicht AWS DevOps Kompetenz Status in AWS DevSecOps und Überwachung, Protokollierung, Performance

Diese Website verwendet Cookies, um Informationen darüber zu sammeln, wie Sie mit unserer Website interagieren. Um mehr zu erfahren, besuchen Sie bitte unsere Datenschutzerklarung.

Oracle's native RBAC

Oracle’s native RBAC meistern – Teil 2

Oracle's native RBAC - Teil 2 fortgeschritten

4. Fortgeschrittene Konzepte des nativen RBAC von Oracle

Die RBAC-Implementierung von Oracle bietet erweiterte Funktionen, die zusätzliche Flexibilität und Granularität bei der Verwaltung der Zugriffskontrolle bieten. Lassen Sie uns einige dieser fortgeschrittenen Konzepte erkunden.

4.1 Rollenhierarchien

Rollenhierarchien ermöglichen es Ihnen, Eltern-Kind-Beziehungen zwischen Rollen herzustellen. Eine Kinderrolle hat die gleichen Privilegien wie ihre Elternrolle. Die Kinderrolle erhält auch zusätzliche Berechtigungen, die speziell ihr zugewiesen wurden. Dies ermöglicht die Erstellung einer hierarchischen Struktur von Rollen, die die Verwaltung komplexer Zugriffskontrollrichtlinien vereinfacht.

Um eine Rollenhierarchie in Oracle zu erstellen, verwenden Sie die GRANT-Anweisung, um einer Rolle eine andere Rolle zuzuweisen. Zum Beispiel:

-- Erstellen einer Elternrolle namens "manager"

CREATE ROLE manager;

-- Privilegien auf die "manager"-Rolle gewähren

GRANT SELECT, INSERT, UPDATE ON employees TO manager;

-- Erstellen einer Kinderrolle namens "sales_manager"

CREATE ROLE sales_manager;

-- Zuweisen der "manager"-Rolle zur "sales_manager"-Rolle

GRANT manager TO sales_manager;

-- Zusätzliche Berechtigungen für die "sales_manager"-Rolle gewähren

GRANT SELECT ON sales TO sales_manager;

In diesem Beispiel erstellen wir eine Elternrolle namens “manager” und gewähren ihr Privilegien auf der “employees”-Tabelle. Wir erstellen dann eine Kinderrolle namens “sales_manager” und gewähren dieser die “manager”-Rolle. Der Verkaufsleiter hat alle Privilegien eines Managers plus zusätzliche Privilegien im Zusammenhang mit Verkauf.

Rollenhierarchien vereinfachen das Privilegiemanagement, indem grundlegende Berechtigungen auf höheren Ebenen festgelegt und auf niedrigeren Ebenen angepasst werden. Dies reduziert Redundanzen und erleichtert die Pflege und Aktualisierung der Zugriffskontrollrichtlinien.

4.2 Sichere Anwendungsrollen

Normalerweise hängen diese Bedingungen vom erfolgreichen Ausführen eines PL/SQL-Pakets oder einer Funktion ab.

Um eine sichere Anwendungsrolle in Oracle zu erstellen, verwenden Sie die CREATE ROLE-Anweisung mit der IDENTIFIED USING-Klausel. Dieses Paket oder die Funktion gibt an, welche Rolle aktiviert werden soll. Zum Beispiel:

-- Erstellen eines PL/SQL-Pakets zur Überprüfung der Bedingungen

CREATE OR REPLACE PACKAGE security_pkg IS

FUNCTION check_access RETURN BOOLEAN;

END security_pkg;

/
-- Erstellen einer sicheren Anwendungsrolle

CREATE ROLE secure_role IDENTIFIED USING security_pkg.check_access;


-- Privilegien für die sichere Anwendungsrolle gewähren

GRANT SELECT ON sensitive_data TO secure_role;

In diesem Beispiel erstellen wir ein PL/SQL-Paket namens “security_pkg”, das eine Funktion “check_access” enthält. Diese Funktion bestimmt, ob die sichere Anwendungsrolle aktiviert werden soll. Sie berücksichtigt Faktoren wie die IP-Adresse des Benutzers, die aktuelle Zeit und spezifische Anwendungsregeln.

Als nächstes erstellen wir eine sichere Rolle namens “secure_role” mit der IDENTIFIED USING-Klausel und der Spezifikation “security_pkg.check_access”. Die Rolle wird nur aktiviert, wenn die Funktion “check_access” TRUE zurückgibt.

Wir geben der sicheren Anwendungsrolle spezielle Zugriffsrechte, sodass Benutzer mit der Rolle und den entsprechenden Anforderungen auf sensible Daten zugreifen können.

Sichere Anwendungsrollen erhöhen die Gesamtsicherheit, indem sie Rollen nur dann aktivieren, wenn bestimmte Bedingungen erfüllt sind, und somit eine zusätzliche Sicherheitsebene bieten. Dies verhindert unbefugten Zugriff und bietet eine zusätzliche Kontrollinstanz über die üblichen rollenbasierten Zugriffsmethoden hinaus.

4.3 Fein granulierte Zugriffskontrolle

Die fein granulierte Zugriffskontrolle in Oracle’s nativem RBAC ermöglicht es Ihnen, detailliert zu steuern, wer basierend auf spezifischen Bedingungen oder Attributen auf Daten zugreifen kann. Dies bedeutet, dass Sie den Zugriff auf Daten auf einer sehr granularen Ebene steuern können.

Sie können genau angeben, wer die Erlaubnis hat, bestimmte Daten anzuzeigen oder zu ändern. FGAC gibt Ihnen die Möglichkeit, den Zugriff basierend auf spezifischen Kriterien oder Attributen einzuschränken. Oracle bietet Tools wie VPD und OLS für präzise Zugriffskontrolle in Datenbanken.

VPD ermöglicht es Ihnen, Sicherheitsrichtlinien zu SQL-Anfragen für eine Tabelle oder Sicht hinzuzufügen. Diese Richtlinien können Zeilenebensicherheit basierend auf Benutzerattributen oder Anwendungszusammenhängen durchsetzen. Zum Beispiel:

-- Erstellung einer VPD-Richtlinienfunktion

CREATE OR REPLACE FUNCTION policy_func (

schema_var IN VARCHAR2,

table_var IN VARCHAR2

)

RETURN VARCHAR2

IS

BEGIN

RETURN 'department_id = SYS_CONTEXT(''USERENV'', ''DEPARTMENT_ID'')';

END;

/
-- Anwenden der VPD-Richtlinie auf eine Tabelle

BEGIN

DBMS_RLS.ADD_POLICY (

object_schema => 'HR',

object_name => 'EMPLOYEES',

policy_name => 'EMP_POLICY',

function_schema => 'HR',

policy_function => 'POLICY_FUNC',

statement_types => 'SELECT,UPDATE,DELETE',

update_check => TRUE

);

END;

/

In diesem Beispiel erstellen wir eine VPD-Richtlinienfunktion namens “policy_func.” Diese Funktion generiert eine Regel basierend auf der Abteilungs-ID des Benutzers. Die Funktion gibt eine Bedingung zurück, die sicherstellt, dass Benutzer nur auf Datensätze zugreifen können, die zu ihrer eigenen Abteilung gehören.

Als nächstes wenden wir die VPD-Richtlinie auf die Tabelle “EMPLOYEES” mit dem DBMS_RLS.ADD_POLICY-Verfahren an. Wir geben die Richtlinienfunktion und die Arten von Anweisungen an, auf die sie angewendet wird.

Die VPD-Richtlinie ermöglicht es Benutzern, auf Datensätze zuzugreifen und diese zu ändern, die mit ihrer Abteilungs-ID übereinstimmen. Dies bietet eine genaue Kontrolle über den Zugriff auf Zeilenebene.

Oracle Label Security (OLS) ist eine weitere Funktion, die eine fein granulierte Zugriffskontrolle basierend auf Datenklassifizierungslabels ermöglicht. OLS ermöglicht es, Datenzeilen zu kennzeichnen und den Zugriff basierend auf Benutzerlabels zu steuern. Dies ist besonders nützlich in Umgebungen mit sensiblen Daten, die strikte Vertraulichkeit und Datentrennung erfordern.

Fein granulierte Zugriffskontrolle verbessert RBAC, indem sie zusätzliche Sicherheitsebenen hinzufügt. Es ermöglicht Ihnen, Zugriffsregeln basierend auf spezifischen Datenattributen oder -bedingungen durchzusetzen.

Attributbasierte Zugriffskontrolle (ABAC)

ABAC ist eine Methode zur Zugriffskontrolle, bei der Benutzerattribute, Ressourcenattribute und die Umgebung einbezogen werden, um Zugriffsberechtigungen zu bestimmen. ABAC bietet einen dynamischeren und flexibleren Ansatz im Vergleich zu herkömmlichem RBAC.

Bei ABAC werden Zugriffskontrollrichtlinien basierend auf Attributen anstatt Rollen definiert. Attribute sind Merkmale, die Benutzerdetails, Ressourcendetails und Umgebungsdetails umfassen können.

Benutzerdetails können Jobtitel oder Abteilung beinhalten. Ressourcendetails können Datenklassifizierung oder Sensitivitätsstufe umfassen. Umgebungsdetails können die Tageszeit oder den Standort beinhalten.

Oracle unterstützt ABAC durch verschiedene Funktionen und Technologien, wie Oracle Entitlements Server (OES) und Oracle Access Manager (OAM). Diese Lösungen ermöglichen es, attributbasierte Richtlinien zu definieren und sie über verschiedene Anwendungen und Ressourcen hinweg durchzusetzen.

Hier ist ein Beispiel, wie ABAC mit Oracle Entitlements Server implementiert werden kann:

-- Benutzerattribute definieren

CREATE ATTRIBUTE USER_ATTRIBUTES.JOB_TITLE VARCHAR(255);

CREATE ATTRIBUTE USER_ATTRIBUTES.DEPARTMENT VARCHAR(255);

CREATE ATTRIBUTE USER_ATTRIBUTES.SECURITY_CLEARANCE VARCHAR(255);

-- Ressourcenattribute definieren

CREATE ATTRIBUTE RESOURCE_ATTRIBUTES.CLASSIFICATION VARCHAR(255);

CREATE ATTRIBUTE RESOURCE_ATTRIBUTES.SENSITIVITY_LEVEL VARCHAR(255);

-- Eine ABAC-Richtlinie definieren

CREATE POLICY ACCESS_POLICY

GRANT VIEW ON RESOURCE

WHERE RESOURCE_ATTRIBUTES.CLASSIFICATION = 'CONFIDENTIAL'

AND USER_ATTRIBUTES.SECURITY_CLEARANCE >= 'SECRET'

AND USER_ATTRIBUTES.DEPARTMENT = 'FINANCE';

In diesem Beispiel sprechen wir über Jobtitel und Abteilungsinformationen der Benutzer sowie über Klassifizierungs- und Sensitivitätsstufen der Ressourcen.

Wir haben eine Richtlinie namens “ACCESS_POLICY.” Diese Richtlinie erlaubt nur Benutzern mit ‘SECRET’ Sicherheitsfreigabe und in der ‘FINANCE’-Abteilung den Zugriff auf ‘CONFIDENTIAL’ Ressourcen.

ABAC-Richtlinien können komplexer sein und mehrere Attribute und Bedingungen umfassen. Die Richtlinienauswertungsmaschine untersucht Benutzerdetails, Ressourcendetails und Umgebungsdetails, um zu bestimmen, ob der Zugriff gewährt werden sollte.

ABAC ergänzt RBAC, indem es einen feiner abgestuften und dynamischeren Ansatz zur Zugriffskontrolle bietet. Es erlaubt flexiblere und kontextbezogene Zugriffskontrollentscheidungen basierend auf einer Kombination von Attributen.

6. Zugangskontrolllisten (ACLs)

Zugangskontrolllisten (ACLs) sind ein weiteres Mechanismus zur Kontrolle des Zugriffs auf Ressourcen. ACLs werden verwendet, um Berechtigungen für einzelne Benutzer oder Gruppen für bestimmte Objekte oder Ressourcen festzulegen.

In Oracle werden ACLs oft verwendet, um den Zugriff auf externe Netzwerkressourcen wie Webdienste oder Remote-Datenbanken zu verwalten. Oracle bietet einen integrierten ACL-Mechanismus über das Paket DBMS_NETWORK_ACL_ADMIN.

Hier ist ein Beispiel, wie eine ACL erstellt und Berechtigungen mit dem Paket DBMS_NETWORK_ACL_ADMIN gewährt werden:

-- Eine ACL erstellen

BEGIN

DBMS_NETWORK_ACL_ADMIN.CREATE_ACL (

acl => 'my_acl.xml',

description => 'ACL für den Zugriff auf externen Webdienst',

principal => 'HR_USER',

is_grant => TRUE,

privilege => 'connect'

);

END;

/
-- Die ACL einem Netzwerkhost zuweisen
BEGIN

DBMS_NETWORK_ACL_ADMIN.ASSIGN_ACL (

acl => 'my_acl.xml',

host => 'www.example.com',

lower_port => 80,

upper_port => 80

);

END;

/

In diesem Beispiel erstellen wir eine ACL namens “my_acl.xml” mit dem Verfahren DBMS_NETWORK_ACL_ADMIN.CREATE_ACL. Wir geben das Kennzeichen (Benutzer oder Rolle) an, für das die ACL gilt, in diesem Fall ‘HR_USER’. Wir setzen auch die Berechtigung ‘connect’, die es dem Kennzeichen ermöglicht, eine Verbindung zu der externen Ressource herzustellen.

Als nächstes weisen wir die ACL einem bestimmten Netzwerkhost mit dem Verfahren DBMS_NETWORK_ACL_ADMIN.ASSIGN_ACL zu. Wir geben den Namen der ACL, den Hostnamen oder die IP-Adresse und den Portbereich an, für den die ACL gilt.

Mit dieser ACL kann der ‘HR_USER’ eine Verbindung zum angegebenen Netzwerkhost im angegebenen Portbereich herstellen.

ACLs helfen, den Zugriff auf externe Ressourcen detailliert zu steuern und ergänzen die eigenen Zugriffskontrollmechanismen der Datenbank. Sie sind hilfreich, um Netzwerkressourcen zu verwalten und sicherzustellen, dass nur autorisierte Benutzer oder Anwendungen auf sie zugreifen können.

Dies ist das Ende von Teil 2. Im letzten Teil 3 werden wir die Rollen im Detail besprechen.

Suchen Sie nach professionellen Datenbanksicherheitslösungen? Nehmen Sie an einer umfassenden Demo-Session zur Benutzer- und Rollenverwaltung in DataSunrise teil, die fortschrittliche Lösungen für Oracle-Datenbanken bietet. Entdecken Sie, wie Sie den Zugriffskontrollprozess optimieren und die Sicherheit mit unserer intuitiven Plattform verbessern können.

Nächste

Oracle’s Native RBAC meistern – Fortgeschrittenes Rollen- und Rechteverwaltung: Ein umfassender Leitfaden – Teil 3

Oracle’s Native RBAC meistern – Fortgeschrittenes Rollen- und Rechteverwaltung: Ein umfassender Leitfaden – Teil 3

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Countryx
United States
United Kingdom
France
Germany
Australia
Afghanistan
Islands
Albania
Algeria
American Samoa
Andorra
Angola
Anguilla
Antarctica
Antigua and Barbuda
Argentina
Armenia
Aruba
Austria
Azerbaijan
Bahamas
Bahrain
Bangladesh
Barbados
Belarus
Belgium
Belize
Benin
Bermuda
Bhutan
Bolivia
Bosnia and Herzegovina
Botswana
Bouvet
Brazil
British Indian Ocean Territory
Brunei Darussalam
Bulgaria
Burkina Faso
Burundi
Cambodia
Cameroon
Canada
Cape Verde
Cayman Islands
Central African Republic
Chad
Chile
China
Christmas Island
Cocos (Keeling) Islands
Colombia
Comoros
Congo, Republic of the
Congo, The Democratic Republic of the
Cook Islands
Costa Rica
Cote D'Ivoire
Croatia
Cuba
Cyprus
Czech Republic
Denmark
Djibouti
Dominica
Dominican Republic
Ecuador
Egypt
El Salvador
Equatorial Guinea
Eritrea
Estonia
Ethiopia
Falkland Islands (Malvinas)
Faroe Islands
Fiji
Finland
French Guiana
French Polynesia
French Southern Territories
Gabon
Gambia
Georgia
Ghana
Gibraltar
Greece
Greenland
Grenada
Guadeloupe
Guam
Guatemala
Guernsey
Guinea
Guinea-Bissau
Guyana
Haiti
Heard Island and Mcdonald Islands
Holy See (Vatican City State)
Honduras
Hong Kong
Hungary
Iceland
India
Indonesia
Iran, Islamic Republic Of
Iraq
Ireland
Isle of Man
Israel
Italy
Jamaica
Japan
Jersey
Jordan
Kazakhstan
Kenya
Kiribati
Korea, Democratic People's Republic of
Korea, Republic of
Kuwait
Kyrgyzstan
Lao People's Democratic Republic
Latvia
Lebanon
Lesotho
Liberia
Libyan Arab Jamahiriya
Liechtenstein
Lithuania
Luxembourg
Macao
Madagascar
Malawi
Malaysia
Maldives
Mali
Malta
Marshall Islands
Martinique
Mauritania
Mauritius
Mayotte
Mexico
Micronesia, Federated States of
Moldova, Republic of
Monaco
Mongolia
Montserrat
Morocco
Mozambique
Myanmar
Namibia
Nauru
Nepal
Netherlands
Netherlands Antilles
New Caledonia
New Zealand
Nicaragua
Niger
Nigeria
Niue
Norfolk Island
North Macedonia, Republic of
Northern Mariana Islands
Norway
Oman
Pakistan
Palau
Palestinian Territory, Occupied
Panama
Papua New Guinea
Paraguay
Peru
Philippines
Pitcairn
Poland
Portugal
Puerto Rico
Qatar
Reunion
Romania
Russian Federation
Rwanda
Saint Helena
Saint Kitts and Nevis
Saint Lucia
Saint Pierre and Miquelon
Saint Vincent and the Grenadines
Samoa
San Marino
Sao Tome and Principe
Saudi Arabia
Senegal
Serbia and Montenegro
Seychelles
Sierra Leone
Singapore
Slovakia
Slovenia
Solomon Islands
Somalia
South Africa
South Georgia and the South Sandwich Islands
Spain
Sri Lanka
Sudan
Suriname
Svalbard and Jan Mayen
Swaziland
Sweden
Switzerland
Syrian Arab Republic
Taiwan, Province of China
Tajikistan
Tanzania, United Republic of
Thailand
Timor-Leste
Togo
Tokelau
Tonga
Trinidad and Tobago
Tunisia
Turkey
Turkmenistan
Turks and Caicos Islands
Tuvalu
Uganda
Ukraine
United Arab Emirates
United States Minor Outlying Islands
Uruguay
Uzbekistan
Vanuatu
Venezuela
Viet Nam
Virgin Islands, British
Virgin Islands, U.S.
Wallis and Futuna
Western Sahara
Yemen
Zambia
Zimbabwe
Choose a topicx
Allgemeine Informationen
Vertrieb
Kundenservice und technischer Support
Partnerschafts- und Allianz-Anfragen
Allgemeine Informationen:
info@datasunrise.com
Vertrieb:
sales@datasunrise.com
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
partner@datasunrise.com