DataSunrise sponsorise AWS re:Invent 2024 à Las Vegas, veuillez nous rendre visite au stand n°2158 de DataSunrise

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

3 Moyens d’Empêcher la Connexion Directe à la Base de Données Oracle en Contournant DataSunrise

3 Moyens d’Empêcher la Connexion Directe à la Base de Données Oracle en Contournant DataSunrise

Le principe de base de tout pare-feu est d’analyser le trafic réseau afin d’accepter ou de rejeter les connexions et les services en fonction d’un ensemble de règles. Ainsi, seul le trafic autorisé défini par la politique de sécurité locale sera permis. En attendant, un pare-feu ne peut pas protéger contre les attaques qui le contournent.

La plateforme DataSunrise peut être configurée pour servir de pare-feu de base de données. Ainsi, DataSunrise sera capable d’analyser le trafic de la base de données et d’agir sur la base des règles prédéfinies. Mais DataSunrise va au-delà des opérations de “rejet” ou “acceptation” et permet d’obscurcir les données sensibles, de surveiller les requêtes de la base de données, de suivre les activités suspectes, etc. Comme dans le cas d’un pare-feu, DataSunrise est capable de protéger une base de données si le trafic passe uniquement par DataSunrise.

Cet article discute de diverses approches de protection des bases de données en utilisant la solution DataSunrise.

Rejeter les Connexions Directes à la Base de Données

Il est important d’interdire toute connexion directe à une base de données. Tout le trafic devrait passer par DataSunrise pour éviter toute action non autorisée. Cela peut être facilement réalisé en filtrant tout le trafic passant par le port de la base de données pour accepter uniquement le trafic venant de la machine hôte de DataSunrise.

Connexion à une base de données uniquement via un pare-feu

Dans cet environnement, nous utilisons une configuration où DS et la base de données sont installés sur des hôtes séparés. La machine hôte de la base de données a l’adresse IP 192.168.0.99 et le port 1521 est ouvert pour accepter toutes connexions à la base de données. DataSunrise est installé sur le même réseau et est accessible via l’adresse IP 192.168.0.100. Il est configuré comme pare-feu de base de données pour la base de données Oracle fonctionnant sur l’hôte 192.168.0.99.

Pour autoriser le trafic uniquement depuis la machine DataSunrise, les commandes suivantes doivent être exécutées sur l’hôte de la base de données :

iptables -I INPUT -p tcp -s 192.168.0.100 --dport 1521 -j ACCEPT iptables -I INPUT -p tcp -s 0.0.0.0/0 --dport 1521 -j DROP

Cela permet le trafic en provenance de la machine hôte DataSunrise et interdit à tout client externe de se connecter directement à la base de données.

Protéger les Machines Hôtes de DataSunrise et de la Base de Données

Puisque nous autorisons le trafic de base de données uniquement de DataSunrise, l’hôte DataSunrise doit être configuré pour restreindre tout accès non autorisé à l’hôte. Les utilisateurs peuvent encore contourner DataSunrise en se connectant à la base de données depuis l’hôte de la base de données, il faut donc restreindre l’accès à l’hôte de la base de données également. De plus, l’accès à tout compte système utilisé pour la configuration et la maintenance d’une base de données doit être strictement limité.

Restreindre les Connexions en Utilisant les Services de la Base de Données

Certaines bases de données disposent d’un mécanisme intégré pour restreindre les connexions à la base de données. Cette configuration peut être utilisée pour interdire les connexions à une base de données en utilisant les services intégrés au lieu d’utiliser la configuration du pare-feu. En attendant, cette configuration peut coexister avec la configuration du pare-feu pour fournir la protection la plus forte possible de la base de données.

En particulier, la fonctionnalité de sécurité Oracle Net “valid node checking” peut être utilisée pour autoriser ou refuser l’accès aux processus du serveur Oracle par les clients réseau avec les adresses IP spécifiées. Pour activer la fonctionnalité “valid node checking”, les paramètres suivants doivent être ajoutés dans le fichier sqlnet.ora :

tcp.validnode_checking = yes tcp.invited_nodes = 192.168.0.100

Une fois les paramètres appliqués, l’écouteur Oracle n’autorisera les connexions à la base de données que provenant de l’hôte DataSunrise.

Conclusion

Utilisez cet article comme guide pour vous assurer que tout le trafic vers votre base de données passe uniquement par DataSunrise et profitez de la sécurité totale de vos données ! La meilleure solution pour garder vos données intactes est le pare-feu pour Oracle.

Si vous ne pouvez pas empêcher les utilisateurs de se connecter directement à votre base de données, vous pouvez utiliser la fonctionnalité trailing des journaux d’audit de la base de données de DataSunrise. Elle vous permet d’obtenir les résultats d’audit collectés par les outils d’audit natifs d’Oracle. Avant tout, cette fonctionnalité peut être utilisée sur les bases de données Oracle d’Amazon RDS, car DataSunrise ne supporte pas le sniffing sur les bases de données RDS. Le masquage des données et le blocage des requêtes ne sont pas possibles dans ce mode.

Suivant

Authentification à Deux Facteurs : une Sécurité d’Accès Supplémentaire

Authentification à Deux Facteurs : une Sécurité d’Accès Supplémentaire

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Informations générales :
[email protected]
Ventes :
[email protected]
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
[email protected]