DataSunrise Consegue la Certificazione AWS DevOps Competency per AWS DevSecOps e Monitoraggio, Logging e Performance

Questo sito web utilizza cookie per raccogliere informazioni su come Lei interagisce con il nostro sito. Per saperne di più visiti la nostra Privacy Policy.

3 Modi per Prevenire le Connessioni Dirette a Oracle Database saltando DataSunrise

3 Modi per Prevenire le Connessioni Dirette a Oracle Database saltando DataSunrise

Il principio principale di qualsiasi operazione di firewall è analizzare il traffico di rete per accettare o rifiutare le connessioni e i servizi secondo un insieme di regole. Quindi, solo il traffico autorizzato definito dalla politica di sicurezza locale sarà permesso di passare. Nel frattempo, un firewall non può proteggere dagli attacchi che bypassano il firewall.

La piattaforma DataSunrise può essere configurata per servire come database firewall. Quindi, DataSunrise sarà in grado di analizzare il traffico del database e agire in base alle regole predefinite. Ma DataSunrise va oltre le operazioni di “rifiuto” o “accettazione” e consente di offuscare dati sensibili, monitorare le query del database, tracciare attività sospette, ecc. Come nel caso di un firewall, DataSunrise è in grado di proteggere un database se il traffico passa esclusivamente attraverso DataSunrise.

Questo articolo discute vari approcci alla protezione del database utilizzando la soluzione DataSunrise.

Rifiuta Connessioni Dirette al Database

È importante disabilitare qualsiasi connessione diretta a un database. Tutto il traffico dovrebbe passare attraverso DataSunrise, per evitare azioni non autorizzate. Questo può essere facilmente ottenuto filtrando tutto il traffico che passa attraverso la porta del database per il traffico proveniente solo dalla macchina host di DataSunrise.

Connettersi a un database solo attraverso il firewall

In questo ambiente stiamo utilizzando una configurazione in cui DS e il database sono installati su host separati. La macchina host del database ha l’indirizzo IP 192.168.0.99 e la porta 1521 è aperta per accettare qualsiasi connessione al database. DataSunrise è installato sulla stessa rete ed è raggiungibile tramite l’indirizzo IP 192.168.0.100. È configurato come firewall del database per Oracle Database in esecuzione sull’host 192.168.0.99.

Per consentire il traffico esclusivamente dalla macchina DataSunrise devono essere eseguiti i seguenti comandi sull’host del database:

iptables -I INPUT -p tcp -s 192.168.0.100 --dport 1521 -j ACCEPT iptables -I INPUT -p tcp -s 0.0.0.0/0 --dport 1521 -j DROP

Questo consente il traffico dalla macchina host di DataSunrise e vieta a qualsiasi client esterno di connettersi direttamente al database.

Proteggere Macchine Host di DataSunrise e del Database

Poiché permettiamo il traffico del database diretto solo da DataSunrise, l’host di DataSunrise deve essere configurato per limitare qualsiasi accesso non autorizzato all’host. Gli utenti possono comunque bypassare DataSunrise connettendosi al database dall’host del database, quindi l’accesso all’host del database deve essere limitato. Inoltre, l’accesso a qualsiasi account del sistema operativo utilizzato per configurare e mantenere un database deve essere rigorosamente limitato.

Limitare le Connessioni Utilizzando i Servizi del Database

Alcuni database hanno un meccanismo integrato per limitare la connessione al database. Questa configurazione può essere utilizzata per vietare la connessione al database utilizzando i servizi integrati invece della configurazione del firewall. Nel frattempo, questa configurazione può coesistere con la configurazione del firewall per fornire la massima protezione del database.

In particolare, la funzionalità di sicurezza “valid node checking” di Oracle Net può essere utilizzata per consentire o negare l’accesso ai processi del server Oracle dai client di rete con indirizzi IP specificati. Per attivare la funzionalità “valid node checking” i seguenti parametri devono essere aggiunti al file sqlnet.ora:

tcp.validnode_checking = yes tcp.invited_nodes = 192.168.0.100

Una volta applicati i parametri, l’ascoltatore Oracle consentirà le connessioni al database in arrivo esclusivamente dalla macchina host di DataSunrise.

Conclusione

Utilizzare questo articolo come guida per assicurarsi che tutto il traffico verso il database passi esclusivamente attraverso DataSunrise e usufruire della totale sicurezza dei vostri dati! La migliore soluzione per mantenere intatti i tuoi dati è il Firewall per Oracle.

Se non riesci a impedire agli utenti di connettersi direttamente al tuo database, puoi utilizzare la funzione Trailing the Database Audit Logs di DataSunrise. Questa consente di ottenere i risultati di auditing raccolti dagli strumenti di audit nativi di Oracle. Prima di tutto, questa funzione può essere utilizzata sui database Oracle su Amazon RDS perché DataSunrise non supporta il rilevamento sui database RDS. Il mascheramento dei dati e il blocco delle query non sono possibili in questa modalità.

Successivo

Autenticazione a Due Fattori: una Sicurezza di Accesso Extra

Autenticazione a Due Fattori: una Sicurezza di Accesso Extra

Scopri di più

Ha bisogno del nostro team di supporto?

I nostri esperti saranno lieti di rispondere alle Sue domande.

Informazioni generali:
[email protected]
Vendite:
[email protected]
Servizio clienti e supporto tecnico:
support.datasunrise.com
Richieste di collaborazione e alleanza:
[email protected]