DataSunrise Consegue la Certificazione AWS DevOps Competency per AWS DevSecOps e Monitoraggio, Logging e Performance

Questo sito web utilizza cookie per raccogliere informazioni su come Lei interagisce con il nostro sito. Per saperne di più visiti la nostra Privacy Policy.

Le Migliori Pratiche per la Sicurezza dei Database Oracle

Le Migliori Pratiche per la Sicurezza dei Database Oracle

Nessun sistema di gestione dei database è sicuro per impostazione predefinita. Tuttavia, è possibile evitare la maggior parte delle minacce configurando correttamente l’ambiente. In questo articolo, riassumiamo le nostre conoscenze sulla sicurezza del database Oracle ed elenchiamo le misure che dovrebbe considerare quando lavora con Oracle Database.

1. Eliminare le Password Predefinite

La prima cosa da fare in materia di sicurezza del database. Se utilizza password che possono essere facilmente violate o forzate, qualsiasi altra misura di sicurezza sarà inutile come un negozio di scarpe nella Contea. Gli attaccanti iniziano con modi semplici che causano il massimo danno. Speriamo che dopo i recenti attacchi famosi a database MongoDB e MySQL mal configurati, la maggior parte abbia compreso il messaggio. NON lasciare password predefinite o deboli e assicurarsi che le password memorizzate siano crittografate.

Utilizzare il seguente script per trovare account utente con password predefinite.

sqlpus sys as sysdba Enter password: password SELECT d.username, u.account_status FROM DBA_USERS_WITH_DEFPWD d, DBA_USERS u WHERE d.username = u.username ORDER BY 2,1;

Usa lo strumento Checkpwd per identificare account con password deboli. È un controllore di password basato su dizionario per i database Oracle. Lo strumento legge gli hash delle password dalla vista dba_users e confronta le chiavi degli hash locali con le chiavi degli hash dal file di dizionario fornito. Mostra l’elenco degli account scaduti e delle password deboli in modo da poterle cambiare.

checkpwd system/oracle@//127.0.0.1:1521/orcl password_list.txt

2. Aggiorna e Applica Patch

Il passo successivo è installare l’ultima versione del sistema di gestione del database. Una volta aggiornato, puoi lavorare senza bug e altre problematiche già risolte. Gli sviluppatori sono costantemente impegnati a rendere il database Oracle più sicuro, cosa particolarmente evidente nella versione Oracle Database 12c.

Quattro volte all’anno Oracle rilascia il Critical Patch Update che risolve centinaia di vulnerabilità critiche in varie piattaforme, incluso Oracle Database. Con l’aggiornamento, Oracle annuncia informazioni generali sulle vulnerabilità risolte, che gli attaccanti iniziano immediatamente ad analizzare e sfruttare. Secondo l’ultimo report di Wallarm, ci vogliono dalle 2 alle 4 ore prima che gli hacker inizino a sfruttare una vulnerabilità appena riportata. Quindi, non perdere l’aggiornamento.

Controlla il calendario degli aggiornamenti critici delle patch qui.

3. Separare i Compiti

Conosci quell’architettura a pipeline dove ogni membro del sistema fa solo il proprio lavoro e niente di più? Suona noioso, ma dovrebbe considerare l’implementazione di una simile architettura nell’ambiente aziendale. Pensa due volte prima di iniziare a distribuire i privilegi come volantini.

Generalmente, la migliore pratica è rimuovere tutti i privilegi e cominciare a concessione basata sul principio del “bisogno di conoscere”. Inizia da zero. Questo ti aiuterà a evitare scenari in cui un addetto alla sicurezza non è stato abbastanza attento da notare che un certo John del dipartimento di gestione aveva accesso a informazioni proprietarie e segreti commerciali.

4. Gestire le Password

Per anni gli amministratori hanno memorizzato le password degli account in forma non crittografata in uno script o in un file di configurazione. Oracle ha rilasciato il Secure Password Store per affrontare il problema. La funzionalità consente di creare un file wallet in cui è possibile memorizzare in modo sicuro le credenziali del database.

Oracle Database dispone di una serie di strumenti per proteggere le password. Alcuni di essi sono disabilitati per impostazione predefinita.

  • Verifica della Complessità della Password
    Esiste una semplice funzione di verifica della password negli script PL/SQL UTLPWDMG.SQL ($ORACLE_HOME/rdbms/admin). Lo script è disabilitato per impostazione predefinita. Per abilitarlo, accedere a SQL*Plus con privilegi amministrativi ed eseguire lo script. CONNECT SYS/AS SYSDBA Enter password: password @$ORACLE_HOME/RDBMS/ADMIN/utlpwdmg.sql I parametri che specificano i requisiti della password sono impostati di default ma puoi cambiarne il valore a tua discrezione. Dalla versione 11g, la sensibilità maiuscole/minuscole per le password è abilitata per impostazione predefinita.
  • Blocco dell’Account
    Abilita il blocco degli account dopo 3 tentativi non validi per un determinato periodo di tempo. Ridurrà notevolmente il rischio di attacchi di forza bruta. Impostare i seguenti parametri per specificare i blocchi dell’account per un profilo Oracle: FAILED_LOGIN_ATTEMPTS 3 PASSWORD_LOCK_TIME 10 L’argomento del secondo parametro è impostato su 10 giorni.
    Utilizzare il parametro INACTIVE_ACCOUNT_TIME per impostare il periodo di inattività dopo il quale l’account verrà bloccato (il valore è anch’esso espresso in giorni).

5. Cambia le Impostazioni di Audit Predefinite

Oracle 12c ha introdotto Unified Audit Data Trail che combina SYS.AUD$ per la traccia di audit del database, SYS.FGA_LOG$ per l’audit dettagliato, DVSYS.AUDIT_TRAIL$ per Oracle Database Vault e Oracle Label Security.

In Oracle 12c il valore predefinito di audit_sys_operations è TRUE, ma se utilizza una versione più vecchia, è necessario abilitare il parametro in modo che i comandi SQL dell’utente sys vengano auditati.

Utilizzare il seguente comando per abilitarlo e riavviare il sistema.

SQL> alter system set audit_sys_operations=true scope=spfile;

Abilitare audit_trail per auditare i comandi SQL.

SQL> alter system set audit_trail=DB,EXTENDED scope=spfile;

Quando si comincia a lavorare con Oracle Database 12c, è possibile utilizzare la modalità mista creando una politica con il comando CREATE AUDIT POLICY quindi abilitandola con il comando AUDIT. È anche possibile utilizzare politiche predefinite (fare riferimento qui per conoscere le politiche di audit predefinite).

6. Attuare Metodi di Autenticazione Forti

L’autenticazione dell’identità dell’utente è imperativa in ambienti distribuiti. Oltre all’autenticazione predefinita, Oracle Database supporta protocolli e servizi di autenticazione standard di terze parti. Per utilizzarli, implementare alcune modifiche alla configurazione.

  • Kerberos
    Protocollo di autenticazione progettato principalmente per un modello client-server e fornisce un’autenticazione reciproca.
  • Secure Socket Layer (SSL)
    Protocollo standard del settore per la messa in sicurezza delle connessioni di rete.
  • Remote Authentication Dial-In User Service (RADIUS)
    Protocollo di sicurezza client/server che consente l’autenticazione remota e l’accesso.
  • Controlla l’accesso al database utilizzando strumenti come Kerberos, Oracle grant security, Oracle wallet security, Oracle database privati virtuali.
  • Per l’accesso al database remoto, sarà consentito solo l’accesso con chiave sicura (secure shell (SSH) o VPN).

7. Gestire i Dati Sensibili

La perdita di dati sensibili o confidenziali può portare a conseguenze deterioranti. Quindi, informazioni di identificazione personale, informazioni sanitarie protette, informazioni proprietarie e proprietà intellettuali dovrebbero essere trattate con estrema attenzione.

Prima di tutto, è necessario indicare dove si trovano. Esistono varie soluzioni progettate per cercare dati su più piattaforme. Oracle Database ha una utility integrata per la Protezione Trasparente dei Dati Sensibili.

I DBA devono amministrare i database ma non i dati, così come gli sviluppatori di terze parti e i tester. Le soluzioni di mascheramento dei dati possono essere di grande aiuto in questo caso.

8. Utilizzare Strumenti di Sicurezza Aggiuntivi

L’oggetto più vulnerabile in un ambiente di produzione è il database, ma la maggior parte delle aziende spende la maggior parte dei fondi per la sicurezza per la sicurezza della rete. La protezione dei database dovrebbe ricevere più attenzione.

  • Monitoraggio delle Attività del Database
    Se la tua azienda può permettersi strumenti DAM, possono essere molto utili. Forniscono piena visibilità di tutta l’attività del database e dei cambiamenti del sistema in tempo reale. Notificheranno ai DBA in caso venga rilevata qualsiasi attività sospetta. Integralo con un sistema SIEM e otterrai un’analisi in tempo reale delle minacce alla sicurezza in modo da poter prendere azioni immediate contro gli attacchi incombenti.
    L’opzione Database di Sicurezza Avanzata di Oracle include uno strumento DAM. Possono essere utilizzate anche soluzioni di terze parti.
  • Firewall del Database
    Funzionando come un proxy, il firewall del database elabora il traffico in entrata e in uscita del database e protegge da tentativi di SQL injection e accessi non autorizzati. Puoi imparare come un firewall protegge dagli attacchi SQL injection con l’esempio del nostro prodotto.
  • Cifratura del Traffico del Database
    L’opzione Database di Sicurezza Avanzata di Oracle include uno strumento di crittografia dei dati. Possono essere utilizzate anche soluzioni di terze parti.
    Queste soluzioni convertono i dati in testo semplice in una cifra incomprensibile sulla base di una chiave speciale in modo che solo le parti autorizzate possano accedervi. Senza la conoscenza dell’algoritmo di crittografia, è quasi impossibile recuperare i dati originali dal testo crittografato.

9. Insegnare! T’Aboutto Liquidazione dell’Analfabetismo nella Cybersecurity

Nessuna delle misure sopra menzionate funzionerà se i tuoi colleghi incollano le password ai loro monitor e scaricano allegati di email dannose. Secondo l’ultimo report IBM Security, il 60% delle minacce alla sicurezza informatica viene dall’interno. Può essere un interno malintenzionato o un attore involontario.

Organizza sessioni di formazione sulla sicurezza. Spiega ai lavoratori regolari l’importanza di prendere precauzioni. È anche utile informarli sulla legislazione in materia di sicurezza e sulle sanzioni imposte dagli organi regolatori per la non conformità e i crimini informatici.

10. Sii Paranoico

Monitoriamo le notizie sulla sicurezza delle informazioni su base regolare, ed è sorprendente come immense corporation vengano hackate. Le aziende che possono permettersi le migliori applicazioni di sicurezza. Perché succede questo? Apparentemente, la risposta a questa domanda risiede nell’approccio alla questione. Se considera le tue procedure di lavoro come una noiosa routine inutile, lascerà alcune delle questioni importanti senza attenzione e in qualche modo verrà hackato. Ma se realizza la responsabilità della tua posizione e vuole farlo nel modo giusto, dovrà diventare paranoico. Aspettati attacchi ogni minuto da ogni direzione.

Sii scrupoloso e non lasciare che nessuno trascuri le misure di protezione. Vai attraverso tutte le raccomandazioni di sicurezza di Oracle (il link può essere trovato nella sezione Riferimenti). È un lavoro duro ma ne vale la pena. Raramente si parla di attacchi sventati ma se il nome della tua azienda non compare nei digests di sicurezza, sappiamo che sei tu, caro uomo della sicurezza, che ha fatto il lavoro nel modo giusto.

Per la protezione totale dei tuoi database Oracle utilizza i seguenti componenti inclusi nella DataSunrise Database Security Suite:

*Riferimenti

https://docs.oracle.com/cd/B28359_01/network.111/b28531/toc.htm

https://docs.oracle.com/database/122/DBSEG/toc.htm

Successivo

Integrazione di una Macchina Linux con il Dominio di Windows Active Directory

Integrazione di una Macchina Linux con il Dominio di Windows Active Directory

Scopri di più

Ha bisogno del nostro team di supporto?

I nostri esperti saranno lieti di rispondere alle Sue domande.

Informazioni generali:
[email protected]
Vendite:
[email protected]
Servizio clienti e supporto tecnico:
support.datasunrise.com
Richieste di collaborazione e alleanza:
[email protected]