Oracle Database Vault

Jadwiga Gnybek

 

Żyjemy w czasach szybko postępującej globalizacji. Międzynarodowe kontakty biznesowe są dziś standardem. Procesy biznesowe przenoszą się z wewnętrznych sieci firm do Internetu. Wszystko to sprawia, że systemy informatyczne muszą być coraz bardziej elastyczne i otwarte, a jednocześnie doskonale zabezpieczone przed nieautoryzowanym dostępem do danych.

 

Globalny rynek i międzynarodowe standardy wiarygodnego prowadzenia finansów firm notowanych na giełdach papierów wartościowych wymuszają na systemach komputerowych implementację coraz to nowych rozwiązań. Oczywiście problemy związane z nieautoryzowanym dostępem do danych biznesowych nie pojawiły się znienacka. Niemniej jednak ostatnie lata zmieniły nieco środek ciężkości problemu. Jak wynika z wielu analiz, ponad siedemdziesiąt procent kradzieży informacji wykonywanych jest z wnętrza sieci firmy. Najczęściej kradzieże te dokonywane są przez osoby będące pracownikami, które w sposób nielegalny lub niekontrolowany uzyskały dostęp do istotnych danych biznesowych. Dlatego właśnie w ostatnich latach tak dużo uwagi poświęca się zagadnieniom kontroli autoryzacji i zarządzania dostępem do informacji. Na plan dalszy odeszły natomiast zagadnienia związane z ochroną przed atakami z zewnątrz. Choć oczywiście ochrona taka jest konieczna i w większości przypadków skutecznie realizowana.

Ważnym elementem zagrożenia jest nie tylko kradzież danych i wyniesienie ich poza firmę. Zarządzanie dostępem do danych musi również przeciwdziałać możliwości fałszowania danych firmy w celu dokonania wewnątrz-firmowych oszustw i malwersacji. Wybuchające od czasu do czasu skandale dotyczące nierzetelności raportowania o wynikach finansowych firm giełdowych wymusiły powstanie wielu prawnych uregulowań, którym firmy i eksploatowane w nich systemy informatyczne muszą sprostać. Do najbardziej znanych uregulowań tego typu należą PCI, Sarbanes-Oxley i Basel II. Sprostanie zawartym tam wymogom pociąga za sobą często olbrzymie nakłady i wymaga dokonania istotnych zmian w architekturze ugruntowanych na rynku aplikacji, stąd też poszukiwania odpowiednich rozwiązań, które można nałożyć na niższą warstwę infrastruktury informatycznej. Tak właśnie powstał produkt oferowany dziś pod nazwą Oracle Database Vault.

Bezpieczny Oracle

Oczywiście bazy danych Oracle od zawsze wyposażane były w coraz to skuteczniejsze mechanizmy kontroli dostępu zarówno dla rozwiązań pracujących w architekturze klient-serwer jak i aplikacji webowych. Mechanizmy te muszą bowiem nadążać za zmieniającymi się wymaganiami biznesu. Ostatnie lata to moda na procesowe podejście do zarządzania biznesem. Dla systemów zarządzania dostępem oznacza to zmianę w strukturze przyznawanych przywilejów. Wiele osób w firmie potrzebuje bowiem dostępu do więcej niż jednej aplikacji. Zwiększa się też ciągle dynamika zmian w strukturze przywilejów, co oznacza konieczność skutecznej ich kontroli i wiarygodnego systematycznego raportowania informacji, będących do niedawna danymi technicznymi pozostającymi poza sferą zainteresowań biznesu.

Mechanizmy Oracle Database Vault dostępne są w bazach danych Oracle Database 9i Release 2 oraz Oracle Database 10g Release 2 i spełniają wymogi takich uregulowań prawnych jak: Sarbanes-Oxley (SOX) w sekcjach 302, 404 i 409, Healthcare Insurance Portability and Accountability Act (HIPAA 164.306 I i 164.312 ), Basel II (w rozdziale Internal Risk Management), CFR część 11, Japan Privacy Law, Payment Card Industry (PCI wymaganie 3.4, 7, 8.5.6 i A1). Do podstawowych elementów systemu zabezpieczeń zaliczyć należy: zabezpieczenie przed dostępem do danych bez pośrednictwa przeznaczonych do tego aplikacji, monitoring wszelkich działań mogących być w sprzeczności z polityką bezpieczeństwa firmy, raportowanie incydentów bezpieczeństwa, definiowanie dopuszczalnych kanałów dostępu do danych oraz kontrola dostępu do danych poprzez osoby posiadające szerokie uprawnienia. Do osób takich z pewnością zaliczamy administratorów bazy danych, którzy z racji wykonywanych obowiązków posiadają dostęp do danych biznesowych. Dane te są bowiem obiektem takich działań jak wykonywanie kopii zapasowych, czy strojenie bazy danych. Modułem podejmującym niełatwe zadanie ochrony danych przed dostępem poza mechanizmami aplikacji jest Oracle Database Vault Realms. Obszarem zastosowania Oracle Database Vault Realms może być cały zbiór danych aplikacji lub jedynie wybrany, szczególnie chroniony podzbiór danych.

Innym mechanizmem zabezpieczenia jest Oracle Database Vault Separation of Duty. Podstawowym zadaniem tego narzędzia jest dostarczenie mechanizmów kontroli nad nadawanymi użytkownikom uprawnieniami.

Uprawnienia i role

Osobom zarządzającym dostępem do aplikacji oraz do ich danych przydzielane są tu ściśle określone uprawnienia i odpowiedzialności. W podstawowej konfiguracji Oracle Database Vault Separation of Duty zdefiniowane zostały trzy role: Account Management, Security Administrator i Resource Administration. Osoba wykonująca zadania Account Management odpowiada za tworzenie, modyfikowanie i usuwanie użytkowników bazodanowych, jednocześnie pozostali użytkownicy bazy posiadający szeroki zakres uprawnień pozbawieni zostają takiej możliwości. Security Administrator jest osobą odpowiedzialną za wyznaczanie administratorów bezpieczeństwa dla poszczególnych obszarów danych. Administratorzy ci – zwani również Database Vault Owner dla przydzielonego sobie obszaru danych, mają obowiązek konfiguracji Database Vault Realms i Command Rules oraz udzielania uprawnień innym użytkownikom. Zarządzają również dostępem do raportów bezpieczeństwa Database Vault. Oczywiście Security Administrator nie może zarządzać własnym zakresem uprawnień, a w szczególności uprawnieniami dotyczącymi dostępu do danych biznesowych. Ostatnia z ról Resource Administration zarządza uprawnieniami osób wykonujących zadania administratora bazy dbając o to, aby posiadali wszystkie uprawnienia niezbędne do wykonywania czynności takich, jak wgrywanie nowych wersji oprogramowania, strojenie bazy oraz wykonywanie kopii zapasowych i odtwarzanie zasobów bazy.

Jak widać, myślą przewodnią tego rozwiązania jest podział dużych pakietów uprawnień na podzbiory ściśle odpowiadające realizowanym faktycznie zadaniom oraz podział uprawnień w sposób wymagający wielostopniowej ich autoryzacji. Oczywiście rozwiązanie to sprawdza się lepiej w organizacjach dużych, gdzie na przykład prace administracyjne przy systemie podzielić można na kilka osób. Każdej z nich przydzielić można wtedy uprawnienia pozwalające na wykonanie tej i tylko tej czynności – na przykład wgrania patcha lub uruchomienia procedur backupowych. Oracle Database Vault wyposażony jest w szereg raportów wykazujących aktywność użytkowników – zarówno w obszarach im przydzielonych, jak i w działaniach które wykraczają poza nadane im uprawnienia.

Autoryzacja, parametryzacja

Systemy zabezpieczeń dostępu do danych muszą charakteryzować się dwiema podstawowymi właściwościami. Z jednej strony powinny w elastyczny sposób dostosowywać się do zmieniających się uwarunkowań – takich, jak na przykład przepisy prawa. Z drugiej zaś nie powinny krępować działań biznesowych użytkowników aplikacji, czyli mają umożliwiać szybkie zmiany w zaimplementowanych politykach bezpieczeństwa. Aby spełnić te wymagania, Oracle Database Vault wyposażony został w moduł Oracle Database Vault Multi-Factor Authorization. Narzędzie to znacznie poszerza mechanizmy kontroli dostępu oparte o definicje ról, wprowadzając parametryzację użytkowników za pomocą etykiet (label). Umożliwia to wprowadzenie do mechanizmów kontroli dostępu takich danych jak podsieć z jakiej użytkownik loguje się do systemu, identyfikacja IP komputera, uprawnienie do korzystania z konkretnego serwera aplikacji lub tworzenie zaufanych wirtualnych ścieżek dostępu (virtual trusted path for data access). Liczba i różnorodność algorytmów definiujących uprawnienia użytkownika może być tworzona przez niezliczone kombinacje zdefiniowanych uprzednio parametrów. Ponadto wszystkie odwołania do danych poddawanych szczególnej kontroli mogą być rejestrowane. Oprócz zasad i sposobów autoryzacji użytkowników, Oracle Database Vault umożliwia także implementację polityki bezpieczeństwa firmy. W tym celu przygotowane zostały mechanizmy Oracle Database Vault Command Rules wyposażone w Database Vault GUI oraz obsługiwane z linii poleceń API.

A wszystkie te starania między innymi po to, aby ograniczyć „nasze” administratorów, święte prawo do wszystkiego!!! Brrrrrrr.