Oracle Security Workshop
Friday, 22.06.2007 – DejanNedavno (13.06.2007. godine) sam bio na jednom Oracle seminaru o sigurnosti, na kojem su prezentovane neke opštepoznate činjenice o sigurnosnim prijetnjama i zatim rješenja, koja nudi Oracle na polju sigurnosti baza podataka.
Neki od statističkih podataka su:
– 87% upada u bazu se odvija tako što “bad guys” prvo “hackuju” operativni sistem (Windows npr.), pa tek onda bazu
– 80% svih napada na bazu dolazi od samih zaposlenika firme, tzv. “insajdera”
– samo 1% profesionalnih upada u bazu bude otkriven
– 10% svih hackova bivaju javno objavljeni
Takođe ću navesti neke od rješenja, koja Oracle nudi kao odgovor na potencijalne sigurnosne prijetnje:
– Oracle Database Vault
– Oracle Audit Vault
– Oracle Virtual Private Database (VPD)
– Oracle Label Security
– Transparent Data Encryption
– Oracle Advanced Security
– Single-Sign-On
– Identity & Access Management
Tokom seminara su na praktičnim primjerima prvo pokazani Oracle Database Vault i Oracle Audit Vault, kada recimo korisnik SYS (da, taj super-extra-turbo-ultra-mega-giga-mighty-DBA-baja je ostao bez jaja) nema pristup zabranjenim podacima (u ovom primjeru se radilo o brojevima kreditnih kartica). Potom je prikazana enkripcija podataka, tako da samo onaj ko ima ključ za dekripciju, može doći do pravih podataka.
Prezentovano je još mnogo toga, a između ostalog SSO (Single-Sign-On), DBMS_CRYPTO, DBMS_OBFUSCATION_TOOLKIT, sigurnosne role u aplikaciji (DVSYS.DBMS_MACSEC_ROLES.SET_ROLE), FGA (Fine Grained Auditing) i td.
Moje subjektivno-objektivno mišljenje je da su od gorenavedenih mnoge stvari korisne i da će naći primjenu kod mnogih korisnika, a Oracle ima prednost pogotovo što nijedan drugi RDBMS ne nudi ove mogućnosti u sklopu samog RDBMS-a.
Međutim, velika mana su plaćanje dodatnih licenci za korištenje tih komponenti, kao i potreba za više RAM-a i više procesora, što je “neslužbeno” potvrdio i jedan od predavača na seminaru. Na sve to dolaze i uvećani troškovi za ljudske resurse (obučavanje, dodatne radne obaveze), pa će biti klasično – koliko para, toliko muzike.
Nakon silnog tehničkog teoretisanja, organizatori su nas počastili iznenađenjem – mađioničarem.
Prvo smo se svi pogledali onako u smislu “Šta će ovdje mađioničar!?“, ali nas je lik oduševio već nakon par minuta. Izvanredni trikovi sa kartama, novčićima i konopcom (tj. komadom užeta) popraćeni duhovitom pričom, razdragali su i najokorjelije geekove. 🙂 Čak je dobio jači aplauz, nego svi Oracle predavači zajedno.
Za kraj, evo jedna slika na kojoj pijem kafu i jedem izvanredan “brownie” tokom pauze.
