Oracle Security Workshop

Friday, 22.06.2007 – Dejan

Nedavno (13.06.2007. godine) sam bio na jednom Oracle seminaru o sigurnosti, na kojem su prezentovane neke opštepoznate činjenice o sigurnosnim prijetnjama i zatim rješenja, koja nudi Oracle na polju sigurnosti baza podataka.

Neki od statističkih podataka su:
87% upada u bazu se odvija tako što “bad guys” prvo “hackuju” operativni sistem (Windows npr.), pa tek onda bazu
80% svih napada na bazu dolazi od samih zaposlenika firme, tzv. “insajdera
– samo 1% profesionalnih upada u bazu bude otkriven
10% svih hackova bivaju javno objavljeni

Takođe ću navesti neke od rješenja, koja Oracle nudi kao odgovor na potencijalne sigurnosne prijetnje:
Oracle Database Vault
Oracle Audit Vault
Oracle Virtual Private Database (VPD)
Oracle Label Security
Transparent Data Encryption
Oracle Advanced Security
Single-Sign-On
Identity & Access Management

Tokom seminara su na praktičnim primjerima prvo pokazani Oracle Database Vault i Oracle Audit Vault, kada recimo korisnik SYS (da, taj super-extra-turbo-ultra-mega-giga-mighty-DBA-baja je ostao bez jaja) nema pristup zabranjenim podacima (u ovom primjeru se radilo o brojevima kreditnih kartica). Potom je prikazana enkripcija podataka, tako da samo onaj ko ima ključ za dekripciju, može doći do pravih podataka.

Prezentovano je još mnogo toga, a između ostalog SSO (Single-Sign-On), DBMS_CRYPTO, DBMS_OBFUSCATION_TOOLKIT, sigurnosne role u aplikaciji (DVSYS.DBMS_MACSEC_ROLES.SET_ROLE), FGA (Fine Grained Auditing) i td.

Moje subjektivno-objektivno mišljenje je da su od gorenavedenih mnoge stvari korisne i da će naći primjenu kod mnogih korisnika, a Oracle ima prednost pogotovo što nijedan drugi RDBMS ne nudi ove mogućnosti u sklopu samog RDBMS-a.
Međutim, velika mana su plaćanje dodatnih licenci za korištenje tih komponenti, kao i potreba za više RAM-a i više procesora, što je “neslužbeno” potvrdio i jedan od predavača na seminaru. Na sve to dolaze i uvećani troškovi za ljudske resurse (obučavanje, dodatne radne obaveze), pa će biti klasično – koliko para, toliko muzike.

Oracle security workshop - madjionicarNakon silnog tehničkog teoretisanja, organizatori su nas počastili iznenađenjem – mađioničarem.
Prvo smo se svi pogledali onako u smislu “Šta će ovdje mađioničar!?“, ali nas je lik oduševio već nakon par minuta. Izvanredni trikovi sa kartama, novčićima i konopcom (tj. komadom užeta) popraćeni duhovitom pričom, razdragali su i najokorjelije geekove. 🙂 Čak je dobio jači aplauz, nego svi Oracle predavači zajedno.

Za kraj, evo jedna slika na kojoj pijem kafu i jedem izvanredan “brownie” tokom pauze.
Oracle security workshop - Dejan

Post a Comment