Wussten Sie's schon? - Diese Security Features sind schon dabei!

Mit jedem neuen Release der Oracle Datenbank gibt es neue Funktionen zu bestaunen. Oftmals sind diese Funktionen aber nur in zusätzlichen Optionen enthalten und damit mit zusätzlichen Kosten verbunden. Was oft übersehen wird, sind Funktionen, die frei verfügbar sind oder das durch Änderungen an den Lizenzbedingungen werden. Wir haben da in einem vorigen Blogeintrag bereits auf Spatial, Graph und Machine Learning aufmerksam gemacht.

Heute wollen wir auf ein paar weitere interessante Funktionen eingehen. Dabei unterscheiden wir nach Standard und Enterprise Edition. Beginnen wir mit der

Native Network Encryption

Vor langer Zeit war die Verschlüsselung von SQL*Net Datenverkehr Teil der Advanced Security Option in der Enterprise Edition. Seit vielen Jahren ist das jedoch nicht mehr der Fall, die Verschlüsselung kann in allen Editionen kostenfrei verwendet werden. 

Transport Layer Encryption

Nicht nur die SQLNet Encryption ist in allen Editionen frei verfügbar, auch Verbindungen mittels SSL/TLS sind ohne zusätzliche Kosten in allen Editionen nutzbar.

Strong Authentication

Und noch ein Feature ist nicht länger Bestandteil der Advanced Security Option, nämlich die Möglichkeit, Benutzer über Radius, Kerberos oder PKI zu authentifizieren. Diese Möglichkeiten stehen nun auch in allen Editionen offen.

Passwortlose Benutzer

Ein spannendes Sicherheitsfeature wurde mit der Version 18c eingeführt, Datenbankbenutzer ohne Passwort. Diese Art von Benutzern kann sich mangels Passwort nicht direkt an der Datenbank anmelden, das ist nur über einen Proxy-Benutzer möglich. Damit lassen sich Benutzer besser von Schemas trennen, beides war bis dato vermischt.

Privilege Analysis

Bei der Frage nach benötigten Berechtigungen während der Einrichtung von Datenbankanwendungen mündet das  oftmals in der Antwort "Mit der Rolle DBA funktioniert es". Will man aber das Least Privilege Principle anwenden, ist das wenig hilfreich. Hier hilft Privilege Analysis weiter, denn damit lassen sich die tatsächlich benötigten Berechtigungen genau ermitteln und anschließend zur Anwendung bringen.

Centrally Managed Users

Üblicherweise findet die Nutzerverwaltung direkt in der Datenbank statt. Es ist aber nunmehr auch möglich, die Benutzer zentral in einem Microsoft Active Directory zu verwalten. Das funktioniert nun direkt und ohne eine Zwischeninstanz. Benutzer können direkt mithilfe des Active Directories authentifiziert und autorisiert werden.

Virtual Private Database

Dieses Feature existiert schon länger, ist deswegen aber nicht weniger interessant. Denn damit lassen sich durch die Einrichtung eines Regelwerkes Zugriffe auf Dateninhalte direkt in der Datenbank regeln. Es kann also abhängig von den Berechtigungen eines Benutzers die Sichtbarkeit von Daten gesteuert werden. Es ist so z.B. möglich, den Zugriff auf Teilmengen von Tabelleninhalten zu beschränken.

Transparent Sensitive Data Protection
Dieses Feature erlaubt es, Inhalte von Tabellenspalten nach ihrer Sensitivität klassifiziert werden. Darauf aufbauend werden Regeln definiert, wie mit Zugriffen auf sensitive Daten umgegangen werden soll. Die Daten können dann z.B. ausgeblendet oder verschleiert werden.

Security Assessment Tool (DBSAT)

Dieses Tool dient zur Analyse von Datenbanken hinsichtlich der Sicherheit. Es sammelt zahlreiche Informationen rund um das Thema Sicherheit, bereitet diese auf und gibt Empfehlungen zur Verbesserung der Situation. Das Tool selbst ist frei über My Oracle Support zu beziehen, jedoch sind viele der Empfehlungen nur mit einer Enterprise Edition Lizenz und ggf. zusätzlichen Optionen umsetzbar.