18. August 2015

Oracle DB Sec. Community stellt Template für die eingestelltte Mindestsicherheit einer Oracle DB (11.2.0.4) zur Verfügung.

Die Oracle DB Security Community ist eine Gruppe von Oracle DB Experten in Deutschland. Aus dieser Gruppe heraus wurde ein Template entwickelt, das eine Mindestsicherheit für neu erstellte DB Instanzen in der Version 11.2.0.4 erstellt. Es wurden sozusagen die Oracle Empfehlungen aus dem Oracle DB Security Guide und weitere Best Practices implementiert.

Die Scriptsammlung und das Setup Guide wurden in meinem Oracle Blog veröffentlicht.

Ein weiteres Template für 12c Datenbanken wird demnächst folgen.

Wir machen Deutschlands Daten sicher(er)




8. Juni 2015

Danke für die tolle Zusammenarbeit im vergangenen Oracle-Geschäftsjahr

Liebe Kunden, Partner und Kollegen,

Ende Mai ist das Oracle Geschäftsjahr zu Ende gegangen.
Ich bedanke mich bei Ihnen/Euch für die tolle Zusammenarbeit und freue mich schon jetzt auf die neuen Projekte in diesem Geschäftsjahr.



Liebe Grüße
Carsten Mützlitz

9. April 2015

Eine geniale Lösung für das Benutzermanagement - in nur einer Minute implementiert

Typischerweise haben viele Kunden bereits eine zentrale Benutzerverwaltung am Start. Im Allgemeinen ist das ein MS Active Directory.
MS AD: Eindeutige Identitäten
Nehmen wir z.B. den Benutzer "Suvad Sahovic". Dieser Benutzer existiert im MS AD und hat verschiedene Rollen im Unternehmen inne. Er ist DBA, Entwickler und Anwender einer HR Anwendung.
Im Sinne seiner Tätigkeit benötigt dieser Benutzer verschiedene Accounts und Tools, um seine Tätigkeiten auszuführen. Das bedeutet letztendlich
  • SSH Zugang, um auf die Systeme zu kommen
  • Entwickler Zugang, um z.B. mit dem SQL Developer zu arbeiten
  • Zugang als DBA, um eben diese Tätigkeit auzuüben
  • Zugang zur HR Anwendung als Endbenutzer
Es wäre schön, wenn der "Suvad" seine Tätigkeiten immer entsprechend des Zwecks durchführen kann, d.h. sein DBA Recht sollte er z.B. nicht als Entwickler oder HR-Endanwender ausführen.

Die Idee ist nun den Benutzer aus dem MS AD zu verwenden und damit einen Zugang einzustellen, mit dem alle Tätigkeiten ausgeführt werden können.

SSH Zugriff mit dem Account aus dem MS AD via Kerberos
Zugang ins Entwicklungstool ohne Username und PW mittels Kerberos

Zugang ins SQL Plus mittels Kerberos
  
Zugang als DBA
Zugang als HR Anwender
Ein Anwender arbeitet mit seinem Account aus dem MS AD automatisch zweckgetrennt in den Systemen und Anwendungen. Es existiert nur eine Benutzerverwaltung mit der man sehr viele Systeme und Anwendungen anbinden kann. Das reduziert die Komplexität und erhöht die Sicherheit.

Was bringt so eine Lösung für eine Datenbank-Umgebung?

  • Starke Authentifizierung (Kerberos) in der Oracle Datenbank Welt, die bereits in Ihrem Unternehmen weitgehend genutzt wird.
  • Zentralisierte Benutzerauthentifizierung durch bestehende Infrastruktur (Oracle Datenbank und MS Active Directory)
  • Zentralisiertes Password Management. Erzwingung der Passwortrichtlinien durch Einsatz der bestehenden Infrastruktur (MS Active Directory).
  • Zwecktrennung. Account Management und Applikations/DB Management wird voneinander getrennt.
  • Reduzierung der Komplexität. Durch Zentralisierung und Auslagerung werden viele Betriebsaufgaben überflüssig.
  • Reduzierung vieler administrativen DB Aufgaben. Bei den DBAs entfallen viele Aufgaben z.B. im Bereich User Management, Password Mgmt, etc.,die nicht anderweitig ausgelagert werden, sondern die einfach entfallen. Es wird die bestehende Infrastruktur dafür verwendet.
  • Keine User Repository Redundanzen. Es wird Ihr bestehendes User Repository (typischerweise MS Active Directory) als führendes Benutzer Verzeichnisdienst verwendet.
  • Einhaltung und Erzwingung der unternehmerischen Sicherheitsrichtlinien. Vorhandene Inkonsequenzen, falsche oder falsche implementierte Security Konzepte, verursacht durch menschliches Versagen, werden ausgeschlossen.
  • Einhaltung und Erzwingung der gesetzlichen Vorgaben.
  • Single Sign On. Es wird ein bestehendes unternehmensweites Single Sign On (basierend auf Kerberos) nachhaltig genutzt.
  • Erzwingung von Least Privilege Konzept. Durchgehendes Konzept, welches nicht umgegangen werden kann.
  • Eindeutigkeit und bessere Nachvollziehbarkeit.
  • Eindeutig mehr Transparenz.
  • Nutzung der bestehender Infrastruktur.
Wie implementiert so eine Lösung?

Wie man so etwas in ca. 1 Minute implementiert, zeigen wir auf dem Oracle Direct Security Day am 16.4.2015. Diese Veranstaltung wird online und live ausgestrahlt. Für eine Teilnahme muss man sich registrieren: http://bit.ly/ODSD2015

Wir freuen uns auf Sie, melden Sie sich noch heute an.

23. März 2015

Eine bewußte Entscheidung für die IT Sicherheit - Der Security Smoke Test

Der beste Schutz von IT Anwendungen ist Wissen. Nur dann werden bewußte Entscheidungen für die IT Sicherheit getroffen. Eine bewußte Entscheidung setzt immer voraus, dass der Entscheider der eine Entscheidung trifft, sich mit dem Thema intensiv auseinder gesetzt hat. Udd so muss es sein.

Bewusste Einscheidungen im Betrieb einer DB sollten immer folgende Dinge beinhalten:
  1. OS Härtung
    z.B. nach STIGs Stigs: openScap ist für Windows und UNix-Betriebssysteme verfügbar und Oracle liefert hier sogenannte Security Technical Implementation Guides.
    Auch die Dokumentation hält hier entsprechende Empfehlungen bereit:
    Security Guide for OL6
    Oracle Secure Configuration Initiave
  2.  DB Härtung
    z.B. nach STIGS und eigener definierter Standard. Natürlich auch unter Betrachtung des Oracle Security DB Guide
  3.  Prüfung der Anwendung und Anwendungssetup
  4. Zugriffskontrolle entsprechend least Privilege
  5. und eben all Ihre bewußten Entscheidungen
  6. ...
Der Security Smoke Test stellt eine schnelle Möglichkeit zur Verfügung, Systeme auf Sicherheit zu überprüfen.

Ein Smoketest ist eine Art Probelauf z.B. vor der Produktivsetzung nach einer Reparatur oder einem Releasewechsel. Fokussiert der Smoketest auf Security, dann ist es eben ein Probelauf für die Security.

In einem 3-Tages Schnell-Hack habe ich eine bewusste Entscheidung in einen Security Smoketest für Datenbanken gegossen. Und das ist dabei rausgekommen:
Mein Security Smoketest behandelt insgesamt 7 Bereiche, die er automtisiert gegen ein System testet:
  1. System Scan:
    Port Scanning, SID Scanning, Bruteforce Attacke für Standard Acounts
    Also ein typische Attacke auf DB Systeme wird durchgeführt
  2. DB Parameter
    Grobe Prüfung der sicherheitsrelevanten init.ora Parameter
  3. PW Management
    Default PW in der DB, User im PW File, PW Versionen
  4. Role Management
    Anwendungsbezogene Rollen, Rollen Ersteller (Zwecktrennung), Rolen KOmplexität, Standard Rollen an User (CONNECT, RESOURCE), Deadly Roles an User
  5. Privilegien
    Power-Privilegien, Network Packages Privilegien, Mögliche Privileg Eskalationen in Apps-Schematas, Privileg Eskalation (alle Benutzer)
  6. User Management
    Benutzergruppen, Profile, Security Attribute der Profile
  7. Audit Policy
    Fehlende Einstellungen lt. Oracle DB Security Guide
Alle Überprüfungen (17) werden mit einem Score versehen und dokumentiert. Der Gesamtscore stellt das zu erwartende Risiko einer Bedrohung dar. Je höher der Wert, desto höher die Bedrohung.

Scoring der Security nach Durchführung des Security Smoktests
Die Trendanalyse stellt den Gesamtscore der Auswertung entsprechend der Ausführungszeit gegenüber.
Trendanalyse entsprechend Score

Innerhalb der 7 Untersuchungsbereiche werden die Ergebnisse des Test sehr detailliert dargestellt. Die wichtigen Aussagen sind farblich markiert, wobei "geld" als Warning zu verstehen ist (Scorewert=5) und "rot" ist eine starke Bedrohung (Scorewert=20).
Detaillierte Darstellung des Systemscans
Betrachten man z.B. das Usermanagement innerhalb des Security Smoketest dann werden folgende Bereiche untersucht:
  • Benutzergruppen
    Hier kann man viele interessante Dinge ableiten. Welche Benutzergruppen existieren? Gibt es eine Verletzung der Zwecktrennung (z.B. Anwendungsuser ist Admin)? Wer sind die Anwendungsobject-Besitzer und wer die Anwendungsuser?
  • Profile
    Gibt es entsprechend den Benutzergruppen auch dedizierte Profile?
    Ist das PW-Management in den profilen eingeschaltet.
Benutzermanagement


Wie das nun im Detail funktioniert, verrate ich auf dem Oracle Direct Security Day am 16.4.2015 in Potsdam oder Online.
Diese Veranstaltung ist kostenlos. Die Anmeldung und weitere Informationen finden SIe unter http://bit.ly/ODSD2015

20. Februar 2015

Der OracleDirect Security Day am 16.4.2015 in Potsdam oder online

Am 16.4.2015 veranstalten wir bei Oracle in Potsdam einen OracleDirect Security Day.
Wir haben
  • 6 Präsentationen, 
  • 6 ganztägige Infosstände mit Live-Demos sowie 
  • einen Hands-on Workshop vorbereitet.

An diesem Tag widmen wir uns ausschließlich der IT-Sicherheit. Wir zeigen typische Gefahren und deren sinnvolle Lösungen.
Drei Hightlights möchte ich schon heute nennen:
  1. Der Security-Smoke-Test (den werde ich vorstellen)
  2. Eine Lösung zum Benutzermanagement, die das Password-Problem auflöst, Zwecktrennung automatisch implementiert und erzwingt, sowie erheblich Admin-Aufwände (vorgestellt von meinem Kollegen Suvad Sahovic.
  3. die Firma eperi hat den Gewinner der Cyber Challenge Germany ermutigt einen Live Hack auf eine ungeschützte Datenbank vorzunehmen.
Natürlich gibt es weitere Highlights, lassen Sie sich überraschen.
Eine Übersicht des Tages finden Sie auf meinem offiziellen Oracle Blog. Die Registierung zu diesem kostenlosen Event führen Sie unter http://bit.ly/ODSD2015 durch.

Das Programmheft finden Sie hier.

Oracle Direct Security Day am 16.4.2015 in Potsdam

26. September 2014

DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas

Auf der SIG Security der DOAG habe ich über das Thema Enterprise User Security für DBAs referiert oder anders gesagt "Wie erfülle ich innerhalb einer Stunde Compliance- Anforderungen?".
Im Nachgang die Folien auf Slideshare:

15. September 2014

Bedrohung Verlust der Verfügbarkeit: In-Memory mal anders erklärt

Um es mal auf den Punkt zu bringen: Geniale Konzepte sollten auch weitererzählt werden. Mit der Oracle In-Memory Option hat Oracle gezeigt, wie man mit einem Patch-Release erhebliche Mehrwerte schaffen kann. Die Aktivierung dieser Option ist sehr einfach, also das Gegenteil von komplex!