Externe Einflüsse wie Gesetze fordern die IT auf, (unsere) Daten zu schützen. Doch wie prüft man die eingestellte Sicherheit einer Oracle Datenbank überhaupt? Ist die geforderte Sicherheit ausreichend umgesetzt und zwar im Idealfall entsprechend dem notwendigen Schutzbedarf? Wann haben Sie eigentlich die Sicherheit Ihrer Oracle Datenbank das letzte Mal überprüft? Und noch besser gefragt, kennen Sie die Bedrohungen und die davon abgeleiteten Risiken? Alles Fragen deren Antworten ein verantwortlicher Anwendungsbesitzer sofort parat haben sollte oder sehen Sie das anders?

Wie kann man sich am besten vor Bedrohungen schützen? Die einzige richtige Antwort auf diese Frage ist, durch Informationen und daraus abgeleitetes Wissen. Nun umfassen Informationen und das darin versteckte Wissen wahrscheinlich sehr viele Quellen. D.h. es wird immer schwieriger sich das richtige Wissen anzueignen und dieses Wissen für den Schutz von Daten und Datenbanken anzuwenden.
Betrachtet man die Oracle Datenbank, dann empfehle ich zwei wesentliche Bereiche, die man tun muss bzw. wissen sollte.

1. Die Best Practices Lösungen kennen, die man implementieren sollte und teilweise muss, um gute Sicherheit zu garantieren.
   Ich nenne diesen Bereich „13 Lösungen für eine höhere Sicherheit in einer Oracle Datenbank (Best Practices)“
2. Wie sieht der wirkliche Sicherheitszustand einer Oracle Datenbank aus.
   Diesen Bereich nenne ich „Check Oracle DB Security“

In diesem Beitrag möchte ich Sie nun in die Grundlagen einer guten Oracle Datenbank Sicherheit einführen und Sie befähigen, den Sicherheitszustand Ihrer Datenbank selber bestimmen zu können.

13 Lösungen für eine höhere Sicherheit in einer Oracle Datenbank (Best Practices)“

1.  Password-Management aktiveren:
   Seien Sie sich bewusst, dass schwache Passwords eine hohe Bedrohung bedeuten. Aktivieren Sie ein vernünftiges Password Management
2. Kennen Sie den Funktionsumfang Ihrer aktuellen Datenbank Version, auch die Funktionen, die nicht mehr unterstützt werden.
   Der "New Feature und Upgrade Guide" sollte eine Pflichtlektüre werden.
3. Implementieren Sie eine passende Mindestsicherheit.
   Oracle liefert hier viele Vorgaben.
4. Haben Sie das Rollen- und Account Management im Griff
   Hier geht es um eine kontrollierte Privilegien-Vergabe (Least Privileg), eine Zwecktrennung im Account Management und eine andauernde Überprüfung des Rollenmanagements und Zugriffskonzepts
5. Sicheres Datenbank Link Konzept implementieren
   Gerade im Bereich der Datenintegration werden wiederholt DB Links in der Datenbank konfiguriert. Diese Links eröffnen u.U. unkontrollierte Zugriffe auf entfernte Datenbanken. Tracken Sie den Zugriff und setzen Sie ein sicheres DB Link Konzept um. Oracle liefert hier die entsprechenden Vorgaben.
6. Definieren Sie Schutz-Policies für Ihre Anwendungen.
   Hierunter fällt z.B. ein richtiges Anwendungs-Owner und Anwendungs-User Setup
7. Implementieren Sie den notwendigen Datenschutz für wichtige Daten
   Kennen Sie die Daten, die geschützt werden müssen und schützen Sie diese angemessen.
8. Kontrollieren Sie den Ressourcenverbrauch in Ihrer Datenbank
9. Implementieren Sie eine sinnvolle Zwecktrennung in der Datenbank
   Auch bei der Datenbank ist es sinnvoll eine Zwecktrennung zu implementieren.
10. Schalten Sie eine sinnvolle und gesetzeskonforme Protokollierung ein.
    Gesetze erfordern das und Oracle gibt eine Mindestprotokollierung vor.
11. Implementieren Sie Prozesse, die den guten Zustand der Datenbank erhalten
12. Führen Sie regelmäßige Health- Checks durch
    Oracle liefert z.B. mit dem Enterprise Manager eine vollständige Library.
13. Definieren Sie ein funktionierendes Patch-Management
    Kennen Sie die Critical Patch Updates und handeln Sie falls notwendig.
    

Check Oracle DB Security oder wer den Sicherheitszustand nicht kennt, wird auch keine Maßnahmen ergreifen

Den Sicherheitszustand einer Oracle Datenbank zu überprüfen, ist sehr wichtig. Hierfür kann man verschiedene Anwendungen nutzen, die im Markt erhältlich sind. Eine gute Entscheidung wäre z.B. den Oracle Enterprise Manager (Cloud Control) mit dem Lifecycle Management zu nutzen, der periodisch den Sicherheitszustand für Sie ermittelt.
Eine manuelle Überprüfung ist auch möglich, erfordert aber tiefes Wissen. Doch auch trotz der hohen Wissensanforderung ist ein Verstehen, wie man eine Oracle Datenbank manuell auf Sicherheit überprüft, wichtig.

Vertrauen Sie nicht mehr auf Vermutungen, sondern nehmen Sie die Sicherheit Ihrer Datenbank ernst und lernen Sie den realen Zustand Ihrer Datenbank kennen. Wissen über reale Zustände und Wissen über geeignete Konzepte schützen. Erst dann können Sie entscheiden, welche Maßnahmen tatsächlich notwendig sind.

Weiterführende Informationen:

Oracle Online Dokumentation für die Datenbank

Verschiedene Artikel in der Knowledge Base vom Oracle Support

Das neue Buch „Oracle Security in der Praxis. Vollständige Sicherheitsüberprüfung Ihrer Oracle Datenbank“.