Secure Technical Implementation Guide for databases by Martin Obst

1. Security Day 2015
Umfassende Datenbank-Sicherheit
mit Enterprise Manager
Martin Obst
Systemberatung Potsdam
Oracle Direct

2. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
Share with
Bitte Fragen
über den
WebEx-Chat
#ODSD2015
2OracleDirect Security Day 2015

3. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
Safe Harbor Statement
The following is intended to outline our general product direction. It is intended for
information purposes only, and may not be incorporated into any contract. It is not a
commitment to deliver any material, code, or functionality, and should not be relied upon
in making purchasing decisions. The development, release, and timing of any features or
functionality described for Oracle’s products remains at the sole discretion of Oracle.
3Oracle Direct Security Day, 16. April 2015

4. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015
Oracle Enterprise Manager als Werkzeug bei Strategie-Definition, Schwachstellen-
Analyse und deren kontinuierlicher Umsetzung
Datenbank-SICHERHEIT als Prozess
Sicherheitsprozess
Initialaktivitäten
Laufende Aktivitäten
Umsetzungen / Betrieb
Prozesse
Sicherheitsstrategie
Risikomanagement
Sicherheitsmgmt.
Schutz
Informationswerte
(Vetraulichkeit,
Integrität)
Sicherstellung der
Verfügbarkeit
Disaster Recovery
/Business
Continuity Planning
Monitoring
Auditing
Bereiche
Technisch
Physisch Organisatorisch
Systeme
(HW& OS)
Netze Software Daten
Build
Operate
Ablauf
Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung
Risikomanagement
Security Policy, Standards & Procedures
Sicherheits-
organisation
Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Sicherheitszonen
Zugangskontrollen
Zutrittsicherungs-
sytemeFirewalls
Netzwerkdesign
Clustering
Netzwerkmgmt.
Virenschutz-
management
Sichere OS
System-
Aktualisierung
SW-Design
Verbindlichkeit
Datenklassifik.
Datenträger
System-
performance
Monitoring
CM
Gebäudesicherheit
Personelle Sicherheit
Arbeitsplatz
Schutz vor Elem-
entarereignissen
Notfallpläne
(Contingency Plans)
Intrusion Detection Systems
Gebäude-
überwachung
Videoaufzeichnung
Activity Logging
Sicherheitsaudits
Vulnerability Checks
Sicherheitsmanagement
Security Vision, Strategie für den Umgang mit unternehmenskritischen Infrastrukturen und Informationswerten
Governance
HR-Prozesse
Betriebl. Praktiken
Awareness
Training
Backup, Backup-Facitilites
Logging, Evaluierung, Behandlung von Sicherheitsvorfällen
System Recovery
Informationssicherheit ist
ein Prozess, der alle Teile
eines Unternehmens be-
trifft. Es reicht nicht zu
denken: “Die IT Abteilung
wird mich schon schützen”
4
Compliance
Frameworks
im Enterprise
Manager
sicherheits-
relevante
Messpunkte
• Bestimmung
(initial)
• Überwachung
/ Auditierung
(kontinuierl.)
• Behebung
Hot-Backup
Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung
Security Policy, Standards & Procedures
Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN
Virenschutz-
management
Sichere OS
System-
Aktualisierung
Datenklassifik.
Datenträger
System-
performance
Monitoring
CM
Sicherheitsaudits
Vulnerability Checks
Logging, Evaluierung, Behandlung von Sicherheitsvorfällen

5. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
Wie ? Konkret ?!
• Welche Datenbanken sind betroffen?
• Welche Sicherheits-Lücken bestehen?
• Wie kritisch stellen sich diese Situationen dar?
• Wer beschäftigt sich mit der Härtung der Datenbanken?
– Wieviel Arbeitszeit wird für die Vorbereitung verwendet? (Schulung / Internet)
– Wieviel Arbeitszeit wird für die Analyse verwendet? (eigene Umgebung)
– Wieviel Arbeitszeit wird für die Schließung von Lücken verwendet?
Oracle Direct Security Day, 16.04.2015 5
Viel Aufwand von der initialen Definition bis zur konkreten Umsetzung

6. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015
Oracle Enterprise Manager als Werkzeug bei Strategie-Definition, Schwachstellen-
Analyse und deren kontinuierlicher Umsetzung
SICHERHEIT für Ihre Datenbanken
Sicherheitsprozess
Initialaktivitäten
Laufende Aktivitäten
Umsetzungen / Betrieb
Prozesse
Sicherheitsstrategie
Risikomanagement
Sicherheitsmgmt.
Schutz
Informationswerte
(Vetraulichkeit,
Integrität)
Sicherstellung der
Verfügbarkeit
Disaster Recovery
/Business
Continuity Planning
Monitoring
Auditing
Bereiche
Technisch
Physisch Organisatorisch
Systeme
(HW& OS)
Netze Software Daten
Build
Operate
Ablauf
Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung
Risikomanagement
Security Policy, Standards & Procedures
Sicherheits-
organisation
Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Sicherheitszonen
Zugangskontrollen
Zutrittsicherungs-
sytemeFirewalls
Netzwerkdesign
Clustering
Netzwerkmgmt.
Virenschutz-
management
Sichere OS
System-
Aktualisierung
SW-Design
Verbindlichkeit
Datenklassifik.
Datenträger
System-
performance
Monitoring
CM
Gebäudesicherheit
Personelle Sicherheit
Arbeitsplatz
Schutz vor Elem-
entarereignissen
Notfallpläne
(Contingency Plans)
Intrusion Detection Systems
Gebäude-
überwachung
Videoaufzeichnung
Activity Logging
Sicherheitsaudits
Vulnerability Checks
Sicherheitsmanagement
Security Vision, Strategie für den Umgang mit unternehmenskritischen Infrastrukturen und Informationswerten
Governance
HR-Prozesse
Betriebl. Praktiken
Awareness
Training
Backup, Backup-Facitilites
Logging, Evaluierung, Behandlung von Sicherheitsvorfällen
System Recovery
Informationssicherheit ist
ein Prozess, der alle Teile
eines Unternehmens be-
trifft. Es reicht nicht zu
denken: “Die IT Abteilung
wird mich schon schützen”
6
Compliance
Frameworks
im Enterprise
Manager
sicherheits-
relevante Punkte
• Bestimmung
(initial)
• Überwachung
/ Auditierung
(kontinuierl.)
• Behebung
Hot-Backup
Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung
Security Policy, Standards & Procedures
Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN
Virenschutz-
management
Sichere OS
System-
Aktualisierung
Datenklassifik.
Datenträger
System-
performance
Monitoring
CM
Sicherheitsaudits
Vulnerability Checks
Logging, Evaluierung, Behandlung von Sicherheitsvorfällen
• Anwendung von Best Practices auf die eigene konkrete
System-Umgebung
• Risiko-Bewertungen verschieden
• Metriken identisch
• Compliance Frameworks vor-implementiert
• Anwendung je nach individueller Bewertung
• Überwachung / Auditierung identisch

7. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
Compliance Frameworks im Enterprise Manager
• „normale“ Basis-Compliance Standards
– Basic Security Configuration For Oracle Cluster DB und Oracle Cluster DB Instance
– Basic Security Configuration For Oracle DB
– Basic Security Configuration For Oracle Listener
– Basic Security Configuration For Oracle Pluggable Database
– 909 Compliance Standard Regeln für Basis-Sicherheit
• weitere mitgelieferte Compliance Frameworks (Sicherheit):
– PCI DSS (Version 2.0) (nur Beispiel)
– Oracle Engineered Systems Compliance
– Oracle Generic Compliance Framework
Oracle Direct Security Day, 16.04.2015 7
Mehrwerte „out of the box“

8. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
Und noch ein weiteres Compliance Framework
• Security Technical
Implementation Guides
• = direkt anwendbare Prozeduren
zur Feststellung des Status
• bereitgestellt durch
Technologie-Hersteller
(u.A. Oracle) für US Defense
Information Systems Agency
Oracle Direct Security Day, 16.04.2015 8
Speziell für höchste Sicherheits-Ansprüche
Quelle: http://iase.disa.mil/stigs/app-security/database/Pages/index.aspx

9. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
Beispiel für eine STIG-Regel
Group ID (Vulid): V-2531
Group Title: Oracle OS_AUTHENT_PREFIX parameter
Rule ID: SV-24902r2_rule
Severity: CAT III
Rule Version (STIG-ID): DO3447-ORACLE11
Rule Title: The Oracle OS_AUTHENT_PREFIX parameter should be changed from the default value of OPS$.
Vulnerability Discussion: The OS_AUTHENT_PREFIX parameter defines the prefix for database account names to be identified EXTERNALLY by the operating system. When set to the special value of OPS$, accounts
defined with the prefix of OPS$ may authenticate either with a password or with OS authentication. Use of more than one authentication method to access a single account results in a loss of accountability, that is, it is similar to a shared
account. Setting this parameter to a value other than OPS$ prevents a shared usage of a single account.
Responsibility: Database Administrator
IAControls: IAGA-1
Check Content:
From SQL*Plus: select value from v$parameter where name = 'os_authent_prefix';
If the value returned is OPS$ or ops$, this is a Finding.
Fix Text: Specify an operating system authenticated username prefix other than OPS$.
From SQL*Plus: alter system set os_authent_prefix = [prefix value] scope = spfile;
Compliant selections for [prefix value] are:
a null string ('')
a text value other than 'OPS$'
The above SQL*Plus command will set the parameter to take effect at next system startup.
Oracle Direct Security Day, 16.04.2015 9
konkrete Nutzung ohne Hilfsmittel aufwendig

10. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
STIGs im Enterprise Manager
• Vorarbeit bereits erledigt
– 92 Regeln für sichere Installation
– 96 Regeln für sichere Konfiguration
– „neues Rad“ notwendig für mein Unternehmen ?
• andere Frage: Wie funktioniert die effektive Anwendung des neuen
Standards basierend auf dem US Defense Information Systems Agency
(DISA) Security Technical Implementation Guide (STIG)?
• a u t o m a t i s i e r t mit dem Oracle Enterprise Manager !
Oracle Direct Security Day, 16.04.2015 10
Konzentration auf die Oracle Datenbank

11. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
STIGs im Enterprise Manager
= direkt anwendbare Prozeduren zur Feststellung des Status
– automatische Ausführung der geskripteten Prüfung der Umgebungen
• Single Instance Datenbank
• Cluster Datenbank (Real Application Clusters)
• Listener
– Darstellung in Compliance Dashboard
• Kategorisierung nach Schweregrad
• Berichte über BI Publisher (out of box oder selbst definiert)
– detaillierte Empfehlungen für jedes einzelne Ziel
Oracle Direct Security Day, 16.04.2015 11
Viel mehr als nur Checklisten

12. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
D E M O
Oracle Direct Security Day, 16.04.2015 12

13. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | OracleDirect Security Day 2015
Oracle Enterprise Manager als Werkzeug bei Strategie-Definition, Schwachstellen-
Analyse und deren kontinuierlicher Umsetzung
SICHERHEIT für Ihre Datenbanken
Sicherheitsprozess
Initialaktivitäten
Laufende Aktivitäten
Umsetzungen / Betrieb
Prozesse
Sicherheitsstrategie
Risikomanagement
Sicherheitsmgmt.
Schutz
Informationswerte
(Vetraulichkeit,
Integrität)
Sicherstellung der
Verfügbarkeit
Disaster Recovery
/Business
Continuity Planning
Monitoring
Auditing
Bereiche
Technisch
Physisch Organisatorisch
Systeme
(HW& OS)
Netze Software Daten
Build
Operate
Ablauf
Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung
Risikomanagement
Security Policy, Standards & Procedures
Sicherheits-
organisation
Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN Sicherheitszonen
Zugangskontrollen
Zutrittsicherungs-
sytemeFirewalls
Netzwerkdesign
Clustering
Netzwerkmgmt.
Virenschutz-
management
Sichere OS
System-
Aktualisierung
SW-Design
Verbindlichkeit
Datenklassifik.
Datenträger
System-
performance
Monitoring
CM
Gebäudesicherheit
Personelle Sicherheit
Arbeitsplatz
Schutz vor Elem-
entarereignissen
Notfallpläne
(Contingency Plans)
Intrusion Detection Systems
Gebäude-
überwachung
Videoaufzeichnung
Activity Logging
Sicherheitsaudits
Vulnerability Checks
Sicherheitsmanagement
Security Vision, Strategie für den Umgang mit unternehmenskritischen Infrastrukturen und Informationswerten
Governance
HR-Prozesse
Betriebl. Praktiken
Awareness
Training
Backup, Backup-Facitilites
Logging, Evaluierung, Behandlung von Sicherheitsvorfällen
System Recovery
Informationssicherheit ist
ein Prozess, der alle Teile
eines Unternehmens be-
trifft. Es reicht nicht zu
denken: “Die IT Abteilung
wird mich schon schützen”
13
Compliance
Frameworks
im Enterprise
Manager
sicherheits-
relevante Punkte
• Bestimmung
(initial)
• Überwachung
/ Auditierung
(kontinuierl.)
• Behebung
Hot-Backup
Schwachstellenanalyse, Bedrohungsprofil, Risikobewertung, Maßnahmenpriorisierung
Security Policy, Standards & Procedures
Zugriffssicherung, Authentisierung, Kryptographie, PKI, VPN
Virenschutz-
management
Sichere OS
System-
Aktualisierung
Datenklassifik.
Datenträger
System-
performance
Monitoring
CM
Sicherheitsaudits
Vulnerability Checks
Logging, Evaluierung, Behandlung von Sicherheitsvorfällen
• Anwendung von Best Practices auf die eigene konkrete
System-Umgebung
• Risiko-Bewertungen verschieden
• Metriken identisch
• Compliance Frameworks vor-implementiert
• Anwendung je nach individueller Bewertung
• Überwachung / Auditierung identisch
• Aufdeckung und Behebung von Sicherheitslücken

14. Copyright © 2015 Oracle and/or its affiliates. All rights reserved. | 14
OD Sec Day: Die heutige Tages-Agenda
OracleDirect Security Day 2015
• 10:00 Uhr: Negib Marhoul
Zugunsten einer ganzheitlichen
Sicherheit – Security by Design
• 11:15 Uhr: Martin Obst
Von Oracle entwickelt, im
Enterprise Manager bereits
integriert und direkt nutzbar
• 13:00 Uhr: Carsten Mützlitz
Typische Angriffsszenarien und
deren Auswirkungen
Der Security Smoke Test
• 14:15 Uhr: Michal Soszynski
Störungsfreiheit kritischer IT-
Infrastrukturen
• 15:30 Uhr: Suvad Sahovic
Eine geniale Lösung für das
Benutzermanagement in kurzer
Zeit implementiert
• 16:45 Uhr: Wolfgang Hennes
Sichere Speicherung von Daten
in der Cloud und Live-Hack auf
eine ungeschützte Datenbank