Mal kurz erklärt: Advanced Security Option (ASO)
Posted
by Anne Manke
on Oracle Blogs
See other posts from Oracle Blogs
or by Anne Manke
Published on Mon, 26 Nov 2012 15:51:34 +0000
Indexed on
2012/11/26
17:19 UTC
Read the original article
Hit count: 334
/Oracle
WER?
Kunden, die die Oracle Datenbank Enterprise Edition einsetzen und
deren Sicherheitsabteilungen bzw. Fachabteilungen die Daten- und/oder Netzwerkverschlüsselung fordern
und / oder
die personenbezogene Daten in Oracle Datenbanken speichern
und / oder
die den Zugang zu Datenbanksystemen von der Eingabe Benutzername/Passwort auf Smartcards oder Kerberos umstellen wollen.
WAS?
Durch das Aktivieren der Option Advanced Security können folgende Anforderungen leicht erfüllt werden:
- Einzelne Tabellenspalten gezielt verschlüsselt ablegen, wenn beispielsweise der Payment Card Industry Data Security Standard (PCI DSS) oder der Europäischen Datenschutzrichtlinie eine Verschlüsselung bestimmter Daten nahelegen
- Sichere Datenablage – Verschlüsselung aller Anwendungsdaten
- Keine spürbare Performance-Veränderung
- Datensicherungen sind automatisch verschlüsselt - Datendiebstahl aus Backups wird verhindert
- Verschlüsselung der Netzwerkübertragung – Sniffer-Tools können keine lesbaren Daten abgreifen
- Aktuelle Verschlüsselungsalgorithmen werden genutzt (AES256, 3DES168, u.a.)
WIE?
Die Oracle Advanced Security Option ist ein wichtiger Baustein einer ganzheitlichen Sicherheitsarchitektur. Mit ihr lässt sich das Risiko eines Datenmissbrauchs erheblich reduzieren und implementiert ebenfalls den Schutz vor Nicht-DB-Benutzer, wie „root unter Unix“. Somit kann „root“ nicht mehr unerlaubterweise die Datenbank-Files lesen . ASO deckt den kompletten physikalischen Stack ab. Von der Kommunikation zwischen dem Client und der Datenbank, über das verschlüsselte Ablegen der Daten ins Dateisystem bis hin zur Aufbewahrung der Daten in einem Backupsystem.
Das BVA (Bundesverwaltungsamt) bietet seinen Kunden mit dem neuen Personalverwaltungssystem EPOS 2.0 mehr Sicherheit durch Oracle Sicherheitstechnologien an.
Und sonst so?
Verschlüsselung des Netzwerkverkehrs
Wie beeinflusst die Netzwerkverschlüsselung die Performance?
Unsere Kunden bestätigen ständig, dass sie besonders in modernen Mehr-Schichten-Architekturen Anwender kaum Performance-Einbußen feststellen. Falls genauere Daten zur Performance benötigt werden, sind realitätsnahe, kundenspezifische Tests unerlässlich.
Verschlüsselung von Anwendungsdaten (Transparent Data Encryption-TDE )
Muss ich meine Anwendungen umschreiben, damit sie TDE nutzen können?
NEIN. TDE ist völlig transparent für Ihre Anwendungen.
Kann ich nicht auch durch meine Applikation die Daten verschlüsseln?
Ja - die Applikationsdaten werden dadurch allerdings nur in LOBs oder Textfeldern gespeichert. Und das hat gravierende Nachteile:
Es existieren zum Beispiel keine Datums- /Zahlenfelder.
Daraus folgt, dass auf diesen Daten kein sinnvolles Berichtsverfahren funktioniert.
Auch können Applikationen nicht mit den Daten arbeiten, die von einer anderen Applikation verschlüsselt wurden.
Der wichtigste Aspekt gegen die Verschlüsselung innerhalb einer Applikation ist allerdings die Performanz. Da keine Indizes auf die durch eine Applikation verschlüsselten Daten erstellt werden können, wird die Datenbank bei jedem Zugriff ein Full-Table-Scan durchführen, also jeden Satz der betroffenen Tabelle lesen. Dadurch steigt der Ressourcenbedarf möglicherweise enorm und daraus resultieren wiederum möglicherweise höhere Lizenzkosten.
Mit ASO verschlüsselte Daten können von der Oracle DB Firewall gelesen und ausgewertet werden.
Warum sollte ich TDE nutzen statt einer kompletten Festplattenverschlüsselung?
TDE bietet einen weitergehenden Schutz. Denn TDE schützt auch vor Systemadministratoren, die zwar keinen Zugriff auf die Datenbank, aber auf der Betriebssystemebene Zugriff auf die Datenbankdateien haben.
Ausserdem bleiben einmal verschlüsselte Daten verschlüsselt, egal wo diese hinkopiert werden. Dies ist bei einer Festplattenverschlüssung nicht der Fall.
Welche Verschlüsselungsalgorithmen stehen zur Verfügung?
AES (256-, 192-, 128-bit key)
3DES (3-key)
© Oracle Blogs or respective owner