Mal kurz erklärt: Advanced Security Option (ASO)
- by Anne Manke
v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
Heinz-Wilhelm Fabry
12.00
Normal
0
false
false
false
false
EN-US
X-NONE
X-NONE
MicrosoftInternetExplorer4
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Table Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:12.0pt;
mso-para-margin-left:0cm;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:"Times New Roman";
mso-bidi-theme-font:minor-bidi;}
Heinz-Wilhelm Fabry
12.00
Normal
0
false
false
false
EN-US
X-NONE
X-NONE
MicrosoftInternetExplorer4
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Table Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:12.0pt;
mso-para-margin-left:0cm;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:"Times New Roman";
mso-bidi-theme-font:minor-bidi;}
WER?
Kunden, die die Oracle Datenbank Enterprise Edition einsetzen und
deren
Sicherheitsabteilungen bzw. Fachabteilungen die Daten- und/oder
Netzwerkverschlüsselung fordern
und / oder
die personenbezogene
Daten in Oracle Datenbanken speichern
und / oder
die den Zugang zu
Datenbanksystemen von der Eingabe Benutzername/Passwort auf Smartcards oder
Kerberos umstellen wollen.
Heinz-Wilhelm Fabry
12.00
Normal
0
false
false
false
EN-US
X-NONE
X-NONE
MicrosoftInternetExplorer4
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Table Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:12.0pt;
mso-para-margin-left:0cm;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:"Times New Roman";
mso-bidi-theme-font:minor-bidi;}
WAS?
Durch das Aktivieren der
Option Advanced Security können folgende Anforderungen leicht erfüllt werden:
Einzelne Tabellenspalten
gezielt verschlüsselt ablegen, wenn beispielsweise der Payment Card Industry
Data Security Standard (PCI DSS) oder der Europäischen Datenschutzrichtlinie
eine Verschlüsselung bestimmter Daten nahelegen
Sichere Datenablage –
Verschlüsselung aller Anwendungsdaten
Keine spürbare
Performance-Veränderung
Datensicherungen sind
automatisch verschlüsselt - Datendiebstahl aus Backups wird verhindert
Verschlüsselung der
Netzwerkübertragung – Sniffer-Tools können keine lesbaren Daten abgreifen
Aktuelle Verschlüsselungsalgorithmen
werden genutzt (AES256, 3DES168, u.a.)
Heinz-Wilhelm Fabry
12.00
Normal
0
false
false
false
EN-US
X-NONE
X-NONE
MicrosoftInternetExplorer4
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Table Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:12.0pt;
mso-para-margin-left:0cm;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:"Times New Roman";
mso-bidi-theme-font:minor-bidi;}
WIE?
Die Oracle Advanced
Security Option ist ein wichtiger Baustein einer ganzheitlichen
Sicherheitsarchitektur. Mit ihr lässt sich das Risiko eines Datenmissbrauchs
erheblich reduzieren und implementiert ebenfalls den Schutz vor
Nicht-DB-Benutzer, wie „root unter Unix“. Somit kann „root“ nicht mehr
unerlaubterweise die Datenbank-Files lesen . ASO deckt den kompletten
physikalischen Stack ab. Von der Kommunikation zwischen dem Client und der
Datenbank, über das verschlüsselte Ablegen der Daten ins Dateisystem bis hin
zur Aufbewahrung der Daten in einem Backupsystem.
Heinz-Wilhelm Fabry
12.00
Normal
0
false
false
false
EN-US
X-NONE
X-NONE
MicrosoftInternetExplorer4
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Table Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:12.0pt;
mso-para-margin-left:0cm;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:"Times New Roman";
mso-bidi-theme-font:minor-bidi;}
Das BVA
(Bundesverwaltungsamt) bietet seinen Kunden mit dem neuen
Personalverwaltungssystem EPOS 2.0 mehr Sicherheit durch Oracle
Sicherheitstechnologien an.
Heinz-Wilhelm Fabry
12.00
Normal
0
false
false
false
EN-US
X-NONE
X-NONE
MicrosoftInternetExplorer4
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Table Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:12.0pt;
mso-para-margin-left:0cm;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:"Times New Roman";
mso-bidi-theme-font:minor-bidi;}
Und sonst so?
Verschlüsselung des
Netzwerkverkehrs
Wie beeinflusst die Netzwerkverschlüsselung die
Performance?
Unsere Kunden bestätigen
ständig, dass sie besonders in modernen Mehr-Schichten-Architekturen Anwender
kaum Performance-Einbußen feststellen. Falls genauere Daten zur Performance
benötigt werden, sind realitätsnahe, kundenspezifische Tests unerlässlich.
Verschlüsselung von
Anwendungsdaten (Transparent Data Encryption-TDE )
Muss ich meine Anwendungen umschreiben, damit sie TDE
nutzen können?
NEIN. TDE ist völlig
transparent für Ihre Anwendungen.
Kann ich nicht auch durch meine Applikation die Daten
verschlüsseln?
Ja - die
Applikationsdaten werden dadurch allerdings nur in LOBs oder Textfeldern
gespeichert. Und das hat gravierende Nachteile:
Es existieren zum
Beispiel keine Datums- /Zahlenfelder.
Daraus folgt, dass auf
diesen Daten kein sinnvolles Berichtsverfahren funktioniert.
Auch können Applikationen
nicht mit den Daten arbeiten, die von einer anderen Applikation verschlüsselt
wurden.
Der wichtigste Aspekt
gegen die Verschlüsselung innerhalb einer Applikation ist allerdings die
Performanz. Da keine Indizes auf die durch eine Applikation verschlüsselten
Daten erstellt werden können, wird die Datenbank bei jedem Zugriff ein
Full-Table-Scan durchführen, also jeden Satz der betroffenen Tabelle lesen.
Dadurch steigt der Ressourcenbedarf möglicherweise enorm und daraus resultieren
wiederum möglicherweise höhere Lizenzkosten.
Mit ASO verschlüsselte
Daten können von der Oracle DB Firewall gelesen und ausgewertet werden.
Warum sollte ich TDE nutzen statt einer kompletten
Festplattenverschlüsselung?
TDE bietet einen
weitergehenden Schutz. Denn TDE schützt auch vor Systemadministratoren, die
zwar keinen Zugriff auf die Datenbank, aber auf der Betriebssystemebene Zugriff
auf die Datenbankdateien haben.
Ausserdem bleiben einmal
verschlüsselte Daten verschlüsselt, egal wo diese hinkopiert werden. Dies ist
bei einer Festplattenverschlüssung nicht der Fall.
Welche Verschlüsselungsalgorithmen stehen zur Verfügung?
AES (256-, 192-, 128-bit
key)
3DES (3-key)