oracle audit vault & database vault
Post on 13-Jul-2015
1.083 Views
Preview:
TRANSCRIPT
1
<Insert Picture Here>
Oracle Veritabanı Güvenliği Çözümleri – Oracle Audit Vault ve Oracle Database Vault
Orhan Eripek, Senior Oracle DBA, Aksigorta
http://orhaneripek.com/
http://www.youtube.com/user/BilisimSohbetleri
https://www.facebook.com/groups/BilisimSohbetleri
3
Audit (Denetim)
Şirketler;
• Denetim kapsamına alacakları en önemli ve kritik
gördükleri tablolarını belirlemelidir, bu listeyi zaman zaman
güncellemelidir,
• Veritabanlarında kullanıcı aktivitelerini denetlemeli,
loglarını tutmalıdır, logların günlük, aylık, yıllık periyotlarda
büyüme hızlarını izlemeli ve buna göre gerekli kaynak
(Disk, RAM, vs…) artışına gitmelidir,
• Bu logların backup’larını almalıdır,
• Anlık kritik işlemler hakkında Alert mailler ile haberdar
olmalıdır,
• Tüm bu aktiviteleri raporlayabilmelidir.
4
Veritabanı Güvenliği için Kullanılan Uygulamalar
• Veritabanı Güvenliğini, dış kaynaklı felaketlerden ve kötü
niyetli kullanıcılardan korumak için sağlarız.
• Biz bu sunumda kötü niyetli kullanıcılardan veritabanımızı,
dolayısıyla tablespace, tablo, index, package, procedure,
function, vs… tüm objelerimizi nasıl korumaya alırız,
bunlar üzerinde yapılan aktiviteleri (transaction) nasıl
izleriz, nasıl loglarız ve nasıl raporlarız, bunları
inceleyeceğiz,
• Kötü niyetli kullanıcı neler yapabilir? En önemli tablo ve
veritabanı objelerini silebilir, erişmesi yasak olan
tablolarda işlem yapabilir, başka kullanıcılara gizli yetkiler
verebilir, Audit loglarını silebilir, gizli bilgilere erişebilir…
5
En çok bilinen Veritabanı Güvenliği Uygulamaları;
6
Oracle Audit Vault 10.3
Özet olarak açıklamak gerekirse, veritabanı denetim ayarlarını yapabileceğimiz ve
kullanıcıların tüm veritabanı aktivitelerini raporlayabileceğimiz uygulamadır.
7
Oracle Database Vault 10.3
Özet olarak açıklamak gerekirse, DBA veya kullanıcıların şirket uygulamalarına doğrudan
erişimlerinin OS user ve IP bazında kısıtlanabileceği, veritabanı seviyesinde bazı yetki
kurallarını tanımlayarak güvenliği sağlayabileceğimiz uygulamadır.
8
Oracle Audit Vault and Database Firewall 12.1.1 Bu son versiyon ile yapılan temel değişiklikler; Agent’ların çalışma mantığı değiştirildi, artık
Collector+Agent değil de sadece Agent yönetiliyor, raporlama ekranları daha kullanışlı ve
yeni Database Firewall özelliğinin eklenmesi.
9
Oracle Audit Vault 12.1.1 ile beraber gelen Database Firewall uygulaması network üzerinde yetkisiz SQL trafiğini database’e ulaşmadan önce izler ve bloke eder. fwadmin (Firewall Admin) en yetkili kullanıcı olarak tüm gerekli sistem ayarlarını yapabilir.
10
Oracle Audit Vault Mimarisi
11
Oracle Audit Vault
Kaynak veritaban(lar)ındaki aktiviteleri izler (monitoring), loglar
(logging), raporlar (reporting) ve uyarır (alerting),
AVADMIN yönetir, AVAUDITOR raporlar.
CRM Data
ERP Data
Databases
HR Data
Audit Data
Policies
Built-in Reports
Alerts
Custom Reports
!
Auditor
12
AUDIT_TRAIL (Denetim İzi):
None: Denetime Kapalı
DB: Kayıtlar SYS.AUD$ tablosunda tutulur
DB, EXTENDED: Kayıtlar SYS.AUD$ tablosunda SQL bind ve SQL text kolon bilgileri ile birlikte tutulur
OS: *.aud uzantılı audit dosyaları Operating sistemde audit_file_dest dizininde tutulur
XML: Kayıtlar Operating sistemde XML formatında tutulur
XML, EXTENDED: Kayıtlar Operating sistemde XML formatında SQL bind ve SQL text kolon bilgileri ile birlikte tutulur
show parameter audit; veya
SQL> select name, value from v$parameter where lower(name) like 'audit%';
audit_file_dest string /oracle/db/admin/<instance_name>/adump
audit_syslog_level string
audit_sys_operations boolean TRUE
audit_trail string OS
ALTER SYSTEM SET AUDIT_TRAIL=OS SCOPE=SPFILE;
13
Alert Mekanizması
İstenmeyen durumların bildirimlerini almak için Alert mekanizması oluşturabiliriz. Belli periyotlarda grafiksel olarak Alert’lerin istatistiğini görebiliriz.
14
15
16
Mail’imize raporun linki gönderildiği gibi raporun kendisi de attach edilmiş olarak pdf
formatında gönderilebilmektedir, mail hesabımızın kotasının raporlardan dolayı
büyümemesi için raporun linkinin gönderilmesi de tercih edilebilir.
17
Otomatik Alert Mail
Audit Vault Tablespace Size durumu için Alert Mail:
Audit Vault tablespace doluluk oranı belli bir eşik değeri (örnek olması açısından aşağıdaki örnekte %60 limiti verildi, biz kullanımda %90 limitini vereceğiz) aştığında otomatik Alert mailini alabiliriz.
18
Audit Vault Uygulaması için Alert Mail:
Audit Vault uygulamalarının data toplayıcı kollektor’ları (Collectors) herhangi bir
sebepten dolayı duracak olursa otomatik mail ile Alert durumu öğrenebiliriz.
19
Triger ile Denetleme
Çok önemli gördüğümüz 2-3 tablo için trigger yapısıyla ‘old value’ , ‘new value’ değerlerini loglayabiliriz, ‘ORHAN_TRIGGER_DENEME’ isminde oluşturduğum triger’ın demosunu inceleyelim;
-- ÖRNEK TABLO YARATILIYOR
CREATE TABLE ORHAN_DENEME
(
OWNER VARCHAR2(30 BYTE),
OBJECT_NAME VARCHAR2(128 BYTE),
SUBOBJECT_NAME VARCHAR2(30 BYTE),
OBJECT_ID NUMBER,
DATA_OBJECT_ID NUMBER,
OBJECT_TYPE VARCHAR2(19 BYTE),
CREATED DATE,
LAST_DDL_TIME DATE,
TIMESTAMP VARCHAR2(19 BYTE),
STATUS VARCHAR2(7 BYTE),
TEMPORARY VARCHAR2(1 BYTE),
GENERATED VARCHAR2(1 BYTE),
SECONDARY VARCHAR2(1 BYTE),
NAMESPACE NUMBER,
EDITION_NAME VARCHAR2(30 BYTE)
)
-- AUDIT KAYITLARINI TUTACAK BIR TABLO OLUSTURULUR
CREATE TABLE ORHAN_AUDIT_TABLE (
OWNER VARCHAR2(30),
TABLE_NAME VARCHAR2(30),
MODIFYING_USER VARCHAR2(30),
MODIFY_TIME DATE DEFAULT SYSDATE,
COLUMN_NAME varchar2(30),
BEFORE_VALUE varchar2(30),
AFTER_VALUE varchar2(30));
CREATE OR REPLACE TRIGGER ORHAN_TRIGGER_DENEME
AFTER UPDATE ON ORHAN_DENEME
FOR EACH ROW
DECLARE
v_username varchar2(10);
BEGIN
SELECT user INTO v_username FROM dual;
INSERT INTO ORHAN_AUDIT_TABLE ( OWNER, TABLE_NAME,
MODIFYING_USER, MODIFY_TIME, COLUMN_NAME, BEFORE_VALUE, AFTER_VALUE )
VALUES ( 'AV_SRV', 'ORHAN_AUDIT_TABLE', v_username, SYSDATE,
'OBJECT_NAME', :OLD.OBJECT_NAME, :NEW.OBJECT_NAME );
END;
1 2
3
20
-- ORNEK OLMASI ACISINDAN BİRKAÇ KAYIT GIRILIYOR
Insert into ORHAN_DENEME
(OWNER, OBJECT_NAME, OBJECT_ID, DATA_OBJECT_ID, OBJECT_TYPE,
CREATED, LAST_DDL_TIME, TIMESTAMP, STATUS, TEMPORARY,
GENERATED, SECONDARY, NAMESPACE)
Values
('SYS', 'C_OBJ#', 2, 2, 'CLUSTER',
TO_DATE('10/21/2011 03:16:47', 'MM/DD/YYYY HH24:MI:SS'), TO_DATE('10/21/2011 03:16:47', 'MM/DD/YYYY
HH24:MI:SS'), '2011-10-21:03:16:47', 'VALID', 'N',
'N', 'N', 5);
4
21
FGA (Fine Grained) Audit –Detaylı Denetim
İsteğimiz tabloların isteğimiz kolonlarını seçerek veya istediğimiz kolonlar için filtreleme koyarak denetim sağlayabiliriz, denetim kayıtları sys.fga_log$ view’inde tutulur.
Örneğin orhan user’ının orhan_deneme ismindeki tablosunu FGA denetimine alalım ve raporunu Audit Vault konsolundan çekelim;
select * from orhan_deneme;
insert into orhan_deneme (id, adi, per_no) values (12,'ahmet', 76);
insert into orhan_deneme (id, adi, per_no) values (:t1,:t2, :t3);
update orhan_deneme set per_no=38 where id=22;
delete orhan_deneme where id=12;
commit;
Declare
c number;
begin
for rec in 1..100 loop
c:=rec;
insert into orhan_deneme values(c,'orhan'||c,rec+10);
end loop;
commit;
end;
create table orhan_deneme (id number, adi varchar2(20), per_no number);
BEGIN
DBMS_FGA.ADD_POLICY
(object_schema => '"ORHAN"',
object_name => '«ORHAN_DENEME"',
policy_name => '«ORHAN_DENEME_IUD"',
statement_types => 'DELETE,INSERT,UPDATE',
audit_trail => DBMS_FGA.DB,
audit_column_opts => DBMS_FGA.any_columns);
END;
select POLICY_NAME from dba_audit_policies where OBJECT_NAME=‘ORHAN_DENEME';
22
Örnek Rapor-1
23
Örnek Rapor-2
24
Örnek Rapor-3
25
26
Teşekkürler
top related