Thuyết trình : Lê Tuấn Anh MSSV: 51100084 ORACLE DATABASE VAULT Thuyết trình : Lê Tuấn Anh MSSV: 51100084

Oracle data vault (ODV) Đặt vấn đề Giới thiệu Cài đặt Chức năng Thành phần Demo

Đặt vấn đề Quản trị viên có đảm bảo không xâm nhập những thông tin riêng tư? Dữ liệu có thực sự an toàn trong nội bộ? Các thông tin nhạy cảm có bị tiết lộ?

Oracle database vault là gì? Là một sản phẩm của Oracle giúp tổ chức tăng cường bảo mật thông tin cho các ứng dụng và đặt ra các quy định nghiêm ngặt về quyền truy cập và bảo mật trong quá trình vận hành dữ liệu. Ứng dụng này cũng giúp tổ chức bảo vệ dữ liệu lưu trong các ứng dụng , ngăn không cho các người dùng có quyền DBA truy cập. Đây là một hệ thống bảo mật cơ sở dữ liệu của Oracle.

Chức năng Kiểm soát ngăn chặn những người dùng có quyền truy cập vào dữ liệu nhạy cảm Hỗ trợ kiểm soát theo thời gian thực Phân tách vai trò giữa các người dùng trong Database, kể cả người quản trị. Hỗ trợ bảo mật ứng dụng với các chính sách được xây dựng từ Oracle.

Cài đặt Ở Oracle 11gR2, tất cả các option đã được cài đặt, chúng ta chỉ cần enable ODV lên: Open Command Prompt, then get to [Oracle Database Homes]/bin Type: chopt enable lbac chopt enable dv

Cài đặt Sau đó sử dụng DBCA để cấu hình: (Bật dbca bằng cách vào Start -> All Program -> Oracle – Oradb11g_home1 -> Configuration and Migration Tools -> Database Configuration Assistant

Login vào DVA

Thành phần Thành phần điều khiển truy xuất(Access control components) Thành phần quản trị(DVA – Database Vault Adminstrator) Thành phần hỗ trợ cấu hình(DV Configuration Assistant) Thành phần DVSYS và DVF schemas Thành phần giao diện PL/SQL và gói(PL/SQL interface and Packages) Thành phần Oracle Label Security PL/SQL APIs Thành phần Báo cáo vào theo dõi( Reporting and Monitoring Tools)

Access control components Realms Command Rules Factors Rule Sets Secure Application Role

Realm Realms: là một nhóm các chức năng của database schema, object, role cần được bảo vệ. Ví dụ bạn có thể gom nhóm một tập các database schema, object, role ,.. - Những đối tượng , có liên quan đến dữ liệu cần được bảo vệ như tài khoản, giá cả, nhân lực, nguồn lực.v.v. Sau khi bạn đã nhóm chúng lại vào trong Realms. Bạn có thể sử dụng Realms để điều khiển phân quyền cho các đối tượng hoặc các role cụ thể. Realms cho phép bạn có thể phân quyền một cách chi tiết và linh động tới các đối tượng người dùng sử dụng các database schema, object, role đó. Ví du: Bạn có thể bảo vệ dữ liệu của một Object(ví dụ như Scott, với bảng EMP). Bằng Realms và không cho các quản trị khác quyền truy xuất tới bảng này(ví dụ như tài khoản SYSTEM).

Realm Ví dụ: Giả sử chúng ta có thông tin về nhân viên trong bảng EMP của schemas SCOTT. Như ta thấy, DBA có thể truy cập vào thông tin lương (vốn dĩ là một thông tin nhạy cảm) rất đơn giản bằng cách sử dụng câu query như sau

Realm – How to use?

Realm – How to use?

Realm – How to use?

Realm – How to use?

Realm – How to use?

Realm – How to use?

Realm – How to use?

Realm – How to use? Và khi log in lại , User System sẽ không thể truy cập vào dữ liệu trong bảng SCOTT.EMP nữa

Realm – How to use? Nhưng nếu đăng nhập bằng chính owner của table EMP là SCOTT thì user này vẫn có quyền truy cập vào dữ liệu thuộc schemas của mình, như vậy chúng ta đã ngăn chặn được sự truy suất trái phép cuả những super-privilege account (cụ thể là DBA) khỏi những dữ liệu nhạy cảm

Realm - Realm Authorization Realm authorization dung để chỉ định những account của db hay role có quyền quản lý và truy cập lên những đối tượng được bảo vệ bởi Realm. Chú ý : Authorization Type : Participant - Owner

Realm (More) ODV cung cấp sẵn một vài realm được xây dựng trước. Bao gồm: DV Account Management Realm: Defines the realm for administrators who create and manage database accounts and profiles. ODV Realm: Defines the realm for the Oracle Database Vault schemas - DVSYS, DVF and LBACSYS where Database Vault access control configuration and roles are contained. Oracle Data Dictionary Realm: Defines the realm for the Oracle Catalog schemas, SYS, SYSTEM, SYSMAN, MDSYS, etc. Also controls the ability to grant system privileges and database administrator roles. Oracle Enterprise Manager Realm: Defines the Enterprise Manager monitoring and management realm(protect SYSMAN and DBSNMP)

Command Rules Một command rule là một luật đặc biệt, nó cho phép bạn điều khiển cách mà các User thi hành bất kỳ câu lệnh SQL nào, bao gồm các câu lệnh như: SELECT, ALTER, SYSTEM, câu lệnh của ngôn ngữ DML, DDL. Command Rules phải làm việc với rule sets để xác định xem câu lệnh của người dùng có được cho phép hay không. Command rule được thực hiện sau khi đã check thành công realm. DV check toàn bộ những command rules có liên quan và một hành động nào đó chỉ được thực thi khi tất cả chúng đều được thỏa mãn. Ví dụ: Bạn có thể chỉ cho phép một số User có địa chỉ IP trong khoảng nào đó được logon vào cơ sở dữ liệu. Bạn có thể giới hạn thời gian được truy cập vào cơ sở dữ liệu theo thời gian(giờ trong ngày, và ngày trong tuần, ngày trong tháng…).

Command Rules Ví dụ 1: Làm thế nào để enable và disable quyền tạo bảng của user SCOTT

Command Rules

Command Rules

Command Rules Và kết quả:

Command Rules Thêm vào đó ta cũng có thể sử dụng PL/SQL Procedure để tạo Command rules (Sử dụng packet DBMS_MACADM của schema DVSYS); Ví dụ 2: Ngăn chặn khả năng update trên bảng EMP;

Command Rules Ví dụ 3: Chỉ cho phép UPDATE khi connect được tạo cục bộ với qiao thức Bequeath(BEQ).

Command Rules

Command Rules

Command Rules

Command Rules

Command Rules

Command Rules

Command Rules

Command Rules

Command Rules

Command Rules Đăng nhập vào db bằng user Scott sử dụng BEQ connection, ta có kết quả:

Command Rules Đăng nhập vào db bằng user Scott sử dụng listener connection(TCP connection), ta có kết quả:

Rule Sets Một tập quy tắc(tập luật - Rule Set) là một tập hợp của một hay nhiều luật mà bạn có thể kết hợp với Realms Authorization, Command rule, Factor, hoặc các Secure Application Role. Các rule có giá trị true hoặc false tùy thuộc vào giá trị của mỗi quy tắc mà nó chứa, và kiểu quy tắc của tập luật là (All True hay Any True). Mỗi luật ở trong tập luật là một biểu thức PL/SQL, mà giá trị sẽ là true hoặc false. Nếu muốn bạn có thể cho cùng một luật vào nhiều tập luật. Rule set chia làm 2 loại : một loại là OR set, tức là trả về true nếu có một vài rule nhỏ trong đó là true -> Any true và một loại là AND set, tức là nó chỉ trả về true khi tất cả các rule nhỏ trong đó đều là true.

Rule Sets Convenience rule sets include ODV cung cấp cho chúng ta khá nhiều những rule sets được xây dựng trước để sử dụng: Convenience rule sets include Enabled—Use it to allow activity Disabled—Use it to prevent activity Template rule sets include Allow Sessions Can Grant Virtual Private Database (VPD) Administration Can Maintain Accounts/Profiles Can Maintain Own Account Check Trigger Init Parameter

Factors Một Factor là một biến hay một thuộc tính được đặt tên, được sử dụng trong rule sets Cho phép định nghĩa những rules để tạo ra những quyết định dựa trên IP của kết nối, thời gian trong ngày mà kết nối được thiết lập, user tạo kết nối, proxy user, và nhiều thứ khác mà Db quan tâm tới.

Factors Một vài API factor function hữu ích: DVF.F$CLIENT_IP: Use it when you need to base a decision on the client IP from which the connection is made. Example: Use to distinguish between listener BEQ connection

Factors

Factors Một vài API factor function hữu ích: DVF.F$NETWORK_PROTOCOL: Use it when you need to make a decision based on the protocol the database client is using to connect to the server

Factors Một vài API factor function hữu ích: DVF.F$MACHINE: Use this factor when you need to make a decision based on the client hostname.

Factors Một vài API factor function hữu ích: DVF.F$ENTERPRISE_IDENTITY: Use this factor to get the enterprise identity of the logged-on user when you use advanced authentication such as Kerberos, RADIUS, or Oracle Internet Directory (OID) authentication. DVF.F$PROXY_ENTERPRISE_IDENTITY: Use this factor to get the OID Distinguished Name (DN) when the proxy user is an enterprise user. DVF.F$PROXYUSER:Use this factor to get the proxy user as opposed to the user who opened the connection. DVF.F$IDENTIFICATION_TYPE: Use this factor when you need to base your decision on how the user was identified. DVF.F$AUTHENTICATION_METHOD: Use this factor to know how the user was authenticated—for example, PASSWORD for database authentication, KERBEROS, SSL, RADIUS, OS, etc.

Secure Application Role Một secure Application Role là một Role trong cơ sở dữ liệu đặc biệt có thể được kích hoạt dựa trên giá trị của các tập lệnh của Oracle Database Vault. => Quản lý tốt hơn quyền mà bạn đã gán cho những role này

DVA – Database Vault Adminstrator DVA là ứng dụng java được xây dựng nhằm hỗ trợ người quản lý có thể không thành thạo ngôn ngữ PL/SQL có thể cấu hình ODV một cách dễ dàng thông qua giao diện ngư dùng thân thiện. DVA cung cấp một bộ các báo cáo phong phú, giúp người quản trị dễ dàng hiểu được những thông tin bảo mật cơ bản. Những báo cáo này cũng giúp chỉ ra độ lệch từ những thông tin cơ bản này.

Thành phần DVSYS và DVF schemas DVSYS là một schema được Oracle Database Vault cung cấp để lưu trữ các đối tượng mà nó cần dùng cho việc xử lý trong ODV. Schema này bao gồm các Role, view, account, functions, và các Database objects khác(những object mà ODV sử dụng). DVF schema bao gồm các chức năng chung như lấy thời gian chạy, các giá trị yếu tố thiết lập trong ODV điều khiển truy xuất cấu hình.

Oracle Label Security PL/SQL APIs Oracle Database Vault cung cấp khả năng điều khiển truy cập với Oracle Label Security.

Reporting and Monitoring Tools Oracle Database Vault cho phép theo dõi các báo cáo về các hoạt động của nó thông qua giao diện trực quan. Ngoài ra bạn có thể theo dõi được sự thay đổi chính sách, các hành vi vi phạm chính sách, các cấu hình và sự thay đổi của cấu trúc cơ sở dữ liệu.

Reports in ODV Reports in DV General security reports DV reports DV configuration issues DV auditing reports General security reports

DV Reports

General security reports

General security reports

Monitor

Monitor

Disable và Enable ODV Disable DV: Kiểm tra xem ODV là disable hay enable? SELECT * FROM V$OPTION WHERE PARAMETER = 'Oracle Database Vault'; Nếu ODV đang được enable thì kết quả sẽ là:

Disable ODV Stop the database, Database Control console process, and listener.

Disable ODV Disable the Oracle Database Vault option: In the ORACLE_HOME\bin directory, rename the oradvll.dll file to another name, such as oradvll.dll.dbl.

Disable ODV Restart database, Database Control console process, và listener.

Disable ODV Nếu vì quên mật khẩu mà bạn phải disble ODV thì bạn chỉ cần connect với tài khoản SYS hoặc SYSTEM và reset lại password.

Disable ODV Vào cmd, Chạy Oracle Database Vault Configuration Assistant (DVCA) bằng dvca -action disable option.

Disable ODV Connect SQL*Plus với user SYS sử dụng SYSDBA privilege, và sau đó chạy statement ALTER TRIGGER dưới đây :

Enable ODV Mở cmd,sử dụng DVCA để reenable Oracle Database Vault bằng cú pháp. Chi tiết : http://docs.oracle.com/cd/B28359_01/server.111/b31222/dvdisabl.htm#DV ADM70987

Enable ODV Stop database, Database Control console process, và listener. Enable Oracle Database Vault option bằng cách: đổi tên file copy backed up của file oradvll.dll (ví dụ, oradv11.dll.dbl) thành oradvll.dll. Và cũng đảm bảo rằng file executable cho Oracle Label Security là oralbacll.dll. Restart database, Database Control console process, và listener.

Tài liệu tham khảo http://docs.oracle.com/cd/B28359_01/server.111/b31222/getting_started.h tm#DVADM002