16 Nisan 2012 Pazartesi

Oracle Database Vault

Oracle Database Vault

Oracle teknoloji ailesinin bir ürünü olan "Database Vault" kurulumu, yapılandırması ve yönetimi oldukça basit bir ürün olmakla birlikte sistemin performansına olan çok düşük etkisi ile kullanılabilmektedir. Amacı veritabanındaki yetkili kullanıcıların yüksek yetkilerinin sınırlandırılmasıdır. Veritabanının içerisinde gömülü olarak gelen ve basit bir adımla kurulabilen bu ürün realm, command rule, factor ve raporlama kısımları ile hizmet vermektedir.

Mevzuat uygunluklarının ve iç tehditlerin ciddi boyutlarda sıkılaştığı ve arttığı bu dönemde organizasyonlar yeni metodlar geliştirmek zorunda kalmıştır. Aynı zamanda daha fazla esnek ve rekabet üstünlüklerinin sürdürülebilir olmasını da istemektedirler. Bütün bunları sağlarken düşük maliyetle yapmaları da gerekmektedir. Bu gelişmeler ışığında yeni yazılımlar, esnek çözümler ve maliyeti düşük öneriler gündeme gelmektedir. Veri hırsızlığının maliyeti hem maddi hem de manevi açıdan (prestij kaybı) organizasyonlar için çok önemlidir. Sarbanes-Oxley (SOX), European Union Data Protection Directive, HIPAA, PCI-DSS gibi regülasyonlarla hassas verinin korunması hedeflenmektedir. Günün sonunda en büyük hedef "hassas" verinin korunmasıdır. Oracle Database Vault bu noktada organizasyonların hassas verilerini korumasına yardımcı olmaktadır. 

Çağımızdaki siber hırsızlık olayları ve veri kaybı oranlarının artmasına bağlı yüksek erişilebilirlik ile birlikte veritabanı güvenliği de önem kazanmıştır. Oracle Database Vault sunduğu Realm, Command Rule, Factor, Seperation of Duties ve Reporting kısımları ile bu güvenlik açığını giderebilmektedir. 

Oracle Database Vault Özellikleri

Realms: Oracle veritabanındaki sınırları belirler. Bir nevi firewall görevini görerek yetkili kullanıcıların özel ve kuvvetli yetkilerini kullanmasını engeller. Bu sayede DBA'ler uygulama verisindeki hassas verilere erişememiş olurlar.

Command Rules: Veritabanı komutlarının çalıştırılmasını kontrol eden güvenlik kurallarıdır. 

Factors: Çevresel parametrelerin (IP adresi, kimlik doğrulama metodu, makine ismi, bağlantı adı vb.) tanımlanmasını sağlar. Bu sayede güvenli erişim yolundan, kimlerin, ne zaman, nasıl ve nereden geçtiğinin algılanması sağlanır. 

Seperation-of-Duty: Oracle Database Vault ile birlikte kurulu gelen bir takım politikalarla görevler ayrılığı tanımlanmaktadır. Örneğin veritabanı yönetimi ile güvenlik yönetiminin ya da hesapların/kullanıcılar yönetilmesinin ayrılması gibi.

Reports: Oracle Database Vault ile birlikte kurulu gelen bir takım raporlama seçenekleri bulunmaktadır. Bunlar Realm ihlallerinin bulunduğu raporlardır ve detay içerirler.

Oracle Database Vault ürünü Oracle Veritabanı 9i, 10g ve 11g için kullanılabilmektedir.

Oracle Database Vault ve Regülasyonlar

Görevler ayrılığı ve hassas verilere erişimler konusunda bir takım regülasyonlar ve hukuki yaptırımlar bulunmaktadır. Aşağıdaki tabloda regülasyonların isimlerini, gereksinimlerini ve Oracle Database Vault tarafından karşılanıp karşılanmadığı bilgilerini bulabilirsiniz;


Oracle Database Vault Realms

Veritabanı yöneticileri ve diğer yetkili kullanıcılar, veritabanı yönetimi konusunda ciddi ve etkin bir rol üstlenmektedirler. Yedekleme ve yedekten dönme, performance tuning ve yüksek erişilebilirlik gibi günden güne yapılan işlemler önemlidir. Ancak hassas verilere olan erişimler konusunda da sınırsız yetkileri bulunmaktadır. Oracle Database Vault, bünyesindeki "Realm" özelliği ile yetkili kullanıcıların, sınırsız hakları ile görüntüleyebileceği hassas uygulama verisini görüntüleyememesini sağlamaktadır. 

Oracle Database Vault Command Rules & Factors

Command Rule'lar sayesinde Oracle veritabanındaki role'ler genişletilebilmektedir. Veriye erişimin daha da detaylandırılması için kullanılmaktadır. Oracle Database Vault ile kurulu gelen bir takım factor'ler bulunmaktadır, bunlar; IP adresleri, kimlik doğrulama yöntemi gibi parametrelerdir. Bu parametreler tekil kullanılabileceği gibi birlikte de kullanılabilmektedir. Command Rules ve Factor'ler Oracle Database Vault yönetim ekranından ya da komut satır arayüzünden güncellenebilmektedir.

Oracle Database Vault Seperation-of-Duty

Oracle Database Vault ile birlikte kurulu gelen 3 adet görev ayrılığı bulunmaktadır;

Account Management: Account management görevine sahip bir kullanıcı veritabanındaki kullanıcıların yaratılması, silinmesi ve değiştirilmesinden sorumludur. Daha önceden varolan yetkili kullanıcıların, kullanıcı işlerini yapması engellenmektedir.

Security Administration: Güvenlikten sorumlu kişi aynı zamanda Oracle Database Vault'un da sahibidir. Veritabanındaki bütün güvenlik operasyonu ondan sorulur. Security Administrator olan kişi Realm, Command Rules, Factors ve Reports kısımlarını yönetir. Security Administrator olan kişinin korunan iş ve uygulama verisine erişimi ve kendine haklar tanıması engellenmiştir.

Database Administration: DBA'in veritabanı bakım ve yönetim işleri yapmasıdır. Yedekleme, performans gibi konulardaki görevlerine devam eder.

Oracle Database Vault Reports

Oracle Database Vault ile birlikte kurulu olarak gelen birçok rapor bulunmaktadır. Bu raporlar Realm'lere olan yetkisiz erişim denemelerini içermektedir. Örneğin bir DBA'in yetkisi olduğu halde erişmemesi gereken bir yere erişmeye çalışması (maaş bilgisi gibi).

Oracle Database Vault & Applications

Oracle Database Vault ürünü birçok Oracle ve Partner uygulaması üzerinde desteklenmektedir. Aşağıdaki tabloda bu listeyi bulabilirsiniz;


İyi çalışmalar.

Ogan
Takip et: @oganozdogan