SlideShare una empresa de Scribd logo

Wie sicher sind Database Links? DOAG BI Konfernenz München.

Descargar como PPTX, PDF
Trivadis
Trivadis

Dani Schnider ist Principal Consultant und DWH/BI Lead Architect bei Trivadis in Zürich. DOAG BI Konferenz 2013, München, 17. April 2013.

Presentaciones y charlas públicas
1 de 21
Wie sicher sind Database Links? DOAG BI Konferenz 2013 Dani Schnider Trivadis AG München, 17. April 2013 BASEL BERN BRUGG LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. HAMBURG MÜNCHEN STUTTGART WIEN 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 1
Dani Schnider  Principal Consultant und DWH/BI Lead Architect bei Trivadis in Zürich  Kursleiter für Trivadis-Kurse über Data Warehousing, SQL Optimierung und Oracle Warehouse Builder  Co-Autor des Buches «Data Warehousing mit Oracle» 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 2
Beispielkonfiguration: DWH mit Database Links CREATE PUBLIC DATABASE LINK hr_dbl CONNECT TO hr IDENTIFIED BY hrpw USING 'SOURCE_SYSTEM' 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 5 SCOTT DWH_MART DWH_CORE DWH_CLEANSE DWH_STAGE HR HR_DBL SCOTT_DBL SOURCE_SYSTEM DATA_WAREHOUSE CREATE PUBLIC DATABASE LINK scott_dbl CONNECT TO scott IDENTIFIED BY tiger USING 'SOURCE_SYSTEM'
Wie sicher sind Database Links? 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 6 Die richtige Frage lautet: Wie sicher ist diese Konfiguration?
Beispielkonfiguration – Sicherheitslücken CREATE PUBLIC DATABASE LINK scott_dbl CONNECT TO scott IDENTIFIED BY tiger USING 'SOURCE_SYSTEM' 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 7 SCOTT DWH_MART DWH_CORE DWH_CLEANSE DWH_STAGE HR HR_DBL SCOTT_DBL SOURCE_SYSTEM Database Link auf DATA_WAREHOUSE Schema Owner 1 Public Database Link auf fixed User 2 Passwort gespeichert im Data Dictionary 3
Sicherheitslücke 1: Database Link auf Schema Owner  Über Database Link können alle Daten des Schemas gelesen werden  Daten können über Database Link verändert werden 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 8
Empfehlungen  Spezifischer User für Zugriff über Database Link  Keine eigenen Objekte, nur Lesezugriff über SELECT-Privilegien  Zugriff auf Quelldaten über View Layer  Views enthalten nur relevante Attribute  Grundprinzip: Need To Know  Was nicht erforderlich ist, ist nicht erlaubt 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 9
Zugriffsbeschränkungen auf Quellsystem 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 10
Sicherheitslücke 2: Public Database Link auf fixed User  Jeder User kann Database Link benutzen  Berechtigungen von Remote-User (HR, SCOTT) werden verwendet 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 11
Public oder Private Database Link? 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 12
Private Database Link auf spezifischen ETL-User 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 13
Connected User oder Fixed User? 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 14
Private Database Link (Connected User) für ETL-User 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 15
Sicherheitslücke 3: Passwort gespeichert im Data Dictionary  Seit Oracle 10.2 werden Passwörter von Database Links verschlüsselt abgespeichert  Aber es gibt Wege, um Passwörter zu entschlüsseln... 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 16 Demo http://www.oracleforensics.com/wordpress/wp-content/uploads/2012/11/database_link_security.pdf http://www.oracleforensics.com/wordpress/index.php/2012/11/22/database-link-security/ http://www.petefinnigan.com/forum/yabb/YaBB.cgi?board=ora_sec;action=display;num=1181549741
Empfehlungen  Sichere Passwörter für hochprivilegierte User:  SYS, SYSTEM, SYSMAN, OUTLN, OWBSYS, WMSYS, ...  Vorsicht mit hochprivilegierten Rollen:  DBA, EXP_FULL_DATABASE, IMP_FULL_DATABASE, ...  Kein Zugriff auf SYS.LINK$ und DBMS_CRYPTO  „Hintertüre“ mit DBMS_METADATA und anderer DB ist trotzdem möglich!  Funktioniert für alle User mit SELECT_CATALOG_ROLE!  Upgrade auf Oracle 11.2.0.3 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 17
Dürfen Database Links verwendet werden? 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 18 Sicher. Aber sicher!
Konfiguration eines sicheren Database Links 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 19
Beispiel: Logon-Trigger für Zugriffskontrolle 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 20
Wie sicher sind Database Links? 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 21 Abhängig von Konfiguration: Wichtigste Sicherheitsregeln einhalten!
Wichtigste Sicherheitsregeln 2014 © Trivadis  Keine Database Links auf Schema Owner!  Keine Database Links auf hochprivilegierte User!  Spezifischer User für Zugriff über Database Link  Möglichst Private Database Links verwenden  Eventuell Logon-Trigger für Zugriffskontrolle Wie sicher sind Database Links? 17. April 2013 22
Vielen Dank. Trivadis AG Dani Schnider Europa-Strasse 5 CH-8152 Glattbrugg/Zürich Schweiz Tel. +41 44 808 70 20 Fax +41 44 808 70 21 info@trivadis.com www.trivadis.com BASEL BERN BRUGG LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. HAMBURG MÜNCHEN STUTTGART WIEN 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 23

Recomendados

Performanceaspekte im Oracle DWH
Performanceaspekte im Oracle DWHPerformanceaspekte im Oracle DWH
Performanceaspekte im Oracle DWH
Trivadis
 
Indexierungsstrategie im Data Warehouse - Zwischen Albtraum und optimaler Per...
Indexierungsstrategie im Data Warehouse - Zwischen Albtraum und optimaler Per...Indexierungsstrategie im Data Warehouse - Zwischen Albtraum und optimaler Per...
Indexierungsstrategie im Data Warehouse - Zwischen Albtraum und optimaler Per...
Trivadis
 
Die generierte Zeitmaschine - Historisierung auf Knopfdruck
Die generierte Zeitmaschine - Historisierung auf KnopfdruckDie generierte Zeitmaschine - Historisierung auf Knopfdruck
Die generierte Zeitmaschine - Historisierung auf Knopfdruck
Trivadis
 
Wie modelliere ich mein Core DWH?
Wie modelliere ich mein Core DWH?Wie modelliere ich mein Core DWH?
Wie modelliere ich mein Core DWH?
Trivadis
 
Partitionierung im DWH: Erkenntnisse aus der Praxis - Oracle DWH Konferenz
Partitionierung im DWH: Erkenntnisse aus der Praxis - Oracle DWH KonferenzPartitionierung im DWH: Erkenntnisse aus der Praxis - Oracle DWH Konferenz
Partitionierung im DWH: Erkenntnisse aus der Praxis - Oracle DWH Konferenz
Trivadis
 
DWH-Modellierung mit Data Vault
DWH-Modellierung mit Data VaultDWH-Modellierung mit Data Vault
DWH-Modellierung mit Data Vault
Trivadis
 
Modellierung agliler Data Warehouses mit Data Vault
Modellierung agliler Data Warehouses mit Data VaultModellierung agliler Data Warehouses mit Data Vault
Modellierung agliler Data Warehouses mit Data Vault
Trivadis
 
Metadaten und Data Vault (Meta Vault)
Metadaten und Data Vault (Meta Vault)Metadaten und Data Vault (Meta Vault)
Metadaten und Data Vault (Meta Vault)
Andreas Buckenhofer
 

Recomendados

Performanceaspekte im Oracle DWH
Performanceaspekte im Oracle DWHPerformanceaspekte im Oracle DWH
Performanceaspekte im Oracle DWH
Trivadis
 
Indexierungsstrategie im Data Warehouse - Zwischen Albtraum und optimaler Per...
Indexierungsstrategie im Data Warehouse - Zwischen Albtraum und optimaler Per...Indexierungsstrategie im Data Warehouse - Zwischen Albtraum und optimaler Per...
Indexierungsstrategie im Data Warehouse - Zwischen Albtraum und optimaler Per...
Trivadis
 
Die generierte Zeitmaschine - Historisierung auf Knopfdruck
Die generierte Zeitmaschine - Historisierung auf KnopfdruckDie generierte Zeitmaschine - Historisierung auf Knopfdruck
Die generierte Zeitmaschine - Historisierung auf Knopfdruck
Trivadis
 
Wie modelliere ich mein Core DWH?
Wie modelliere ich mein Core DWH?Wie modelliere ich mein Core DWH?
Wie modelliere ich mein Core DWH?
Trivadis
 
Partitionierung im DWH: Erkenntnisse aus der Praxis - Oracle DWH Konferenz
Partitionierung im DWH: Erkenntnisse aus der Praxis - Oracle DWH KonferenzPartitionierung im DWH: Erkenntnisse aus der Praxis - Oracle DWH Konferenz
Partitionierung im DWH: Erkenntnisse aus der Praxis - Oracle DWH Konferenz
Trivadis
 
DWH-Modellierung mit Data Vault
DWH-Modellierung mit Data VaultDWH-Modellierung mit Data Vault
DWH-Modellierung mit Data Vault
Trivadis
 
Modellierung agliler Data Warehouses mit Data Vault
Modellierung agliler Data Warehouses mit Data VaultModellierung agliler Data Warehouses mit Data Vault
Modellierung agliler Data Warehouses mit Data Vault
Trivadis
 
Metadaten und Data Vault (Meta Vault)
Metadaten und Data Vault (Meta Vault)Metadaten und Data Vault (Meta Vault)
Metadaten und Data Vault (Meta Vault)
Andreas Buckenhofer
 
Agiles Data Mining mit Data Vault 2.0
Agiles Data Mining mit Data Vault 2.0Agiles Data Mining mit Data Vault 2.0
Agiles Data Mining mit Data Vault 2.0
Michael Olschimke
 
DWH Modernisierung mit Data Lake, Lab und Governance
DWH Modernisierung mit Data Lake, Lab und GovernanceDWH Modernisierung mit Data Lake, Lab und Governance
DWH Modernisierung mit Data Lake, Lab und Governance
OPITZ CONSULTING Deutschland
 
Data Vault Vor- und Nachteile
Data Vault Vor- und NachteileData Vault Vor- und Nachteile
Data Vault Vor- und Nachteile
Torsten Glunde
 
CDC und Data Vault für den Aufbau eines DWH in der Automobilindustrie
CDC und Data Vault für den Aufbau eines DWH in der AutomobilindustrieCDC und Data Vault für den Aufbau eines DWH in der Automobilindustrie
CDC und Data Vault für den Aufbau eines DWH in der Automobilindustrie
Andreas Buckenhofer
 
Middleware Basics für den DBA
Middleware Basics für den DBAMiddleware Basics für den DBA
Middleware Basics für den DBA
Trivadis
 
Einführung in nosql // ArangoDB mit Symfony 2
Einführung in nosql // ArangoDB mit Symfony 2Einführung in nosql // ArangoDB mit Symfony 2
Einführung in nosql // ArangoDB mit Symfony 2
ArangoDB Database
 
Raus aus dem Data Vault - Virtualisierung und Logical Warheouse
Raus aus dem Data Vault - Virtualisierung und Logical WarheouseRaus aus dem Data Vault - Virtualisierung und Logical Warheouse
Raus aus dem Data Vault - Virtualisierung und Logical Warheouse
Torsten Glunde
 
Data Virtualization - Supernova
Data Virtualization - SupernovaData Virtualization - Supernova
Data Virtualization - Supernova
Torsten Glunde
 
Analytical Sandboxing: Data-Warehousing und Datenanalysen im Spannungsfeld zw...
Analytical Sandboxing: Data-Warehousing und Datenanalysen im Spannungsfeld zw...Analytical Sandboxing: Data-Warehousing und Datenanalysen im Spannungsfeld zw...
Analytical Sandboxing: Data-Warehousing und Datenanalysen im Spannungsfeld zw...
Business Intelligence Research
 
Weitere Dezentralisierung der BI - mehr Selbständigkeit der Fachbereiche durc...
Weitere Dezentralisierung der BI - mehr Selbständigkeit der Fachbereiche durc...Weitere Dezentralisierung der BI - mehr Selbständigkeit der Fachbereiche durc...
Weitere Dezentralisierung der BI - mehr Selbständigkeit der Fachbereiche durc...
Business Intelligence Research
 
Caching: In-Memory Column Store oder im BI Server
Caching: In-Memory Column Store oder im BI ServerCaching: In-Memory Column Store oder im BI Server
Caching: In-Memory Column Store oder im BI Server
Andreas Buckenhofer
 
Lambdaarchitektur für BigData
Lambdaarchitektur für BigDataLambdaarchitektur für BigData
Lambdaarchitektur für BigData
Andreas Buckenhofer
 
Data Warehouse (DWH) with MySQL
Data Warehouse (DWH) with MySQLData Warehouse (DWH) with MySQL
Data Warehouse (DWH) with MySQL
FromDual GmbH
 
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
Carsten Muetzlitz
 
Mobile meets NoSQL
Mobile meets NoSQLMobile meets NoSQL
Mobile meets NoSQL
Jan Steemann
 
Big Data Konnektivität
Big Data KonnektivitätBig Data Konnektivität
Big Data Konnektivität
Trivadis
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
Carsten Muetzlitz
 
Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)
OPITZ CONSULTING Deutschland
 
OSDC 2013 | Configuration Management with Verbosy by Eric Lippmann
OSDC 2013 | Configuration Management with Verbosy by Eric LippmannOSDC 2013 | Configuration Management with Verbosy by Eric Lippmann
OSDC 2013 | Configuration Management with Verbosy by Eric Lippmann
NETWAYS
 
Oracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin BergerOracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin Berger
Désirée Pfister
 
Oracle Database Backup Service
Oracle Database Backup ServiceOracle Database Backup Service
Oracle Database Backup Service
Trivadis
 
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARMExperteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Thomas Maier
 

Más contenido relacionado

La actualidad más candente

DWH Modernisierung mit Data Lake, Lab und Governance
DWH Modernisierung mit Data Lake, Lab und GovernanceDWH Modernisierung mit Data Lake, Lab und Governance
DWH Modernisierung mit Data Lake, Lab und Governance
OPITZ CONSULTING Deutschland
 
Einführung in nosql // ArangoDB mit Symfony 2
Einführung in nosql // ArangoDB mit Symfony 2Einführung in nosql // ArangoDB mit Symfony 2
Einführung in nosql // ArangoDB mit Symfony 2
ArangoDB Database
 
Analytical Sandboxing: Data-Warehousing und Datenanalysen im Spannungsfeld zw...
Analytical Sandboxing: Data-Warehousing und Datenanalysen im Spannungsfeld zw...Analytical Sandboxing: Data-Warehousing und Datenanalysen im Spannungsfeld zw...
Analytical Sandboxing: Data-Warehousing und Datenanalysen im Spannungsfeld zw...
Business Intelligence Research
 
Weitere Dezentralisierung der BI - mehr Selbständigkeit der Fachbereiche durc...
Weitere Dezentralisierung der BI - mehr Selbständigkeit der Fachbereiche durc...Weitere Dezentralisierung der BI - mehr Selbständigkeit der Fachbereiche durc...
Weitere Dezentralisierung der BI - mehr Selbständigkeit der Fachbereiche durc...
Business Intelligence Research
 
Data Warehouse (DWH) with MySQL
Data Warehouse (DWH) with MySQLData Warehouse (DWH) with MySQL
Data Warehouse (DWH) with MySQL
FromDual GmbH
 

La actualidad más candente (13)

Agiles Data Mining mit Data Vault 2.0
Agiles Data Mining mit Data Vault 2.0Agiles Data Mining mit Data Vault 2.0
Agiles Data Mining mit Data Vault 2.0
 
DWH Modernisierung mit Data Lake, Lab und Governance
DWH Modernisierung mit Data Lake, Lab und GovernanceDWH Modernisierung mit Data Lake, Lab und Governance
DWH Modernisierung mit Data Lake, Lab und Governance
 
Data Vault Vor- und Nachteile
Data Vault Vor- und NachteileData Vault Vor- und Nachteile
Data Vault Vor- und Nachteile
 
CDC und Data Vault für den Aufbau eines DWH in der Automobilindustrie
CDC und Data Vault für den Aufbau eines DWH in der AutomobilindustrieCDC und Data Vault für den Aufbau eines DWH in der Automobilindustrie
CDC und Data Vault für den Aufbau eines DWH in der Automobilindustrie
 
Middleware Basics für den DBA
Middleware Basics für den DBAMiddleware Basics für den DBA
Middleware Basics für den DBA
 
Einführung in nosql // ArangoDB mit Symfony 2
Einführung in nosql // ArangoDB mit Symfony 2Einführung in nosql // ArangoDB mit Symfony 2
Einführung in nosql // ArangoDB mit Symfony 2
 
Raus aus dem Data Vault - Virtualisierung und Logical Warheouse
Raus aus dem Data Vault - Virtualisierung und Logical WarheouseRaus aus dem Data Vault - Virtualisierung und Logical Warheouse
Raus aus dem Data Vault - Virtualisierung und Logical Warheouse
 
Data Virtualization - Supernova
Data Virtualization - SupernovaData Virtualization - Supernova
Data Virtualization - Supernova
 
Analytical Sandboxing: Data-Warehousing und Datenanalysen im Spannungsfeld zw...
Analytical Sandboxing: Data-Warehousing und Datenanalysen im Spannungsfeld zw...Analytical Sandboxing: Data-Warehousing und Datenanalysen im Spannungsfeld zw...
Analytical Sandboxing: Data-Warehousing und Datenanalysen im Spannungsfeld zw...
 
Weitere Dezentralisierung der BI - mehr Selbständigkeit der Fachbereiche durc...
Weitere Dezentralisierung der BI - mehr Selbständigkeit der Fachbereiche durc...Weitere Dezentralisierung der BI - mehr Selbständigkeit der Fachbereiche durc...
Weitere Dezentralisierung der BI - mehr Selbständigkeit der Fachbereiche durc...
 
Caching: In-Memory Column Store oder im BI Server
Caching: In-Memory Column Store oder im BI ServerCaching: In-Memory Column Store oder im BI Server
Caching: In-Memory Column Store oder im BI Server
 
Lambdaarchitektur für BigData
Lambdaarchitektur für BigDataLambdaarchitektur für BigData
Lambdaarchitektur für BigData
 
Data Warehouse (DWH) with MySQL
Data Warehouse (DWH) with MySQLData Warehouse (DWH) with MySQL
Data Warehouse (DWH) with MySQL
 

Similar a Wie sicher sind Database Links? DOAG BI Konfernenz München.

Mobile meets NoSQL
Mobile meets NoSQLMobile meets NoSQL
Mobile meets NoSQL
Jan Steemann
 
OSDC 2013 | Configuration Management with Verbosy by Eric Lippmann
OSDC 2013 | Configuration Management with Verbosy by Eric LippmannOSDC 2013 | Configuration Management with Verbosy by Eric Lippmann
OSDC 2013 | Configuration Management with Verbosy by Eric Lippmann
NETWAYS
 

Similar a Wie sicher sind Database Links? DOAG BI Konfernenz München. (20)

DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
 
Mobile meets NoSQL
Mobile meets NoSQLMobile meets NoSQL
Mobile meets NoSQL
 
Big Data Konnektivität
Big Data KonnektivitätBig Data Konnektivität
Big Data Konnektivität
 
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbasDOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
DOAG SIG Security 2014 in Hamburg: Enterprise User Security for DBAs #eus4dbas
 
Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)Oracle Database Security Assessment Tool (DBSAT)
Oracle Database Security Assessment Tool (DBSAT)
 
OSDC 2013 | Configuration Management with Verbosy by Eric Lippmann
OSDC 2013 | Configuration Management with Verbosy by Eric LippmannOSDC 2013 | Configuration Management with Verbosy by Eric Lippmann
OSDC 2013 | Configuration Management with Verbosy by Eric Lippmann
 
Oracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin BergerOracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin Berger
 
Oracle Database Backup Service
Oracle Database Backup ServiceOracle Database Backup Service
Oracle Database Backup Service
 
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARMExperteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
Experteninterview mit Torben Ritter: Daten schützen: IRM, AIP, ARM
 
ODAaaS – Open Data Analytics as a Service
ODAaaS – Open Data Analytics as a ServiceODAaaS – Open Data Analytics as a Service
ODAaaS – Open Data Analytics as a Service
 
Wie kommt der Hint in das SQL, ohne die anwendung zu ändern?
Wie kommt der Hint in das SQL, ohne die anwendung zu ändern?Wie kommt der Hint in das SQL, ohne die anwendung zu ändern?
Wie kommt der Hint in das SQL, ohne die anwendung zu ändern?
 
Oracle Security Übersicht
Oracle Security ÜbersichtOracle Security Übersicht
Oracle Security Übersicht
 
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
 
DOAG 2012 Oracle Endeca
DOAG 2012 Oracle EndecaDOAG 2012 Oracle Endeca
DOAG 2012 Oracle Endeca
 
Heterogene Daten(-strukturen) in der Oracle Datenbank
Heterogene Daten(-strukturen) in der Oracle DatenbankHeterogene Daten(-strukturen) in der Oracle Datenbank
Heterogene Daten(-strukturen) in der Oracle Datenbank
 
SOA Suite 12c aus der Infrastruktur-Sicht
SOA Suite 12c aus der Infrastruktur-SichtSOA Suite 12c aus der Infrastruktur-Sicht
SOA Suite 12c aus der Infrastruktur-Sicht
 
eGovernment Konferenz 2013,Österreich - Workshop: Grundlagen und Mehrwerte vo...
eGovernment Konferenz 2013,Österreich - Workshop: Grundlagen und Mehrwerte vo...eGovernment Konferenz 2013,Österreich - Workshop: Grundlagen und Mehrwerte vo...
eGovernment Konferenz 2013,Österreich - Workshop: Grundlagen und Mehrwerte vo...
 
Datenbanksystem
DatenbanksystemDatenbanksystem
Datenbanksystem
 
Datenbanksystem
DatenbanksystemDatenbanksystem
Datenbanksystem
 
Domain Driven Design und Nosql
Domain Driven Design und Nosql Domain Driven Design und Nosql
Domain Driven Design und Nosql
 

Más de Trivadis

Azure Days 2019: Trivadis Azure Foundation – Das Fundament für den ... (Nisan...
Azure Days 2019: Trivadis Azure Foundation – Das Fundament für den ... (Nisan...Azure Days 2019: Trivadis Azure Foundation – Das Fundament für den ... (Nisan...
Azure Days 2019: Trivadis Azure Foundation – Das Fundament für den ... (Nisan...
Trivadis
 
Azure Days 2019: Infrastructure as Code auf Azure (Jonas Wanninger & Daniel H...
Azure Days 2019: Infrastructure as Code auf Azure (Jonas Wanninger & Daniel H...Azure Days 2019: Infrastructure as Code auf Azure (Jonas Wanninger & Daniel H...
Azure Days 2019: Infrastructure as Code auf Azure (Jonas Wanninger & Daniel H...
Trivadis
 
Azure Days 2019: Azure@Helsana: Die Erweiterung von Dynamics CRM mit Azure Po...
Azure Days 2019: Azure@Helsana: Die Erweiterung von Dynamics CRM mit Azure Po...Azure Days 2019: Azure@Helsana: Die Erweiterung von Dynamics CRM mit Azure Po...
Azure Days 2019: Azure@Helsana: Die Erweiterung von Dynamics CRM mit Azure Po...
Trivadis
 

Más de Trivadis (20)

Azure Days 2019: Azure Chatbot Development for Airline Irregularities (Remco ...
Azure Days 2019: Azure Chatbot Development for Airline Irregularities (Remco ...Azure Days 2019: Azure Chatbot Development for Airline Irregularities (Remco ...
Azure Days 2019: Azure Chatbot Development for Airline Irregularities (Remco ...
 
Azure Days 2019: Trivadis Azure Foundation – Das Fundament für den ... (Nisan...
Azure Days 2019: Trivadis Azure Foundation – Das Fundament für den ... (Nisan...Azure Days 2019: Trivadis Azure Foundation – Das Fundament für den ... (Nisan...
Azure Days 2019: Trivadis Azure Foundation – Das Fundament für den ... (Nisan...
 
Azure Days 2019: Business Intelligence auf Azure (Marco Amhof & Yves Mauron)
Azure Days 2019: Business Intelligence auf Azure (Marco Amhof & Yves Mauron)Azure Days 2019: Business Intelligence auf Azure (Marco Amhof & Yves Mauron)
Azure Days 2019: Business Intelligence auf Azure (Marco Amhof & Yves Mauron)
 
Azure Days 2019: Master the Move to Azure (Konrad Brunner)
Azure Days 2019: Master the Move to Azure (Konrad Brunner)Azure Days 2019: Master the Move to Azure (Konrad Brunner)
Azure Days 2019: Master the Move to Azure (Konrad Brunner)
 
Azure Days 2019: Keynote Azure Switzerland – Status Quo und Ausblick (Primo A...
Azure Days 2019: Keynote Azure Switzerland – Status Quo und Ausblick (Primo A...Azure Days 2019: Keynote Azure Switzerland – Status Quo und Ausblick (Primo A...
Azure Days 2019: Keynote Azure Switzerland – Status Quo und Ausblick (Primo A...
 
Azure Days 2019: Grösser und Komplexer ist nicht immer besser (Meinrad Weiss)
Azure Days 2019: Grösser und Komplexer ist nicht immer besser (Meinrad Weiss)Azure Days 2019: Grösser und Komplexer ist nicht immer besser (Meinrad Weiss)
Azure Days 2019: Grösser und Komplexer ist nicht immer besser (Meinrad Weiss)
 
Azure Days 2019: Get Connected with Azure API Management (Gerry Keune & Stefa...
Azure Days 2019: Get Connected with Azure API Management (Gerry Keune & Stefa...Azure Days 2019: Get Connected with Azure API Management (Gerry Keune & Stefa...
Azure Days 2019: Get Connected with Azure API Management (Gerry Keune & Stefa...
 
Azure Days 2019: Infrastructure as Code auf Azure (Jonas Wanninger & Daniel H...
Azure Days 2019: Infrastructure as Code auf Azure (Jonas Wanninger & Daniel H...Azure Days 2019: Infrastructure as Code auf Azure (Jonas Wanninger & Daniel H...
Azure Days 2019: Infrastructure as Code auf Azure (Jonas Wanninger & Daniel H...
 
Azure Days 2019: Wie bringt man eine Data Analytics Plattform in die Cloud? (...
Azure Days 2019: Wie bringt man eine Data Analytics Plattform in die Cloud? (...Azure Days 2019: Wie bringt man eine Data Analytics Plattform in die Cloud? (...
Azure Days 2019: Wie bringt man eine Data Analytics Plattform in die Cloud? (...
 
Azure Days 2019: Azure@Helsana: Die Erweiterung von Dynamics CRM mit Azure Po...
Azure Days 2019: Azure@Helsana: Die Erweiterung von Dynamics CRM mit Azure Po...Azure Days 2019: Azure@Helsana: Die Erweiterung von Dynamics CRM mit Azure Po...
Azure Days 2019: Azure@Helsana: Die Erweiterung von Dynamics CRM mit Azure Po...
 
TechEvent 2019: Kundenstory - Kein Angebot, kein Auftrag – Wie Du ein individ...
TechEvent 2019: Kundenstory - Kein Angebot, kein Auftrag – Wie Du ein individ...TechEvent 2019: Kundenstory - Kein Angebot, kein Auftrag – Wie Du ein individ...
TechEvent 2019: Kundenstory - Kein Angebot, kein Auftrag – Wie Du ein individ...
 
TechEvent 2019: Oracle Database Appliance M/L - Erfahrungen und Erfolgsmethod...
TechEvent 2019: Oracle Database Appliance M/L - Erfahrungen und Erfolgsmethod...TechEvent 2019: Oracle Database Appliance M/L - Erfahrungen und Erfolgsmethod...
TechEvent 2019: Oracle Database Appliance M/L - Erfahrungen und Erfolgsmethod...
 
TechEvent 2019: Security 101 für Web Entwickler; Roland Krüger - Trivadis
TechEvent 2019: Security 101 für Web Entwickler; Roland Krüger - TrivadisTechEvent 2019: Security 101 für Web Entwickler; Roland Krüger - Trivadis
TechEvent 2019: Security 101 für Web Entwickler; Roland Krüger - Trivadis
 
TechEvent 2019: Trivadis & Swisscom Partner Angebote; Konrad Häfeli, Markus O...
TechEvent 2019: Trivadis & Swisscom Partner Angebote; Konrad Häfeli, Markus O...TechEvent 2019: Trivadis & Swisscom Partner Angebote; Konrad Häfeli, Markus O...
TechEvent 2019: Trivadis & Swisscom Partner Angebote; Konrad Häfeli, Markus O...
 
TechEvent 2019: DBaaS from Swisscom Cloud powered by Trivadis; Konrad Häfeli ...
TechEvent 2019: DBaaS from Swisscom Cloud powered by Trivadis; Konrad Häfeli ...TechEvent 2019: DBaaS from Swisscom Cloud powered by Trivadis; Konrad Häfeli ...
TechEvent 2019: DBaaS from Swisscom Cloud powered by Trivadis; Konrad Häfeli ...
 
TechEvent 2019: Status of the partnership Trivadis and EDB - Comparing Postgr...
TechEvent 2019: Status of the partnership Trivadis and EDB - Comparing Postgr...TechEvent 2019: Status of the partnership Trivadis and EDB - Comparing Postgr...
TechEvent 2019: Status of the partnership Trivadis and EDB - Comparing Postgr...
 
TechEvent 2019: More Agile, More AI, More Cloud! Less Work?!; Oliver Dörr - T...
TechEvent 2019: More Agile, More AI, More Cloud! Less Work?!; Oliver Dörr - T...TechEvent 2019: More Agile, More AI, More Cloud! Less Work?!; Oliver Dörr - T...
TechEvent 2019: More Agile, More AI, More Cloud! Less Work?!; Oliver Dörr - T...
 
TechEvent 2019: Kundenstory - Vom Hauptmann zu Köpenick zum Polizisten 2020 -...
TechEvent 2019: Kundenstory - Vom Hauptmann zu Köpenick zum Polizisten 2020 -...TechEvent 2019: Kundenstory - Vom Hauptmann zu Köpenick zum Polizisten 2020 -...
TechEvent 2019: Kundenstory - Vom Hauptmann zu Köpenick zum Polizisten 2020 -...
 
TechEvent 2019: Vom Rechenzentrum in die Oracle Cloud - Übertragungsmethoden;...
TechEvent 2019: Vom Rechenzentrum in die Oracle Cloud - Übertragungsmethoden;...TechEvent 2019: Vom Rechenzentrum in die Oracle Cloud - Übertragungsmethoden;...
TechEvent 2019: Vom Rechenzentrum in die Oracle Cloud - Übertragungsmethoden;...
 
TechEvent 2019: The sleeping Power of Data; Eberhard Lösch - Trivadis
TechEvent 2019: The sleeping Power of Data; Eberhard Lösch - TrivadisTechEvent 2019: The sleeping Power of Data; Eberhard Lösch - Trivadis
TechEvent 2019: The sleeping Power of Data; Eberhard Lösch - Trivadis
 

Wie sicher sind Database Links? DOAG BI Konfernenz München.

  • 1. Wie sicher sind Database Links? DOAG BI Konferenz 2013 Dani Schnider Trivadis AG München, 17. April 2013 BASEL BERN BRUGG LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. HAMBURG MÜNCHEN STUTTGART WIEN 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 1
  • 2. Dani Schnider  Principal Consultant und DWH/BI Lead Architect bei Trivadis in Zürich  Kursleiter für Trivadis-Kurse über Data Warehousing, SQL Optimierung und Oracle Warehouse Builder  Co-Autor des Buches «Data Warehousing mit Oracle» 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 2
  • 3. Beispielkonfiguration: DWH mit Database Links CREATE PUBLIC DATABASE LINK hr_dbl CONNECT TO hr IDENTIFIED BY hrpw USING 'SOURCE_SYSTEM' 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 5 SCOTT DWH_MART DWH_CORE DWH_CLEANSE DWH_STAGE HR HR_DBL SCOTT_DBL SOURCE_SYSTEM DATA_WAREHOUSE CREATE PUBLIC DATABASE LINK scott_dbl CONNECT TO scott IDENTIFIED BY tiger USING 'SOURCE_SYSTEM'
  • 4. Wie sicher sind Database Links? 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 6 Die richtige Frage lautet: Wie sicher ist diese Konfiguration?
  • 5. Beispielkonfiguration – Sicherheitslücken CREATE PUBLIC DATABASE LINK scott_dbl CONNECT TO scott IDENTIFIED BY tiger USING 'SOURCE_SYSTEM' 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 7 SCOTT DWH_MART DWH_CORE DWH_CLEANSE DWH_STAGE HR HR_DBL SCOTT_DBL SOURCE_SYSTEM Database Link auf DATA_WAREHOUSE Schema Owner 1 Public Database Link auf fixed User 2 Passwort gespeichert im Data Dictionary 3
  • 6. Sicherheitslücke 1: Database Link auf Schema Owner  Über Database Link können alle Daten des Schemas gelesen werden  Daten können über Database Link verändert werden 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 8
  • 7. Empfehlungen  Spezifischer User für Zugriff über Database Link  Keine eigenen Objekte, nur Lesezugriff über SELECT-Privilegien  Zugriff auf Quelldaten über View Layer  Views enthalten nur relevante Attribute  Grundprinzip: Need To Know  Was nicht erforderlich ist, ist nicht erlaubt 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 9
  • 8. Zugriffsbeschränkungen auf Quellsystem 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 10
  • 9. Sicherheitslücke 2: Public Database Link auf fixed User  Jeder User kann Database Link benutzen  Berechtigungen von Remote-User (HR, SCOTT) werden verwendet 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 11
  • 10. Public oder Private Database Link? 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 12
  • 11. Private Database Link auf spezifischen ETL-User 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 13
  • 12. Connected User oder Fixed User? 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 14
  • 13. Private Database Link (Connected User) für ETL-User 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 15
  • 14. Sicherheitslücke 3: Passwort gespeichert im Data Dictionary  Seit Oracle 10.2 werden Passwörter von Database Links verschlüsselt abgespeichert  Aber es gibt Wege, um Passwörter zu entschlüsseln... 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 16 Demo http://www.oracleforensics.com/wordpress/wp-content/uploads/2012/11/database_link_security.pdf http://www.oracleforensics.com/wordpress/index.php/2012/11/22/database-link-security/ http://www.petefinnigan.com/forum/yabb/YaBB.cgi?board=ora_sec;action=display;num=1181549741
  • 15. Empfehlungen  Sichere Passwörter für hochprivilegierte User:  SYS, SYSTEM, SYSMAN, OUTLN, OWBSYS, WMSYS, ...  Vorsicht mit hochprivilegierten Rollen:  DBA, EXP_FULL_DATABASE, IMP_FULL_DATABASE, ...  Kein Zugriff auf SYS.LINK$ und DBMS_CRYPTO  „Hintertüre“ mit DBMS_METADATA und anderer DB ist trotzdem möglich!  Funktioniert für alle User mit SELECT_CATALOG_ROLE!  Upgrade auf Oracle 11.2.0.3 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 17
  • 16. Dürfen Database Links verwendet werden? 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 18 Sicher. Aber sicher!
  • 17. Konfiguration eines sicheren Database Links 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 19
  • 18. Beispiel: Logon-Trigger für Zugriffskontrolle 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 20
  • 19. Wie sicher sind Database Links? 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 21 Abhängig von Konfiguration: Wichtigste Sicherheitsregeln einhalten!
  • 20. Wichtigste Sicherheitsregeln 2014 © Trivadis  Keine Database Links auf Schema Owner!  Keine Database Links auf hochprivilegierte User!  Spezifischer User für Zugriff über Database Link  Möglichst Private Database Links verwenden  Eventuell Logon-Trigger für Zugriffskontrolle Wie sicher sind Database Links? 17. April 2013 22
  • 21. Vielen Dank. Trivadis AG Dani Schnider Europa-Strasse 5 CH-8152 Glattbrugg/Zürich Schweiz Tel. +41 44 808 70 20 Fax +41 44 808 70 21 info@trivadis.com www.trivadis.com BASEL BERN BRUGG LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. HAMBURG MÜNCHEN STUTTGART WIEN 2014 © Trivadis Wie sicher sind Database Links? 17. April 2013 23