Boka dig på Oracle OpenWorld nu - Skalinformation
Boka dig på Oracle OpenWorld nu - Skalinformation
Boka dig på Oracle OpenWorld nu - Skalinformation
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
RAPPORTERAT › nya produkter<br />
Database Firewall<br />
Om du vill slippa oväntat besök<br />
En stulen dator, en felkonstruerad applikation<br />
eller en arg medarbetare. Datatjuvar har flera<br />
vägar in till din information. Med Database Firewall<br />
sätter du stopp för dem redan i dörren.<br />
Nästan varje vecka kommer<br />
det larmrapporter om att än<strong>nu</strong><br />
ett företag blivit av med känslig<br />
persondata. Är det inte kreditkortsuppgifter<br />
som stulits har<br />
adresser eller annan information<br />
du inte vill dela med <strong>dig</strong><br />
av kommit <strong>på</strong> vift. I en nyligen<br />
uppmärksammad händelse förlorade<br />
till exempel Sony uppgifter<br />
om nästan 25 miljoner användare.<br />
Resultatet blir givetvis<br />
att kundernas förtroende för de<br />
felande bolagen naggas i kanten.<br />
Det mest tragiska är att<br />
många stölder inte skulle kunna<br />
ske om bara företag skyddade<br />
sig ordentligt. Mänger av så<br />
kallade DAM-verktyg, Database<br />
Activity Monitoring, kan hjälpa<br />
ditt företag att hindra att data<br />
landar i fel händer. Du kan både<br />
se vad som sker och hindra att<br />
fel personer gör fel saker.<br />
9 av 10 angrepp sker<br />
<strong>på</strong> applikationsnivå<br />
<strong>Oracle</strong> har historiskt haft ett<br />
bra skydd, men detta har framför<br />
allt funnits i<strong>nu</strong>ti databasen.<br />
Detta hjälper inte mot angrepp<br />
<strong>på</strong> applikationen utanför, som<br />
ofta har en mycket svagare säkerhetslösning.<br />
Därför kan tjuvar<br />
exempelvis använda sig av<br />
SQL-injektioner för att lura sig<br />
in i systemet. Undersökningar<br />
visar att uppemot 9 av 10 angrepp<br />
använder sig av denna<br />
metod.<br />
I princip fungerar tekniken<br />
genom att angriparen förändrar<br />
koden som applikationen skickar.<br />
Det kan ske <strong>på</strong> flera olika<br />
sätt, men i regel krävs det bara<br />
ett enda misstag av programmerarna<br />
för att det ska vara fritt<br />
fram för datatjuven. I bästa fall<br />
14<br />
kan de bara expandera frågan<br />
till att returnera för mycket data.<br />
I värsta fall kan de köra nästan<br />
vilken SQL-sats som helst, inklusive<br />
uppdateringar och borttag.<br />
Database Firewall säkrar<br />
även andra databaser<br />
För skydd mot detta redan <strong>på</strong><br />
första nivån, det vill säga innan<br />
frågan nått databasen, har användare<br />
fått söka sig till företags<br />
i DAM-branschen, till exempel<br />
Imperva och AppSec. Men med<br />
Database Firewall har detta<br />
ändrats. Nu kan du vända <strong>dig</strong><br />
direkt till <strong>Oracle</strong> och få hjälp<br />
med säkerheten hela vägen.<br />
Enklare både vid inköp och för<br />
supportärenden.<br />
Liksom många andra produkter<br />
i <strong>Oracle</strong>s portfolio är detta<br />
en inköpt applikation. Originalbolaget<br />
hette Secerno och produkten<br />
DataWall. Likt ett annat<br />
uppmärksammat uppköp, GoldenGate,<br />
är det en lösning som<br />
inte bara är byggd för <strong>Oracle</strong>s<br />
produkter. Tvärtom fungerar<br />
det utmärkt även för exempelvis<br />
SQL Server, DB2 och Sybase<br />
ASE.<br />
Hittar konstigheter i realtid<br />
I princip fungerar skyddet som<br />
en brandvägg <strong>på</strong> nätverket. Fast<br />
för SQL. All kod måste passera<br />
genom applikationens nålsöga<br />
och där kan den undersökas<br />
grundligt. Men det är inte passiva<br />
kontroller. Database Firewall<br />
lär sig känna igen riktiga anrop<br />
och kan <strong>på</strong> så sätt upptäcka underligheter<br />
i realtid.<br />
Det vanliga beteendet lagras<br />
i vad som kallas ”vita listor”.<br />
Allting som är nedtecknat där är<br />
tillåtet och övrig trafik stoppas.<br />
Denna metod ger överlägset<br />
bäst säkerhet, men kan hindra<br />
korrekta frågor. Framför allt är<br />
det infrekventa anrop som kan<br />
bromsas upp, till exempel kvartalsrapporter<br />
eller årskörningar.<br />
Ett annat problem med vita<br />
listor är förändringar i applikationen.<br />
Detta kan exempelvis<br />
ske när ett program uppgraderas<br />
eller byts ut. Lösningen är<br />
att först köra igenom allting i en<br />
testmiljö med Database Firewall<br />
installerad och sedan flytta över<br />
listorna till produktion.<br />
Svarta och vita listor<br />
Ett alternativ till de vita listorna<br />
är att blockera givna SQL-satser.<br />
Dessa lagras i ”svarta listor”. Tyvärr<br />
är detta ett trubbigt verktyg,<br />
eftersom det ofta är möjligt för<br />
en sofistikerad angripare att justera<br />
frågan tillräckligt mycket för<br />
att komma runt väggen.<br />
Förutom själva grundskyddet<br />
går det att lägga in andra restriktioner.<br />
Exempel <strong>på</strong> detta är<br />
IP-<strong>nu</strong>mmer, applikationer och<br />
tidpunkter, vilket du kanske<br />
känner igen från vanliga brandväggar.<br />
Med detta stöd kan du<br />
hindra att någon gör oönskade<br />
anrop mitt i natten, när administratörer<br />
och säkerhetspersonal<br />
inte är <strong>på</strong> plats.<br />
Vid behov kan programmet<br />
ingripa <strong>på</strong> flera olika sätt. Enklaste<br />
varianten är att helt enkelt<br />
stoppa misstänkt SQL i dörren.<br />
Men det går också att förändra<br />
frågan så att den inte returnerar<br />
något svar. Detta kan vara bättre<br />
om man inte vill att angriparen<br />
ska förstå att han upptäckts och<br />
blockerats.<br />
Vidare går det givetvis att<br />
skicka varningar till administratörer<br />
så att de kan kontrollera<br />
de misstänkta anropen. Denna<br />
funktion går att lägga <strong>på</strong> toppen<br />
av något av de andra skydden<br />
för att både hindra SQLen och<br />
även göra säkerhetspersonal<br />
uppmärksamma <strong>på</strong> angrepps-<br />
försöken.<br />
Rapporter och<br />
säkerhetsanalyser<br />
Förutom basfunktionen finns<br />
även en del extra finesser i Database<br />
Firewall. Exempelvis går<br />
det att ta fram rapporter för att<br />
tillgodose kraven för SOX och<br />
PCI DSS. Vidare kan du också<br />
göra en säkerhetsanalys av lagrade<br />
procedurer och roller i databaserna.<br />
Att jobba med produkten är<br />
smi<strong>dig</strong>t. Administrationsverktyget<br />
är webbaserat och väl<strong>dig</strong>t<br />
lättarbetat. Det går snabbt att<br />
konfigurera servern, skapa regler<br />
och sedan övervaka dem<br />
– direkt eller i efterhand. Enda<br />
nackdelen är att det står för sig<br />
självt. Det vore smi<strong>dig</strong>are att ha<br />
funktionen i Grid Managern.<br />
Men mycket talar för att Database<br />
Firewall kommer att flytta<br />
in där inom kort. Inte minst som<br />
gränssnitten <strong>på</strong>minner om varandra.<br />
Prioritera mellan<br />
prestanda och säkerhet<br />
Tekniskt installeras produkten<br />
för sig själv. Du avgör om en<br />
server ska hantera flera databaser<br />
eller bara fokusera <strong>på</strong> en.<br />
Sedan kan du välja att skicka<br />
all trafik igenom Database Firewall,<br />
eller att bara mata den<br />
med kopior av SQLen i realtid.<br />
Valet beror <strong>på</strong> hur du viktar säkerhet<br />
och prestanda.<br />
Vill du vara säker <strong>på</strong> att produkten<br />
inte stannar, går det bra<br />
att skapa en lösning där två maskiner<br />
samkör med varandra.<br />
Faller den ena står den andra<br />
kvar. Detta är en absolut rekommendation<br />
om du har krav <strong>på</strong><br />
<strong>dig</strong> att hålla med hög tillgänglighet.<br />
Det går också att installera en<br />
tunn agent <strong>på</strong> databasservrar<br />
där du inte har Database Firewallskyddet.<br />
Denna kan skicka<br />
vidare information till den feta<br />
servern. Skillnaden är att SQL<br />
inte strömmar igenom agenten.<br />
Du får alltså reda <strong>på</strong> faktum i efterhand.<br />
Även om fördröjningen<br />
är marginell innebär det att skadan<br />
redan kan vara skedd.<br />
Kompletterar<br />
databasens skydd<br />
Störst kritik har Database Firewall<br />
fått för att det inte är en<br />
komplett lösning för databasskydd.<br />
Det är framför allt konkurrerande<br />
företag som höjt<br />
rösten för detta. Flera funktioner<br />
som andra DAM-verktyg<br />
erbjuder saknas nämligen. Men<br />
det stämmer bara om man har<br />
skygglappar <strong>på</strong> sig. Mycket av<br />
säkerheten finns nämligen i databasen.<br />
Med Audit Vault blir<br />
till exempel trafikövervakningen<br />
nära nog komplett och det finns<br />
många andra tillägg att aktivera.<br />
Ett större problem är att produkten<br />
än<strong>nu</strong> inte klarar av krypterad<br />
trafik. Det gör det knepigt<br />
för alla de företag som använder<br />
nätverksskyddet i Advanced Security,<br />
eller någon tredjepartsprodukt;<br />
något många potentiella<br />
köpare av Database Firewall<br />
gör. Lyckligtvis är förbättringar<br />
inom området utlovade till kommande<br />
versioner.<br />
Tyvärr går det heller inte att<br />
kontrollera utgående data. Vill<br />
du hindra given information<br />
från att hamna <strong>på</strong> fel klient får<br />
du använda databasens egna<br />
verktyg för detta. Just att det<br />
finns skydd längre ner, talar för<br />
att funktionen inte kommer att<br />
dyka upp i Database Firewall i<br />
det närmaste. Men det skulle<br />
vara bra för att få en extra kontroll.<br />
Bra köp för <strong>dig</strong> som<br />
vill ha dna data ifred<br />
Sammantaget är det här ändå<br />
ett riktigt bra köp för både<br />
<strong>Oracle</strong> och deras användare.<br />
Precis som för många andra<br />
produkter de handlat senaste<br />
åren blir det enklare för kunder<br />
att faktiskt börja använda<br />
en mycket bra funktion. Detta<br />
nya produkter › RAPPORTERAT<br />
Att jobba med produkten är smi<strong>dig</strong>t. Administrationsverktyget är webbaserat och väl<strong>dig</strong>t lättarbetat.<br />
Det går snabbt att konfigurera servern, skapa regler och sedan övervaka dem – direkt eller i<br />
efterhand.<br />
I princip fungerar skyddet som en brandvägg <strong>på</strong> nätverket, men för SQL. All kod måste passera<br />
genom applikationens nålsöga och där kan den undersökas grundligt. Men det är inte passiva<br />
kontroller. Database Firewall lär sig känna igen riktiga anrop och kan <strong>på</strong> så sätt upptäcka underligheter<br />
i realtid.<br />
då relationen med leverantören<br />
finns redan <strong>på</strong> plats.<br />
En brandvägg för databasen<br />
borde nämligen vara lika självklart<br />
som de som redan finns i<br />
nätverket. Inte minst som denna<br />
angreppsvektor är betydligt<br />
vanligare, enklare att utföra och<br />
ofta minst lika allvarlig. Det är<br />
ju informationen som ska skyd-<br />
das.<br />
När <strong>nu</strong> funktionen finns i<br />
<strong>Oracle</strong> verktygslåda kommer de<br />
att göra användare mer medvetna<br />
om vilka möjligheter som<br />
finns. Något som känns riktigt<br />
bra. I synnerhet för oss som vill<br />
ha våra kreditkortsuppgifter i<br />
fred.<br />
Robert Ilijason<br />
15