Безопасность баз данных Oracle: с чего начать?

Каждый день в ИТ-мире появляются новые способы похитить данные. Однако одно остается неизменным: конечная цель хакеров — это данные организаций, самое ценное. Поэтому базы данных — это самое уязвимое место в компании.

К сожалению, при расследовании хищений данных из БД эксперты часто отмечают, что клиенты игнорируют рекомендации вендоров по настройке баз данных в части безопасности. Об этом, кстати, говорят и затраты, которые идут на обеспечение информационной безопасности: в среднем только 67% средств тратится на сетевую безопасность, в то время как на безопасность баз данных — всего 15%.  

Важно помнить: даже если в вашей базе данных не хранится никаких персональных данных пользователей или данных банковских карт, то она все равно представляет интерес для злоумышленников. Любая информация несет ценность, и, соответственно, ее утечка приведет к убыткам для организации, пусть даже и в виде репутационных потерь.

Первый и самый важный шаг, который мы рекомендуем всем нашим клиентам — проведение оценки состояния безопасности БД.

Регулярный аудит — залог того, что ваша база данных в безопасности. Существует много технологий, программ, методик аудита безопасности БД. Сегодня мы скажем пару слов об одном из лучших инструментов, предназначенных для оценки уровня безопасности СУБД Oracle: Database Security Assessment Tool (dbsat). Dbsat — бесплатная утилита, доступная для пользователей Oracle Database Enterprise Edition, которую можно скачать с портала Oracle Support. Это довольно легковесный продукт, официально поддерживаемый корпорацией Oracle и сопровождаемый официальной документацией. Поставляется dbsat в виде zip-архива; как таковой процедуры инсталляции у него нет. Для началы работы нужно только выполнить несколько преднастроек (установить Java 8+, Python версии 2.6+, создать пользователя в базе данных, от имени которого будут производиться все действия с базой данных в рамках формирования отчетов о состоянии безопасности), распаковать архив и запустить утилиту.

В процессе оценки уровня безопасности БД пользователю предстоит работать с основными  командами утилиты dbsat: collect и report . Все начинается с команды collect: нужно лишь запустить команду, передать параметры подключения к БД и имя отчета по аудиту, который будет сформирован в результате команды. В ходе выполнения collect выполняются запросы к БД: из служебных таблиц собирается информация для формирования отчета. Стоит заметить, что никаких изменений в объекты БД не вносится. Пользователю, под которым работает dbsat, делегирован минимальный набор прав, необходимый только для обращения к служебным таблицам, чтобы путем select-ов получить необходимую для построения отчетов информацию. То есть никакой угрозы данным, хранящимся в БД, нет. 

Второй шаг — запуск команды report. На основе данных, собранных в ходе выполнения collect, командой report строится финальный отчет о состоянии безопасности БД и помещается в zip-архив (кстати, закрытый паролем). Отчет формируется в нескольких форматах: html, excel, txt. 

Пример отчета представлен на рисунках:

Все настройки БД, связанные с безопасностью, собраны в этом отчете, распределены по группам и вдобавок подкрашены цветом: зеленый — настройка соответствует необходимому уровню безопасности, желтый — требует проверки, красный — требует перенастройки.

Обратите внимание, что некоторые параметры в отчете помечены маркерами CIS и STIG: маркированные настройки проверяются на соответствие стандартам
CIS, Center for Internet Security, и STIG: Security Technical Implementation Guide.

Хорошей практикой является запуск dbsat регулярно, на постоянной основе, когда есть возможность ретроспективно проследить все изменения ключевых параметров безопасности БД. Стоит заметить, что регулярный запуск этой утилиты — это не просто процедура, а уже полноценный процесс аудита, притом вполне качественный. Самые популярные “дыры” в безопасности (неустановленные патчи, выдача избыточных прав, слабые политики паролей) можно обнаружить в ходе изучения отчетов. Главное, что дает dbsat — это возможность понять и определить дальнейшие шаги по защите БД.

Утилита dbsat применима к БД Oracle, начиная с версии 10, как онпрем, так и на облачных платформах. Следующим шагом в развитии инструментов такого класса является облачное решение Oracle Data Safe, о котором мы поговорим в следующих статьях.