Zákazníci Oracle Database spoléhají na DBSAT jako na nástroj pro vyhodnocení stavu zabezpečení jejich databází Oracle a na pomoc při jejich úsilí o zmírnění rizik. Posouzením konfigurace databáze, uživatelských oprávnění a citlivých dat vám DBSAT umožňuje identifikovat potenciální bezpečnostní rizika.
S předchozím vydáním DBSAT 3.0 v listopadu 2023 aktualizovali hodnocení DBSAT Příručky bezpečnostní technické implementace (STIG) Agentury pro informační systémy USA (DISA) pro Oracle Database, abychom dále vylepšili její schopnosti. Více si o tom můžete přečíst zde.
V této nejnovější verzi, DBSAT 3.1, se zaměřili na aktualizaci DBSAT, abychom zaplnili mezeru ve srovnání s Centrem pro internetovou bezpečnost (CIS) Benchmark v1 .2 pro Oracle Database 19c. Tato aktualizace rozšiřuje možnosti hodnocení zabezpečení DBSAT a umožňuje hlásit 132 kontrol spolu s poznámkami, které vám pomohou zmírnit identifikovaná rizika.
Přidána podpora pro Oracle Database 19c CIS Benchmark v1.2
CIS Benchmark pro Oracle Database je normativní konfigurační doporučení, které vám pomůže chránit vaše databáze před hrozbami. CIS Benchmark představuje celosvětově založené úsilí odborníků na kybernetickou bezpečnost třetích stran.
DBSAT nyní přináší cenné kontroly a doporučení, která pocházejí z Oracle Best Practices, STIG (V2R8) a nejnovějšího CIS Benchmarku. DBSAT také zdůrazňuje databázové funkce a další bezpečnostní produkty Oracle Database, které můžete využít k řešení článků a odůvodnění EU GDPR.
S DBSAT získáte bezpečnostní hodnocení zaměřená na konkrétní verzi a typ databáze Oracle. Při vyhodnocování databáze DBSAT zváží verzi databáze, použije příslušné pohledy (a sloupce) datového slovníku a poskytne cílená doporučení, abyste mohli na základě zjištění jednat s ohledem na použitelné osvědčené postupy. Například s DBSAT získáte správné rady pro svou autonomní databázi a místní cíle.
V této verzi přidali 10 zjištění na základě doporučení CIS, aktualizovali všechna zjištění související s CIS, aby odrážela změny v počtech nálezů CIS, a odstranili mapování pro zastaralá/smazaná doporučení CIS. K dispozici je také nové zjištění pro předem ověřené požadavky na URL v cloudových databázích.
Nové funkce přidané do DBSAT 3.1
Nové poznatky
- USER.DEFAULTPROFILE: Uvádí limity DEFAULT profilu uživatele.
- 7 zjištění o udělení balíčku EXECUTE PUBLIC: Síť, systém souborů, šifrování, Java, úlohy a plánovač, pomocné funkce a pověření.
- AUDIT.SYNONYM: Kontroluje, zda je auditováno vytvoření/změna/upuštění SYNONYM.
- CONF.DEFAULTPDBOSUSER: Kontroluje uživatele operačního systému definovaného v PDB_OS_CREDENTIAL.
- CONF.PREAUTHREQUESTURL: Zobrazuje pro Autonomous Database Serverless počet uživatelů, kteří mohou používat předem ověřené adresy URL.
Vylepšené nálezy
- USER.NOEXPIRE: Vylepšená logika a shrnutí.
- USER.APPOWNER: Optimalizace pro snížení hlučných detailů a jejich velikosti.
- ENCRYPT.TDE: Aktualizované poznámky.
Zrušit EXECUTE granty pro PUBLIC?
Ne tak rychle. Odebrání grantů od PUBLIC není něco, co byste měli dělat lehce, protože to může ovlivnit dostupnost vaší aplikace a schopnost Oracle podporovat vaši databázi. Mohli byste neúmyslně něco porušit, což je jeden z důvodů, proč je lepší provést náležitou péči a před odvoláním těchto výchozích grantů se poradit s dodavatelem aplikace a podporou Oracle. Ve většině případů lze riziko grantů pro PUBLIC zmírnit jinými prostředky.
DBSAT 3.1 kontroluje udělení EXECUTE pro PUBLIC na seznamu balíčků vyvinutém CIS. DBSAT také kontroluje existenci systémových a objektových oprávnění relevantních pro tyto balíčky, aby poskytl úplný obrázek – nejen udělení, ale i další oprávnění požadovaná k použití těchto balíčků.
Například pouhé udělení oprávnění EXECUTE uživateli databáze nestačí k tomu, aby mohl využívat UTL_FILE ke čtení nebo manipulaci se soubory v systému souborů. Uživatel bude muset mít možnost číst/zapisovat do objektu DIRECTORY, což může pocházet z explicitního přidělení objektu pro DIRECTORY nebo kvůli systémovým právům ADVISOR, CREATE ANY DIRECTORY nebo READ ANY DIRECTORY. DBSAT kontroluje kromě kontroly udělení oprávnění EXECUTE i tyto dodatečné podmínky. Dalším příkladem je udělení balíčku UTL_HTTP PUBLIC. K exfiltraci dat pomocí UTL_HTTP potřebuje uživatel databáze nejen oprávnění EXECUTE na balíčku (přímo, nepřímo nebo prostřednictvím PUBLIC), ale potřebuje také explicitní oprávnění prostřednictvím síťového ACL. Síťové ACL mohou omezit použití UTL_HTTP na konkrétního uživatele a IP adresu.
Obrázek 1: Síťové balíčky udělené veřejnosti
A co starší verze databáze?
DBSAT využívá několik standardů jako základ. Když jsou doporučení CIS Benchmark přizpůsobená pro databáze 19c relevantní pro starší nebo novější verze, DBSAT je přesně ověřuje spoléháním se na existující pohledy a sloupce datového slovníku. Pokud tato doporučení nejsou relevantní, DBSAT inteligentně obchází kontrolu.
DBSAT všude
Popularita DBSAT, která se odráží ve více než 90 000 staženích, ukazuje, že DBSAT je široce používaný, relevantní a přidává významnou hodnotu tím, že přináší praktická doporučení. Popularita a vysoce hodnotné výsledky DBSAT vedly k tomu, že DBSAT přijalo několik dalších produktů Oracle.
DBSAT aktuálně pohání Audit Vault a Database Firewall správu pozice zabezpečení databáze, Oracle Data Safe a část hodnocení bezpečnosti v rámci Autonomous Health Framework. Enterprise Manager Posouzení zabezpečení, standardy shody DBSAT v
Nestačí DBSAT?
DBSAT je jednoduchý samostatný nástroj, který pomáhá vyhodnotit konfiguraci zabezpečení jedné databáze Oracle. Co když chcete automatizovat hodnocení v rámci vašeho vozového parku, sledovat odchylky od schválených základních linií, dostávat upozornění, uchovávat historii a provádět srovnání v jednom rozhraní? Použijte Oracle Data Safe nebo Oracle Audit Vault a Database Firewall, abyste udělali krok navíc v hodnocení.
Hodnocení pomocí Oracle Data Safe
Pomocí Oracle Data Safe můžete vyhodnotit zabezpečení svých databází běžících v cloudu a místně. Data Safe je cloudová služba zabezpečení databází, která poskytuje komplexní sadu funkcí zabezpečení, včetně hodnocení uživatelů a zabezpečení. Úzce integrované možnosti hodnocení Data Safe vám umožňují spouštět hodnocení na více databázích současně, plánovat hodnocení, stanovit základní úroveň zabezpečení a získat srovnávací zprávu zdůrazňující posun mezi touto základní úrovní a aktuálním hodnocením zabezpečení databáze. Data Safe API můžete také použít k automatizaci a integraci hodnocení zabezpečení databáze do vašich kanálů CI/CD. Další informace o Data Safe naleznete na https://www.oracle.com/security/database-security/data-safe/.
Hodnocení pomocí Oracle Audit Vault a Database Firewall
Oracle Audit Vault a Database Firewall (AVDF) 20.9 zavedly správu pozice zabezpečení databáze. Kromě shromažďování záznamů auditu a umožnění poskytování zásad auditu, zpráv a výstrah nyní AVDF poskytuje podnikům centralizované řešení hodnocení bezpečnosti integrací DBSAT pro databáze Oracle. Plnohodnotné hodnocení s mapováním shody a doporučeními pomůže organizacím porozumět jejich stavu zabezpečení pro všechny jejich databáze Oracle na jednom centrálním místě. Chcete-li se dozvědět více o Audit Vault a Database Firewall, navštivte prosím https://www.oracle.com/security/database-security/audit-vault-database-firewall/< a i=2>
DBSAT je nyní kritičtější než kdy jindy. Je to jádro technologií hodnocení zabezpečení databáze Oracle. Audit Vault a Database Firewall a Data Safe využívají pravidla definovaná v DBSAT jako součást jejich hodnotícího rámce.
Začněte s DBSAT 3.1
Měli byste provádět pravidelná hodnocení zabezpečení, která pomohou zajistit bezpečnost a integritu vašich dat. Pravidelné vyhodnocování zabezpečení vám umožní porozumět nesprávným konfiguracím vaší databáze, zjistit, kdo jsou privilegovaní uživatelé, identifikovat a zmírnit rizika a v konečném důsledku vám pomůže na cestě k souladu s předpisy, což vaší organizaci může ušetřit značný čas a peníze v důsledku selhání shody nebo ztráty dat.
Pokud jste zákazníkem společnosti Oracle, můžete začít posuzovat své databáze zdarma ještě dnes. Chcete-li si stáhnout nebo získat další informace o DBSAT, přečtěte si Nástroj Oracle Database Security Assessment Tool.
Zdroj: Oracle