مفهوم و بررسی Oracle Database Vault

Oracle Database Vault، کنترل‌های امنیتی قدرتمندی برای کمک به حفظ داده‌های برنامه، در برابر دسترسی‌های غیرمجاز ارائه نموده است که با الزامات مقرراتی و حریم خصوصی سازگار می باشد. این کنترل‌ها را می‌توان به گونه ای گسترش داد که دسترسی حساب کاربری با امتیازهای ویژه (Privileged Account) به داده‌های برنامه را مسدود کرده و عملیات‌های حساس پایگاه داده را با استفاده از صدور مجوز چندعاملی کنترل نماید. امنیت برنامه‌های موجود را می‌توان از طریق تحلیل امتیازها و نقش‌ها افزایش داد. علاوه بر آنکه Oracle Database Vault، محیط‌های پایگاه داده‌ی موجود را به‌نحوی شفاف ایمن می نماید؛ تغییرات پرهزینه و زمانبر برنامه‌ها را نیز از میان برمی‌دارد.

کنترل‌های حساب‌های کاربری با دسترسی بالا

Privileged Account یا حساب های کاربری با دسترسی بالای پایگاه داده، یکی از رایج‌ترین روش‌های کسب دسترسی به داده‌های حساس برنامه‌های پایگاه داده محسوب می گردند. همان‌طور که دسترسی وسیع و نامحدود آنها، حفظ و نگهداری پایگاه داده را تسهیل می‌نماید، یک نقطه‌ی آسیب پذیر برای کسب دسترسی به مقادیر زیادی از داده‌ها را نیز ایجاد می‌کند. Oracle Database Vault Realms در طرح (Schema)‌‌های مربوط به برنامه‌ها و جداول حساس و همچنین رویه‌های ذخیره‌شده، کنترل‌هایی ارائه می‌کند؛ تا از سوء‌استفاده‌ی Account‌های دارای دسترسی های سطح بالا، به‌دست هکرها و کارمندان داخلی سازمان که به داده‌های حساس برنامه دسترسی دارند، جلوگیری نماید.

Oracle Database Vault Realms، دسترسی از Account‌های با دسترسی بالا را مسدود می‌کنند.

کنترل‌های پیکربندی پایگاه داده

یکی از یافته‌های رایج‌ ممیزی، تغییرات غیرمجاز در مجوزهای پایگاه داده، نظیر واگذاری‌های نقش DBA، حساب‌های جدید و Objectهای پایگاه داده می باشد. پیشگیری از تغییرات غیرمجاز در محیط‌های عملیاتی نه تنها ازنظر امنیت مهم می باشد بلکه برای پذیرش نیز دارای اهمیت است؛ چرا که این تغییرات می‌توانند به تضعیف امنیت و گشودن درها به روی هکرها و همچنین نقض مقررات حریم خصوصی و پذیرش نیز منجر شود. کنترل‌های دستور SQL در Oracle Database Vault به مشتریان اجازه می‌دهد عملیات‌های داخل پایگاه داده از جمله دستورات Create Table، Truncate Table و Create User را کنترل کنند. چند عامل کارآمد نظیر IP، روش احراز هویت و همچنین نام برنامه به پیاده‌سازی صدور مجوز چندعاملی کمک می نمایند تا از حملات با استفاده از رمزهای عبور به سرقت‌رفته، جلوگیری کنند. این کنترل‌ها از تغییرات تصادفی پیکربندی و همچنین دخالت هکرها و کارمندان داخلیِ دردسرساز در برنامه‌ها پیشگیری می‌نمایند.

Oracle Database Vault با Oracle Database 12c، کنترل‌های جدید Mandatory Realm (قلمرو اجباری) را عرضه نموده، که به مشتریان اجازه می‌دهد دسترسی به Objectهای برنامه را برای آن‌ دسته‌ای که امتیاز مستقیم Object را دارند، نظیر مالکِ Object نیز ممنوع کنند. این کار زمانی مفید است که Support به‌عنوان صاحب برنامه، مستقیماً به Schemaی برنامه دسترسی داشته باشد. قلمروهای اجباری را می‌توان در زمان اجرا، فعال نمود و در واکنش‌ به تهدیدات سایبری به کار گرفت؛ که تا زمان پایان آنالیزِتهدید  از هرگونه دسترسی جلوگیری نماید.

کنترل‌های محیط‌های ترکیبی (Consolidation) و Cloud

با توجه به اینکه محیط‌های ترکیبی و Cloud هزینه‌ها را کاهش می‌دهند، اما در برخی موارد مقادیر زیادی از داده‌های حساس برنامه را در معرض کسانی قرار می دهند که نیاز مبرمی به دانستن اطلاعات ندارند. داده‌های یک کشور ممکن است در یک کشور دیگر میزبانی شوند اما دسترسی به آن باید براساس قوانین کشوری که صاحب داده‌ها می باشد، محدود شود. کنترل‌های Oracle Database Vault با جلوگیری از دسترسی مدیران پایگاه داده (DBA) به داده‌های برنامه، برای این محیط‌ها امنیت بیشتری به ارمغان می‌آورند. ضمناً، کنترل‌ها را می‌توان برای کمک به مسدود نمودن مسیر فرعی برنامه و اعمال مسیر مورداعتماد از ردیف برنامه تا داده‌های برنامه مورد استفاده قرار داد.

Oracle Database Vault سه کنترل متمایز تفکیک وظایف کاربردی برای مدیریت امنیت، مدیریت حساب و فعالیت‌های روزمره‌ی مدیریت پایگاه داده ارائه می‌نماید. توجه داشته باشید که کنترل‌های تفکیک وظایف Oracle Database Vault را می‌توان سفارشی‌سازی کرد. سازمان‌هایی که منابع محدودی دارند می‌توانند چند مسئولیت Oracle Database Vault را به یک مدیر محول نمایند.

علاوه بر موارد فوق، Oracle Database Vault را می‌توان همراه با Oracle Multitenant استفاده نمود تا در محیط های ترکیبی، امنیت بیشتری فراهم گردد. این کار باعث پیشگیری از دسترسی کاربر داخل یک پایگاه داده‌ی (Pluggable DataBase (PDB و همچنین بین PDB و کاربر مشترک با دسترسی بالا در پایگاه داده‌ی Container شود.

تحلیل دسترسی بلادرنگ (Run-time Privilege Analysis) برای کاربران و برنامه‌ها

Oracle Database Vault با Oracle Database 12c قابلیت جدیدی به نام Privilege Analysis عرضه کرده که با تشخیص امتیازها و نقش‌های واقعی مورد استفاده در Run-time، به افزایش امنیت برنامه‌ها کمک می‌نماید. سپس می‌توان امتیازها و نقش‌های اضافی بلااستفاده را به‌دست مدیران امنیتی، ممیزی یا لغو نمود تا سطح حمله را کاهش داده و مدل حداقل دسترسی را پیاده‌سازی کرد. تحلیل دسترسی را می‌توان روی خود مدیران نیز، جهت محدود کردن نقش‌ها و امتیازات محوله جهت انجام مسئولیت‌هایشان، استفاده نمود.

سیاست‌های حفاظت از برنامه‌های سازمانی

سیاست‌های حفاظت از برنامه‌ی Oracle Database Vault برای برنامه‌های سازمانی اصلی شامل موارد زیر می باشد: Oracle Fusion Applications، Oracle E-Business Suite، Oracle PeopleSoft، Oracle Financial Services (i-Flex)، Oracle Primavera، SAP و Finacle محصول Infosys.

مدیریت‌پذیری

Oracle Database Vault با Oracle Database 12c به‌صورت پیش‌فرض نصب شده و به راحتی فعال می‌شود. مدیریت Oracle Database Vault کاملاً با Oracle Enterprise Manager Cloud Control یکپارچه‌سازی شده و به مدیران امنیت، یک واسط کاربری ساده و متمرکز جهت مدیریت Oracle Database Vault اعطا می نماید.

قابلیت‌ها و مزایای اصلی Oracle Database Vault

• کنترل‌های بازدارنده جهت مسدود کردن کاربران و مدیران دیتابیس ها با دسترسی بالا و همچنین پیشگیری از دسترسی آنها به داده‌های حساس پایگاه داده
• اعمال کنترل‌های عملیاتی داخل پایگاه داده، قفل کردن پیکربندی و پیشگیری از یافته‌های ممیزی
• ممنوع کردن دسترسی به Objectهای حساس برنامه در طول دوره‌های تعمیر و نگهداری و در واکنش به تهدیدهای سایبری
• افزایش کنترل‌های امنیتی برای محیط‌های Consolidation و Cloud، برون‌سپاری و کمک به رعایت مقررات کشورها
• شناسایی امتیازها و نقش‌ها مورد استفاده و بلااستفاده با Privilege Analysis
• سیاست‌های حفاظت از برنامه برای برنامه‌های سازمانی از جمله Fusion Applications، EBusiness Suite، PeopleSoft و SAP