Oracle Database Security : Présentation de la suite pour sécuriser vos base de données Oracle

Introduction

De nos jours, la sécurité est devenue un problème majeur de toutes les entreprises avec des attaques informatiques de plus en plus fréquentes et de plus en plus chères. En 2010, la totalité des attaques informatiques a été chiffrée à 6 milliards de dollar de pertes pour les entreprises concernées.

Des pertes sèches qui viennent aussi avec des pertes sur le long terme dues à une perte de réputation. On pense tous en premier à Sony et toutes ses mésaventures qui lui ont coûté des années de réputation avec son Playstation Network.

Les gouvernements voyant ces phénomènes se banaliser et les données confidentielles de leurs citoyens éparpillées en pleine nature, ils ont décidé d’élaborer certaines lois obligeant la protection en profondeur des bases de données : Sarbanes Oxley, HIPAA etc…

Oracle a répondu à cette demande croissante avec une suite de logiciels : Oracle Database Security. Elle comble la grande majorité des plans comme les menaces de l’extérieur, mais aussi, on y pense rarement, les menaces de l’intérieur, la non-répudiation ou encore le vol de matériel des développeurs avec les données d’exemples confidentielles dedans…

Présentation des produits

La suite Oracle Database Security est composée de 9 produits :

Voici une petite présentation de chaque produit. Je vais faire un article détaillé de la majorité des produits dans un futur proche.

Oracle Database Vault

Sûrement un des produits les plus installés et les plus populaires, Oracle Database Vault permet d’ajouter une couche de sécurité au dessus des droits traditionnels (GRANT et REVOKE).

Cela vous permettra notamment de contrôler vos DBAs pour ne pas qu’il puisse voir toutes les données sensibles de votre base de données (Carte bancaire, NAS etc…) ou encore à restreindre les pouvoirs d’un DBA junior ou intérimaire dans votre base de données.

Oracle Audit Vault

Je pari que vous avez l’audit d’activer sur vos bases de données ? Je pari aussi que personne les regarde ? Encore gagné !

Oracle Audit Vault est un produit qui permet de centraliser en temps réel tous les audits de toutes vos bases de données, de les consolider, et de les exploiter grâce à plusieurs interfaces graphiques et plusieurs fonctions d’alerte etc…

Oracle Database Firewall

Comment avez-vous prévu de lutter contre les injections SQL qui dévastent tant de sites ? En formant vos développeurs à la sécurité ? Mais encore… Oracle Database Firewall est là pour vous !

C’est un produit qui agis comme un IPS en analysant le traffic passant par vos bases de données et en bloquant le traffic non-désirable détecté : utilisateur un peu trop curieux, injections SQL etc…

Oracle Total Recall

Avez-vous une colonne où vous voulez archiver les changements de valeurs ? Oracle Total Recall permet de le faire de façon complètement transparente en s’appuyant sur la technologie Oracle Flashback.

Voici un petit article montrant sa mise en œuvre : http://www.guiregcapitaine.com/2011/07/16/archiver-les-modifications-de-vos-donnees-avec-oracle-total-recall/

Oracle Data Masking

Vous avez des données sensibles en production que vous ne voulez pas voir en développement ? Mais vous avez aussi envie d’avoir une volumétrie et des données représentatives de la production pour faire des tests de performances ? Vous allez donc être intéressé par Oracle Data Masking.

Ce produit permet de configurer des traitements qui vont altérer les données transférées dans votre environnement de développement en recréant toutefois le même format de données : suite de chiffres 16 aléatoires pour les cartes de crédit, suite 9 chiffres aléatoires pour les NAS etc… Cela vous permet donc de garder votre volumétrie en enlevant la confidentialité.

Voici un petit article montrant sa mise en œuvre :

http://www.guiregcapitaine.com/2011/06/15/masquer-vos-donnees-sensibles-avec-oracle-data-masking/

Oracle Label Security

Dans votre application, je suppose que toutes les personnes ne doivent pas voir l’ensemble des lignes d’une table. Imaginons par exemple une employée des ressources humaines d’une multinationale à Montréal. Vous ne souhaiteriez pas qu’elle regarde la fiche d’un employé de Paris ou encore la fiche d’un dirigeant non ?

Actuellement, vous faites comment pour éviter ça ? Vous mettez les filtres dans votre application grâce à une clause WHERE. Et si il y a une faille, l’utilisateur a accès à tout !

Pour éviter ça, Oracle a sorti un produit permettant de filtrer les résultats directement dans la base de données. Cela permet donc de faire un SELECT sans clause WHERE et de rendre visible à l’utilisateur juste les données qui correspondent à son niveau de confidentialité.

Oracle Label Security n’est pas limité au niveau de confidentialité, des compartiments et des groupes sont aussi de la partie permettant d’intégrer par exemple des hiérarchies ou encore des zones géographiques à vos données !

Oracle Configuration Management

Faites des audits de votre sécurité et des tests automatisés pour vérifier que vous êtes compliant avec Oracle Configuration Management. De plus, Oracle Configuration Management vous permet de vérifier le niveau de patchage de vos bases de données.

Oracle Advanced Security

Ce produit est un package de produit déjà beaucoup utilisé dans les entreprises qui ont déployés les bases de données Oracle. Au programme :

  • Authentification forte : Kerberos, RADIUS etc…
  • Chiffrement des données
  • Chiffrement des communications
  • Etc…

Rien de bien nouveau là dedans, juste une appellation marketing. Voici un exemple d’implémentation de chiffrement des données : http://www.guiregcapitaine.com/2011/05/30/chiffrer-vos-donnees-de-votre-base-de-donnees-oracle-avec-oracle-advanced-security-transparent-encryption/

Oracle Secure Backup

La sécurité, ce n’est pas forcément une affaire de confidentialité des données, c’est aussi une affaire de sauvegarde ! Faire en sorte d’être sûr qu’en cas de désastre, vous ne perdrez aucune donnée et que vous serez capable de tout restaurer.

Oracle nous as donc créé un logiciel pour faciliter la gestion de vos backups et le suivi de ces dernières : Oracle Secure Backup.

Security

2 responses to Oracle Database Security : Présentation de la suite pour sécuriser vos base de données Oracle


  1. C’est cher ! Comme tout chez Oracle, rien n’est gratuit. Regarde sur le shop Oracle pour te donner une idée : https://shop.oracle.com/

    Après y a aucune entreprise qui paye les mêmes prix, ils ont tous une ristourne sur les prix ;)

Leave a Reply

Your email address will not be published. Required fields are marked *

* Copy This Password *

* Type Or Paste Password Here *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>