Présentation de Oracle Database Vault

Introduction

En tant que gestionnaire ou architecture sécurité, vous vous êtes déjà demandé pourquoi vos DBAs ont accès à toutes les données confidentielles de vos bases de données ?

Ou alors, en tant que DBA Sénior responsable des DBAs de votre entreprise, vous vous êtes toujours demandé comment dealer avec les DBAs consultants ou externes qui doivent avoir accès à votre production ? Ou même les DBAs juniors qui font leur premier pas sur votre environnement de production ?

Et oui, tout ceci peut vite être un casse-tête et devenir une source de downtime / pertes de données !

Pour répondre à ce besoin, Oracle a mis sur pied un produit appelé Oracle Database Vault. Ce produit va permettre de cloisonner vos DBAs en ajoutant une nouvelle couche de sécurité à votre base de données.

Ce produit est bien connu des DBAs et en général très mal accueilli dans votre entreprise. Les DBAs vous répondront qu’ils n’ont pas envie de travailler dans une entreprise qui ne leur fait pas confiance mais à vrai dire c’est un produit qui ne sert pas uniquement à « enfantiser » vos DBAs. Ça peut aussi leur sauver un bon paquet d’heures de « restauration secours ».  Prenez le temps de lire l’article et vous y verrez les bénéfices.

Comment ça marche ?

Lors de l’installation d’Oracle Database Vault , l’assistant va recompiler certains binaires de votre bases de données pour ajouter une nouvelle couche de sécurité.

Traditionnellement, vos DBA ayant besoin de faire un minimum d’actions avaient vite besoin des privilègles dba . Ces privilèges donnent accès à l’ensemble de la base de données y compris aux données confidentielles non nécessaires à leur travail.

Avec Oracle Database Vault, vous désignez une personne comme le Database Vault Owner . Ce dernier a tous les pouvoirs et ensuite vous pouvez donner des droits au compte-goutte à vos DBAs grâce à Oracle Database Vault. Et ce même s’ils disposent des droits DBA, vous pouvez les cloisonner et leur interdire certaines actions.

Quelques exemples d’implémentations

Eviter les mauvaises surprises sur la production

Si vous êtes DBA, je mets un 5$ qu’on vous a déjà appelé pour vous demander de supprimer un objet en développement et que vous l’avez fait en production sans faire attention. Je me trompe ?

Oracle Database Vault peut vous protéger contre ça en interdisant à vos DBAs de faire des DROP, TRUNCATE etc… sur votre environnement de production.

Restreindre vos DBAs Juniors ou externes

Un jour « junior » prend son envol et doit avoir accès à la production pour faire quelques actions. Au début, vous pouvez lui créer un utilisateur bien restreints mais très vite, il aura besoin des droits DBAs avec toutes les downtimes que ça peut engendrer derrière.

Pour répondre à ce problème, Oracle Database Vault peut vous permettre de créer une bulle complète dans laquelle vous « enfermerez » vos DBAs juniors ou externes afin d’éviter les erreurs ou de contraindre un peu les gens curieux.

Par exemple, vous pouvez leur donner droit de consulter les vues V$ et DBA_ tout en lui interdisant l’accès à certains schémas sauf le SELECT sur une table dont il aurait besoin.

Protéger vos informations confidentielles

Vous avez des informations confidentielles dans vos bases de données ? NAS, salaires, numéros de carte bancaire etc… peuvent très bien être cachés à vos DBAs tout en gardant les pouvoirs de modifications des colonnes.

Grâce à Oracle Database Vault, les DBAs ne seront pas capable de voir le contenu des tables mais peuvent très bien faire un ALTER TABLE ou rajouter un index sur votre table par exemple.

Ceci permet de ne pas gêner vos DBAs dans leurs actions, tout en gardant une certaine précaution sur les vols de données.

Quelques questions qui vous trottent dans la tête

Comment ça s’installe ?

Sur 11G, Oracle Database Vault est une composante à sélectionner lors de l’installation avec l’Oracle Universal Installer. Lors de l’installation avancée, il suffit d’ajouter les composants Oracle Label Security et Oracle Database Vault

Une fois installé, il faudra exécuter DBCA (Database Configuration Assistant) pour activer Oracle Database Vault.

Sur 10G, il faudra installer le patch 10.2.0.5 que vous trouverez sur My Oracle Support pour installer Oracle Database Vault.

Et si j’ai déjà installé ma base de données ? Je dois tout réinstaller ?

Non, pas la peine. Vous ré-exécutez l’Oracle Universal Installer et vous pouvez sélectionner les options Database Vault et Label Security.

Est-ce long à installer ?

Non, c’est aussi rapide qu’une installation conventionnelle de base de données Oracle.

Faut-il prévoir un downtime pour l’installer en production ?

Un downtime sera à prévoir car il faudra arrêter la base de données le temps d’exécuter Oracle Universal Installer et DBCA.

Qui se charge de configurer la couche de sécurité ?

Vous devez désigner une personne responsable d’Oracle Database Vault. Cela peut-être un DBA d’expérience à qui vous faites confiance ou votre expert sécurité par exemple.

Cette personne sera en charge d’attribuer les droits à vos DBAs et de veiller à ce qu’ils n’aient pas accès aux informations sensibles etc…  Cette personne sera la seule à avoir tous les pouvoirs dans la base de données.

Ça doit être long à configurer pour tout le monde ?

Oracle Database Vault vient avec une interface web rattachée à Enterprise Manager. Cette interface web vous permettra de configurer très rapidement les règles.

Vous allez avoir une majorité de vos règles qui seront globales à l’ensemble de vos bases de données donc très rapide à configurer et ensuite le cas par cas qui viendra pour chaque DBA ne sera pas très long à configurer.

Vous pouvez comparer ça à des demandes de droit Active Directory lorsqu’un nouvel employée IT vient dans votre entreprise : Ce n’est vraiment pas long à implémenter et vous avez déjà des portails de gestion de demande à ce sujet implémenté !

 

Security

2 responses to Présentation de Oracle Database Vault


  1. GASCARD.T

    Bonjour,

    J’ai lu plusieurs articles sur l’inefficacité de Database Vault dont celui-ci :
    http://en.orafaq.com/aggregator/sources/180. Qu’en pensez-vous ?

  2. Bonjour Gascard !

    Il s’agit de Audit Vault dans ton article et oui j’avais déjà vu l’article pour Audit Vault. D’après les dires des conférenciers Audit Vault du Oracle OpenWorld, ce sera patché dans les prochaines versions.

    Bonne journée ;)

    Guireg

Leave a Reply

Your email address will not be published. Required fields are marked *

* Copy This Password *

* Type Or Paste Password Here *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>