Siteminder dispose d’un keystore permettant de stocker des clés privées et des certificats et pouvoir les utiliser par la suite dans votre Policy Server.

L’exemple le plus fréquent d’utilisation est lors de la génération de jeton SAML ou encore se connecter à LDAP sécurisé en SSL. Petite note : dans le dernier cas, il suffit juste d’importer le certificat sans la clé privée.

La technique

Nous avons des policy servers sous Linux, mais les mêmes utilitaires sont disponibles sous Windows via la command line.

export SM_HOME=/opt/siteminder

. $SM_HOME/ca_ps_env.ksh

$SM_HOME/bin/smkeytool.sh -addPrivKey -alias nomQueVousVoulez -keyfile privateKey.key -certfile certificate.cer -password myPrivateKeyPassword

Ensuite, vous pouvez vérifier que tout a été bien importé dans le keystore :

$SM_HOME/smkeytool.sh -listCerts

• Arcot Webfort est devenu CA AuthMinder
• Arcot Risk est devenu CA RiskMinder
• Identity Manager est devenu IdentityMinder
• Federation Manager devient Siteminder Federation

Les noms de la gamme ont alors été uniformisés vers leur produit phare Siteminder pour créer un tout plus cohérent.

La liste complète est disponible sur leur site officiel : http://www.ca.com/~/media/Files/ProductInventory/ca-minder-naming-statement-v6.pdf

A l’heure des présidentielles françaises, chercher des sujets qui mettent d’accord tout le monde est particulièrement en vogue. Un avis sur lequel tout le monde est d’accord est que SAP est une vrai cauchemar à prendre en main et à manipuler.

Toute astuce est donc bonne à prendre pour s’en sortir. Voici donc ma petite astuce pour appeler une fonction BAPI en utilisant le connecteur SAP fourni avec Oracle Identity Manager.

Pré-requis

Tout d’abord, vous devez télécharger le connecteur SAP de Oracle Identity Manager, puis vous devez télécharger aussi sur le site de SAP, les librairies natives et Java pour se connecter en RFC à SAP. Le nom est : SAPJco3.jar et SAPJco3.dll (pour Windows), libsapjco3.so (Pour Linux / Unix).

Voici le lien pour les télécharger : http://service.sap.com/connectors . Vous devez avoir un accès au support SAP pour les télécharger.

Ensuite, vous devez créer un projet Java dans Eclipse, mettre ces librairies natives et Java dans le classPath mais vous devez aussi intégrer dans votre classpath, les librairies de Oracle Identity Manager.

Le code

Voici 3 classes à mettre dans votre projet :

SAP Connection Java

Voici comment on n’a plus qu’à appeler les fonctions :

SAPConnection sap = new SAPConnection();

Bien sûr; vous pouvez manipuler les 3 classes dans le ZIP à votre guise pour ajouter les paramètres de connexion en paramètres ou dans un fichier properties, pareil pour le nom de la fonction etc…

Dernièrement, dans un projet d’entreprise, j’ai dû compiler un projet en version 1.5 de Java car le serveur sur lequel il était hébergé tournait sur une JVM 1.5 .

Première fois que j’ai eu à compilé en Java 1.5 (oui oui ça peut paraître désillusoire pour vous les seniors !) et j’ai fait face à quelques petits problèmes avec Eclipse.

Installer une JVM 1.5 sur votre poste de travail

Première étape, on installe la JVM 1.5 sur son poste ! Rien de spécial ici, vous téléchargez le binaire sur le site d’Oracle : http://www.oracle.com/technetwork/java/javasebusiness/downloads/java-archive-downloads-javase5-419410.html

Une fois que vous l’avez, vous l’installer en prenant soin de ne pas désinstaller votre version plus récente et hop le tour est joué.

Configurer Eclipse pour prendre en compte votre nouvelle JVM

Allez dans les préférences – Java – Installed JREs , Cliquez sur Ajouter et sélectionner le répertoire de votre JDK 1.5.

Vérifiez que votre JVM apparaît bien dans le menu des préférences.

Compiler votre projet en Java 1.5

Quand vous créez votre projet, dans le menu « Use a project specific JRE » , select the 1.5 JVM comme le screenshot ci-dessous.

Si vous avez déjà créer votre projet avec une autre version, vous pouvez aussi la changer.  Cliquez-droit sur votre projet -> Properties .

Allez dans Java Build Path et sélectionnez JVM 1.5 comme ci-dessous.

Allez dans Java Compiler et sélectionnez la version 1.5 comme ci-dessous.

Cliquez sur OK et compiler votre projet, il sera compatible avec la version Java 1.5

Il existe deux façons d’installer votre connecteur dans votre Waveset : Soit vous mettez dans le jar dans le dossier WEB-INF/bundles de votre Waveset ou vous pouvez installer un Connector Server !

Un Connector Server est la partie de Waveset gérant les connecteurs que vous externalisez du war Waveset. Cela permet notamment d’avoir des connecteurs éparpillés sur plusieurs serveurs pour l’équilibre de charge, ou encore en cas de plantage du Connector Server, cela n’affecte pas le reste de Waveset.

La structure du connector server

D’abord, créez un dossier où vous allez mettre votre Connector Server. Par exemple, on le mettra dans /var/waveset/ConnectorServer

mkdir -p /var/waveset/ConnectorServer

Le connector server est composé de quelques dossiers et de quelques librairies de cette façon :

• /var/waveset/ConnectorServer/WEB-INF/lib/
• /var/waveset/ConnectorServer/bundles

Ensuite, vous devez y placer quelques fichiers dans ces dossiers :

• Mettez votre connecteur dans /bundles
• Mettez connector-framework.jar , connector-framework-internal.jar et groovy-all.jar dans /WEB-INF/lib
• Extractez connectorserver.properties de connector-framework-internal.jar à la racine du dossier précédemment créé. Vous pouvez le trouver dans org/identityconnectors/framework/server/connectorserver.properties

Vous pouvez trouver les Jars dans le war Waveset à l’intérieur du répertoire WEB-INF/lib

Configurer votre connector server

Tout d’abord, vous pouvez tester si votre Connector Server fonctionne correctement :

$ java -cp "connector-framework.jar:connector-framework-internal.jar:groovy-all.jar" org.identityconnectors.framework.server.Main

Usage:
Main -run -properties
Main -setKey -key -properties
Main -setDefaults -properties

Si vous voyez bien Usage : … c’est que tout fonctionne correctement. Avant de démarrer votre Connector Server, vous devez configurer un mot de passe pour y accéder :

$ java -cp "connector-framework.jar:connector-framework-internal.jar:groovy-all.jar" org.identityconnectors.framework.server.Main -setKey -key -properties

Maintenant, vous pouvez le démarrer et le connecter à votre instance Waveset :

$ java -cp "connector-framework.jar:connector-framework-internal.jar:groovy-all.jar" org.identityconnectors.framework.server.Main -run -properties connectorserver.properties

L’intégrer dans Waveset

Connectez-vous à l’interface d’administration de Waveset : http://yourserver:8080/idm et connectez-vous avec l’utilisateur configurator .

Allez dans l’onglet Configure puis dans Connector Servers et cliquez sur New.

Remplissez le formulaire en spécifiant le nom que vous désirez donner, l’adresse du serveur, le port et le mot de passe précédemment défini. Cliquez sur Save.

Pour créer une ressource utilisant un connecteur de ce Connector Server, allez dans New Resource et au lieu de choisir LOCAL , choisissez le nom du Connector Server précédemment créé.

Par défaut, Oracle Waveset contient plusieurs connecteurs pour faire du provisionning dans les environnements les plus populaires : SAP, Table de base de données, AS 400 etc… Mais lorsque vous avez affaire à une application maison qui ne peut pas être provisionnée via ces connecteurs par défaut, vous pouvez créer votre propre connecteur avec des traitements personnalisés !

Les jar à avoir

Tout d’abord, pour créer votre connecteur, vous pouvez ouvrir Eclipse et créer un projet Java normal. Créer un dossier lib et insérez-y deux jar : connector-framework-internal.jar et connector-framework.jar . Ajouter ces jar au ClassPath de votre projet.

Ces deux Jars, vous pourrez les trouver dans le .war d’installation de votre Waveset. Il est préférable de prendre ce dans votre .War et pas sur Internet pour éviter des problèmes de compatibilité

La structure de votre connecteur

Voici la structure basique d’un connecteur pour commencer :

1. org.identityconnectors.name.NameConfiguration.java
2. org.identityconnectors.name.NameConnector.java
3. org.identityconnectors.name.NameFilterTranslator.java
4. org.identityconnectors.name.Message.properties

Bien sûr, il convient de remplacer name dans les noms ci-dessous par le nom de la technologie pour laquelle vous faites le connecteur !

Voici l’utilité de chaque composante de cette structure :

1. Contient les paramètres de votre connecteur pour qu’il se connecte à la source de données : hostname, username, password etc…
2. C’est le point d’entrée de notre connecteur. La première classe que va lire Waveset avec les opérations qu’il est capable de faire, son nom, etc…
3. Un filtre lors des recherches des utilisateurs dans Waveset.
4. Un fichier de langue qui contiendra tous les mots clés et leur équivalent dans la langue que vous le souhaitez. De cette façon, votre connecteur pourra être multi-lingue très facilement.

Les interfaces qui font le travail !

Les opérations que pourra faire votre connecteur en provisioning est défini par les interfaces qui seront implémentées dans la classe NameConnector. Exemple :

public class NameConnector
implements Connector, SearchOp<String>, SchemaOp, TestOp

Ici, notre connecteur est capable d’aller chercher des utilisateurs, de faire un test de connection pour voir si les paramètres entrés par l’utilisateur sont bons et de passer automatiquement les attributs à Waveset.

Voici la liste des interfaces qui peuvent être implémentés et leurs significations :

• SearchOp<Type> : Permet de fetcher des utilisateurs et les enregistrer dans Waveset
• CreateOp : Permet de créer des utilisateurs dans la ressource
• UpdateOp : Permet de modifier des utilisateurs dans la ressource
• DeleteOp : Permet de supprimer des utilisateurs dans la ressource
• TestOp : Permet de tester si les paramètres rentrés par l’admin sont bons
• SchemaOp : Permet de passer automatiquement les attributs à Waveset

La classe de configuration pour pousser les attributs

La classe NameConfiguration est destinée à contenir les paramètres de votre connecteur pour se connecter au référentiel de votre ressource.

Il s’agit tout simplement d’une classe avec des champs et des getter / setters . Cependant, sur les getters, il va vous falloir rajouter une annotation pour dire à Waveset en quelle position vous mettez l’attribut, comment il va s’appeler et un texte d’aide pour savoir à quoi sert ce paramètre.

Exemple :

@ConfigurationProperty(order = 1, displayMessageKey = "HOST_PROPERTY_DISPLAY", helpMessageKey = "HOST_PROPERTY_HELP")

Et c’est là que le fichier de langue rentre en compte ! Ce que vous mettez entre guillemets ne doit pas être le vrai texte mais ce doit être le nom de la propriété qui y réfère dans Message.properties .

Voici le Message.properties y référant :

HOST_PROPERTY_DISPLAY=Host

HOST_PROPERTY_HELP=IP Address or hostname of the server which hosts the web service. Please verify that the host is reachable.

Ajouter un nom à votre connecteur

Pour mettre un nom à votre connecteur, ça se passe dans la classe Connector. Vous devez rajouter une annotation devant la déclaration de la classe comme ceci :

@ConnectorClass(displayNameKey="NameConnector",configurationClass=NameConfiguration.class)

Ce NameConnector n’est pas le nom direct à indiquer. De la même façon qu’avec la classe Configuration, c’est une propriété du fichier Message.properties .

P.S : Ca ne vous a pas manqué j’espère que dans cette annotation, on y indique aussi le nom de classe de Configuration

Je le mets où mon connecteur une fois que je l’ai codé ?

Une fois que vous codé et compilé votre connecteur, vous pouvez placer le .JAR dans le répertoire WEB-INF/bundles de votre Waveset et redémarrer le serveur applicatif Java.

Conclusion

Et voilà ! Avec ce petit guide rapide, vous êtes armés pour coder votre premier connecteur ! Si vous avez des questions, n’hésitez pas à la poster dans les commentaires !

Voilà un petit article qui sort un peu de ma traditionnelle ligne Oracle Database ! Dernièrement, j’avais un projet à temps partiels à clôturer donc juste pas assez de temps pour commencer à un autre projet mais trop de temps à rien faire donc j’ai décidé de me lancer dans un petit projet ! Et ça tombait bien parce qu’il cherchait un développeur Java urgemment chez un de nos clients pour coder un connecteur Waveset pour faire du provisionning sur Cisco Unified Connection Manager (CUCM).

Je vais passer sur ce qu’est l’IAM (GIA pour les francophones) et sur la façon dont on code un connecteur pour expliquer seulement comment installer Waveset sur Tomcat 6.

Le serveur applicatif J2EE

Avant d’installer Waveset, il faudra vous installer un serveur applicatif J2EE. Pour ma part, j’ai choisi le plus simple : Tomcat en version 6.

Installation de Waveset

Tout d’abord, il faudra aller récupérer Waveset sur le site de Oracle (Oracle.com) . Lorsque vous avez téléchargé la version 8.1.1 , il faudra la dézipper. Vous y trouverez plusieurs mais celui qui va nous intéresser est .jar .

Décompressez le grâce à l’utilitaire 7-Zip par exemple  et vous y trouverez un fichier nommé idm.war .

Pour installer Waveset, il vous suffira de copier idm.war dans le répertoire webapps de votre Tomcat fraîchement installé.

Configuration de Waveset

Configuration de la variable WSHOME

Tout d’abord, il va falloir créer une variable système nommée WSHOME .Pour ceci, allez dans le Panneau de Configuration - Système et dans Paramètres Système Avancés

Cliquez sur Variables d’environnement

Cliquez sur Nouvelle

Spécifiez dans le nom WSHOME puis le chemin vers votre répertoire idm créé dans l’étape précédente. Attention : ce n’est pas forcément celui que j’ai spécifié sur l’image.

Configuration de la webapp IDM

Une fois ceci fait, ouvrez une ligne de commande Windows et exécutez ces commandes.

cd %WSHOME%\bin

lh setRepo –tLocalFiles –f%WSHOME%

lh import -f %WSHOME%\sample\init.xml

Redémarrez Tomcat. L’installation de Waveset est terminée !

Attention : 

• Si vous avez une erreur avec les paramètres, il se peut que les « - » soit mal passés lors du copié-collé. Refaites les à la main et rééxécutez
• Pour la dernière commande, il se peut que la variable soit mal pris en compte et entraîne une erreur. À ce moment là, mettez le chemin complet au lieu de la variable en prenant soin de mettre des guillemets si le chemin contient un espace.

Accéder à Waveset

Une fois Tomcat démarré, il vous suffit d’ouvrir un navigateur web et d’accéder à l’url http://hostnamedevotreserveur:8080/idm pour accéder à Waveset. L’utilisateur par défaut est configurator avec le mot de passe configurator

Et voilà votre Waveset configuré et prêt !

Encore une fois, je vais commencer par une question pour vous les DBAs qui consultent cet article.

Est-ce que vos bases de développement et de pré-production ont des données représentatives de la production ? En terme de volumétrie et de format ? A part si vous êtes une entreprise modèle, la réponse est souvent non.

Deuxième question, est-ce que vous avez, dans vos bases de développement et de pré-production, des données à ne pas mettre dans toutes les mains ? Adresses, vrais noms, hash de mot de passe de vrais utilisateurs etc… ? Oui ? C’est parfaitement banal malheureusement… Y a t’il une alternative à ça ? Hé oui messieurs et mesdames : le data masking !

En quoi consiste le Data Masking ?

Le data masking est le terme général pour décrire l’altération de données pour les anonymiser tout en gardant une cohérence dans ces dernières :

1. Respect du format original
2. Respect des valeurs liés : clés étrangères par exemple
3. Respect des valeurs corrélées : Ville, code postale, Pays etc…

Cela permet donc d’avoir des données non-critiques dans votre environnement de développement ou de pré-production mais en ayant quand même une volumétrie et un formatage représentatifs de votre production pour faire des tests de performance. Fini, les lancements en production catastrophiques où votre nouvelle application consomme énormément de ressources et ralentie tous vos serveurs !

Comment ça marche ?

Tout d’abord, vous devez identifier de votre côté les colonnes de données sensibles à masquer. Une fois ceci fait, vous devez définir les formats de ces colonnes à respecter.  Plusieurs formats sont déjà préenregistrés par Oracle :

• Numéro de carte crédit MasterCard, Visa, American Express
• Numéro d’assurance sociale
• Etc…

Vous pouvez bien sûr enregistrer vos propres formats de données et les réutilisez dans vos définitions de masquages.

Une fois ceci fait, il ne manque plus qu’à créer votre définition de masquage. Lorsque vous avez fait votre définition de masquage, Oracle Data Masking vous générera un script SQL que vous pourrez intégrer à vos traitements d’export / import de données.

Voici un petit exemple qui vous montre comment faire ses premiers pas sur Oracle Data Masking : http://apex.oracle.com/pls/apex/f?p=44785:24:3724765812560989::NO:24:P24_CONTENT_ID,P24_PREV_PAGE:4627,29

Comment se présente le logiciel ?

Le logiciel est un module d’Entreprise Manager. Installé par défaut dans Oracle Database 11G, il faudra par contre installer un patch 10.2.0.5 pour l’avoir en 10G.

Data Masking est accessible dans l’onglet Schema de Database Control avec deux liens :

• Definitions : vos traitements de masking
• Format Library : Les formats pré-enregistrés de données à générées (Carte bancaire, NAS etc…)

L’interface est très simple et très intuitive. Vous pouvez naviguer tranquillement dedans sans de tutoriaux spéciaux.

Quelques questions qui vous trottent dans la tête.

Est-ce gratuit ?

Non,  sûrement pas. Même si il est installé par défaut, ce logiciel fait parti du Oracle Data Masking Pack et est bien sûr payant.

Y a t’il des nouveautés en version 12C ?

Enterprise Manager 12C a été dévoilé lors de l’Oracle OpenWorld avec son lot de nouveautés dont certaines concernant Oracle Database Security. Pour Oracle Data Masking, Oracle 12C se dote d’un « Découvreur de données sensibles ». Ce dernier permet via des pattern enregistrés de détecter automatiquement les colonnes sensibles à masquer : Carte de crédit, adresses, numéro d’employés etc…

Data masking est-il compatible avec d’autres bases de données ?

Oracle annonce que le Data Masking Pack est compatible avec SQL Server et IBM DB2 avec un bémol !  Il faudra passer par Oracle Database Gateways pour assurer cette compatibilité.

Si vous avez d’autres questions, n’hésitez pas à les poser dans les commentaires. Je les ajouterai à mon article.

Si vous êtes un DBA, je suis prêt à parier que vous avez
activé les audits sur vos bases de données pour des raisons de sécurité ! Vrai
? Ok. Mais je suis aussi près à parier que vous ne les regardez jamais et
qu’ils ne vous servent presque à rien ! Ne vous en faites pas, vous êtes très
loin d’être le seul.

Ou alors peut-être que vous les faites converger via un
programme que vous avez codé vous-même ? Combien de temps avez-vous mis à le
coder ? La convergence est-elle instantanée pour éviter aux DBAs d’intercepter
l’audit ? Est-ce que votre programme est vraiment flexible et ne vous fait pas
perdre un temps monstrueux ? Que se passera-t-il lorsque vous allez déployer
une autre base de données qu’Oracle dans votre parc ?

Pour pallier et répondre de façon adéquat à ces contraintes, Oracle a décidé de créer un
logiciel permettant de récolter les audits de vos bases de données et de les
consolider en un seul endroit où vous pouvez aisément les consulter et les
exploiter.

Comment ça marche ?

Oracle Audit Vault est un produit complet à installer sur un
serveur vierge. Il faut le télécharger sur le site d’Oracle (http://www.oracle.com/technetwork/database/audit-vault/downloads/index.html
) et l’installer via le traditionnel Oracle Universal Installer. Oracle Audit
Vault installe une base de données Oracle avec les composants Oracle Label Security et Oracle Database Vault et ensuite le
logiciel Oracle Audit Vault Server. Pour l’instant, il n’est disponible que sur certaines plateformes : Linux, Solaris SPARC, HP-UX Itanium et AIX5L . D’après une personne de chez Oracle, à l’heure où j’écris cet article, aucune version Windows n’est prévue.

En complément, il faut installer des agents sur chacune de
vos bases de données pour qu’il récolte les audits et les envois à votre
serveur Audit Vault. Les agents sont quant à eux disponibles sur une bonne partie des plate-formes.

Dès qu’un audit sera généré sur une de vos bases, les agents
le récupèreront instantanément et l’enverront vers votre référentiel Audit
Vault Server pour le sauvegarder définitivement et l’exploiter.

Il faut savoir qu’Oracle Audit Vault ne fonctionne pas
seulement pour les bases de données Oracle, mais aussi pour Sybase, SQL Server
et DB2.

Ce qui conviendra parfaitement aux entreprises disposant de
plusieurs bases de données différentes dans leur parc.

Comment se présente le logiciel ?

Oracle Audit Vault vient avec la classique interface web Enterprise Manager qui permet
d’administrer votre référentiel mais aussi de consulter vos audits et d’en
générer des rapports en quelques clics.

Le reporting et alertes

Oracle Audit Vault Server ne vous permet pas seulement de
faire converger vos audits pour leur sécurité mais permet aussi de faire du
reporting pour votre équipe sécurité ou votre direction. La console
d’administration web dispose de plusieurs fonctions de statistiques basiques
sur vos audits.

De plus, Oracle Audit Vault permet notamment de générer à
intervalle de temps régulier des rapports en PDF des audits et de l’envoyer par
email.

Audit Vault peut aussi vous alerter dès qu’une action que
vous lui avez spécifiée a été auditée. Par exemple, vous pouvez décider
d’alerter l’équipe sécurité lorsqu’un DBA fait un SELECT des salaires des employés
et aller le voir à son bureau pour lui demander l’utilité de sa requête.

Quelques petites questions qui vous trottent dans la tête

Les audits me servent à quoi ?

Les audits sont des informations générées à chaque accès à
une zone que vous spécifiée. Par exemple, vous pouvez choisir de générer une
trace lorsqu’un DBA supprime une table.

Ils vont donc vous servir pour garder une trace des accès à
vos données sensibles ou garder un œil sur les actions de vos DBAs. De plus,
cela peut vous servir comme preuve pour diverses procédures judiciaires que vous pourriez
lancer ou être lancées contre vous…

Voici des exemples de ce qui peut être communément audité
dans les entreprises :

• Tentatives de connexions échouées
• Actions des DBAs
• Accès aux données sensibles
• Altération de données sensibles
• Changement d’objets dans les schémas
• Etc…

Est-ce que les audits ont un impact sur mes performances ?

Les audits ont généralement un impact négligeable sur les
performances de la base de données. Cependant, il existe plusieurs types
d’audits dont certain qui consomment beaucoup plus que d’autres.

Voici un tableau donné lors d’une présentation d’Oracle
Audit Vault à l’Oracle Open World. On peut voir que pour la majorité des
audits, cela a un impact négligeable sur la base de données.

Que faut-il installer pour que ça fonctionne ?

Pour que tout fonctionne, il vous faut installer un
référentiel sur un serveur vierge : Oracle Audit Vault Server.

Ensuite, il vous faut installer des Audit Vault Collection
Agent sur chaque base de données dont vous voulez récupérer les audits.

Vous trouverez tous les produits en libre téléchargement sur
Oracle.com : http://www.oracle.com/technetwork/database/audit-vault/downloads/index.html

Combien de temps ça met à converger ? Un DBA peut-il l’intercepter et
supprimer l’audit ?

C’est complètement instantané. Lorsqu’un audit est généré
sur votre base de données, il converge dans les 1-2 secondes sur votre serveur
Audit Vault.

En principe, le DBA ne peut donc pas détourner l’audit.

Quid du flashback ? Est-ce que ça supprime les anciens audits ?

Lorsqu’un de vos DBAs supprime une table, vous avez émis un
audit pour cela, et lui fait une petite requête flashback pour récupérer cette
table, vous garderez quand même un audit dans votre serveur Audit Vault. Même
après le Flashback, l’information ne sera pas perdue.

Qui s’en occupe de ce produit ?

Pour l’installation, il est souhaité que ce soit un DBA
Sénior de confiance qui s’en occupe. Ensuite, ce dernier peut créer des comptes
limités à des personnes de l’équipe sécurité par exemple pour générer des
rapports ou vérifier qu’il n’y a pas eu d’activités suspectes.

Il est important que les credentials des utilisateurs disposant des rôles AV_AUDITOR et AV_ADMIN ne tombent pas dans les mains de vos DBAs sinon votre stratégie d’audit perd un peu de son sens.

En principe, une fois installé, Oracle Audit Vault Server ne
nécessite pas de tâches d’administration.

Y a-t-il une parade connue pour éviter les audits ?

En effet, un article de blog a fait le tour du web
dernièrement, car un expert sécurité nommé Alexander Kornbrust a trouvé une
faille en évitant de générer des audits via OraDebug.

Voici l’article en question : http://blog.red-database-security.com/2011/09/17/disable-auditing-and-running-os-commands-using-oradebug/

Cette faille sera sûrement corrigée dans les prochains CPU
d’Oracle Database.

Qu’est-ce que les lois m’obligent à auditer ?

Une image vaut mieux qu’un long discours, voici un tableau plutôt bien fait disponible dans la conférence « Audit Vault – Reduce time to Compliance » de l’Oracle Open World 2011.

En tant que gestionnaire ou architecture sécurité, vous vous êtes déjà demandé pourquoi vos DBAs ont accès à toutes les données confidentielles de vos bases de données ?

Ou alors, en tant que DBA Sénior responsable des DBAs de votre entreprise, vous vous êtes toujours demandé comment dealer avec les DBAs consultants ou externes qui doivent avoir accès à votre production ? Ou même les DBAs juniors qui font leur premier pas sur votre environnement de production ?

Et oui, tout ceci peut vite être un casse-tête et devenir une source de downtime / pertes de données !

Pour répondre à ce besoin, Oracle a mis sur pied un produit appelé Oracle Database Vault. Ce produit va permettre de cloisonner vos DBAs en ajoutant une nouvelle couche de sécurité à votre base de données.

Ce produit est bien connu des DBAs et en général très mal accueilli dans votre entreprise. Les DBAs vous répondront qu’ils n’ont pas envie de travailler dans une entreprise qui ne leur fait pas confiance mais à vrai dire c’est un produit qui ne sert pas uniquement à « enfantiser » vos DBAs. Ça peut aussi leur sauver un bon paquet d’heures de « restauration secours ».  Prenez le temps de lire l’article et vous y verrez les bénéfices.

Comment ça marche ?

Lors de l’installation d’Oracle Database Vault , l’assistant va recompiler certains binaires de votre bases de données pour ajouter une nouvelle couche de sécurité.

Traditionnellement, vos DBA ayant besoin de faire un minimum d’actions avaient vite besoin des privilègles dba . Ces privilèges donnent accès à l’ensemble de la base de données y compris aux données confidentielles non nécessaires à leur travail.

Avec Oracle Database Vault, vous désignez une personne comme le Database Vault Owner . Ce dernier a tous les pouvoirs et ensuite vous pouvez donner des droits au compte-goutte à vos DBAs grâce à Oracle Database Vault. Et ce même s’ils disposent des droits DBA, vous pouvez les cloisonner et leur interdire certaines actions.

Quelques exemples d’implémentations

Eviter les mauvaises surprises sur la production

Si vous êtes DBA, je mets un 5$ qu’on vous a déjà appelé pour vous demander de supprimer un objet en développement et que vous l’avez fait en production sans faire attention. Je me trompe ?

Oracle Database Vault peut vous protéger contre ça en interdisant à vos DBAs de faire des DROP, TRUNCATE etc… sur votre environnement de production.

Restreindre vos DBAs Juniors ou externes

Un jour « junior » prend son envol et doit avoir accès à la production pour faire quelques actions. Au début, vous pouvez lui créer un utilisateur bien restreints mais très vite, il aura besoin des droits DBAs avec toutes les downtimes que ça peut engendrer derrière.

Pour répondre à ce problème, Oracle Database Vault peut vous permettre de créer une bulle complète dans laquelle vous « enfermerez » vos DBAs juniors ou externes afin d’éviter les erreurs ou de contraindre un peu les gens curieux.

Par exemple, vous pouvez leur donner droit de consulter les vues V$ et DBA_ tout en lui interdisant l’accès à certains schémas sauf le SELECT sur une table dont il aurait besoin.

Protéger vos informations confidentielles

Vous avez des informations confidentielles dans vos bases de données ? NAS, salaires, numéros de carte bancaire etc… peuvent très bien être cachés à vos DBAs tout en gardant les pouvoirs de modifications des colonnes.

Grâce à Oracle Database Vault, les DBAs ne seront pas capable de voir le contenu des tables mais peuvent très bien faire un ALTER TABLE ou rajouter un index sur votre table par exemple.

Ceci permet de ne pas gêner vos DBAs dans leurs actions, tout en gardant une certaine précaution sur les vols de données.

Quelques questions qui vous trottent dans la tête

Comment ça s’installe ?

Sur 11G, Oracle Database Vault est une composante à sélectionner lors de l’installation avec l’Oracle Universal Installer. Lors de l’installation avancée, il suffit d’ajouter les composants Oracle Label Security et Oracle Database Vault

Une fois installé, il faudra exécuter DBCA (Database Configuration Assistant) pour activer Oracle Database Vault.

Sur 10G, il faudra installer le patch 10.2.0.5 que vous trouverez sur My Oracle Support pour installer Oracle Database Vault.

Et si j’ai déjà installé ma base de données ? Je dois tout réinstaller ?

Non, pas la peine. Vous ré-exécutez l’Oracle Universal Installer et vous pouvez sélectionner les options Database Vault et Label Security.

Est-ce long à installer ?

Non, c’est aussi rapide qu’une installation conventionnelle de base de données Oracle.

Faut-il prévoir un downtime pour l’installer en production ?

Un downtime sera à prévoir car il faudra arrêter la base de données le temps d’exécuter Oracle Universal Installer et DBCA.

Qui se charge de configurer la couche de sécurité ?

Vous devez désigner une personne responsable d’Oracle Database Vault. Cela peut-être un DBA d’expérience à qui vous faites confiance ou votre expert sécurité par exemple.

Cette personne sera en charge d’attribuer les droits à vos DBAs et de veiller à ce qu’ils n’aient pas accès aux informations sensibles etc…  Cette personne sera la seule à avoir tous les pouvoirs dans la base de données.

Ça doit être long à configurer pour tout le monde ?

Oracle Database Vault vient avec une interface web rattachée à Enterprise Manager. Cette interface web vous permettra de configurer très rapidement les règles.

Vous allez avoir une majorité de vos règles qui seront globales à l’ensemble de vos bases de données donc très rapide à configurer et ensuite le cas par cas qui viendra pour chaque DBA ne sera pas très long à configurer.

Vous pouvez comparer ça à des demandes de droit Active Directory lorsqu’un nouvel employée IT vient dans votre entreprise : Ce n’est vraiment pas long à implémenter et vous avez déjà des portails de gestion de demande à ce sujet implémenté !