Il existe deux façons d’installer votre connecteur dans votre Waveset : Soit vous mettez dans le jar dans le dossier WEB-INF/bundles de votre Waveset ou vous pouvez installer un Connector Server !

Un Connector Server est la partie de Waveset gérant les connecteurs que vous externalisez du war Waveset. Cela permet notamment d’avoir des connecteurs éparpillés sur plusieurs serveurs pour l’équilibre de charge, ou encore en cas de plantage du Connector Server, cela n’affecte pas le reste de Waveset.

La structure du connector server

D’abord, créez un dossier où vous allez mettre votre Connector Server. Par exemple, on le mettra dans /var/waveset/ConnectorServer

mkdir -p /var/waveset/ConnectorServer

Le connector server est composé de quelques dossiers et de quelques librairies de cette façon :

• /var/waveset/ConnectorServer/WEB-INF/lib/
• /var/waveset/ConnectorServer/bundles

Ensuite, vous devez y placer quelques fichiers dans ces dossiers :

• Mettez votre connecteur dans /bundles
• Mettez connector-framework.jar , connector-framework-internal.jar et groovy-all.jar dans /WEB-INF/lib
• Extractez connectorserver.properties de connector-framework-internal.jar à la racine du dossier précédemment créé. Vous pouvez le trouver dans org/identityconnectors/framework/server/connectorserver.properties

Vous pouvez trouver les Jars dans le war Waveset à l’intérieur du répertoire WEB-INF/lib

Configurer votre connector server

Tout d’abord, vous pouvez tester si votre Connector Server fonctionne correctement :

$ java -cp "connector-framework.jar:connector-framework-internal.jar:groovy-all.jar" org.identityconnectors.framework.server.Main

Usage:
Main -run -properties
Main -setKey -key -properties
Main -setDefaults -properties

Si vous voyez bien Usage : … c’est que tout fonctionne correctement. Avant de démarrer votre Connector Server, vous devez configurer un mot de passe pour y accéder :

$ java -cp "connector-framework.jar:connector-framework-internal.jar:groovy-all.jar" org.identityconnectors.framework.server.Main -setKey -key -properties

Maintenant, vous pouvez le démarrer et le connecter à votre instance Waveset :

$ java -cp "connector-framework.jar:connector-framework-internal.jar:groovy-all.jar" org.identityconnectors.framework.server.Main -run -properties connectorserver.properties

L’intégrer dans Waveset

Connectez-vous à l’interface d’administration de Waveset : http://yourserver:8080/idm et connectez-vous avec l’utilisateur configurator .

Allez dans l’onglet Configure puis dans Connector Servers et cliquez sur New.

Remplissez le formulaire en spécifiant le nom que vous désirez donner, l’adresse du serveur, le port et le mot de passe précédemment défini. Cliquez sur Save.

Pour créer une ressource utilisant un connecteur de ce Connector Server, allez dans New Resource et au lieu de choisir LOCAL , choisissez le nom du Connector Server précédemment créé.

Par défaut, Oracle Waveset contient plusieurs connecteurs pour faire du provisionning dans les environnements les plus populaires : SAP, Table de base de données, AS 400 etc… Mais lorsque vous avez affaire à une application maison qui ne peut pas être provisionnée via ces connecteurs par défaut, vous pouvez créer votre propre connecteur avec des traitements personnalisés !

Les jar à avoir

Tout d’abord, pour créer votre connecteur, vous pouvez ouvrir Eclipse et créer un projet Java normal. Créer un dossier lib et insérez-y deux jar : connector-framework-internal.jar et connector-framework.jar . Ajouter ces jar au ClassPath de votre projet.

Ces deux Jars, vous pourrez les trouver dans le .war d’installation de votre Waveset. Il est préférable de prendre ce dans votre .War et pas sur Internet pour éviter des problèmes de compatibilité

La structure de votre connecteur

Voici la structure basique d’un connecteur pour commencer :

1. org.identityconnectors.name.NameConfiguration.java
2. org.identityconnectors.name.NameConnector.java
3. org.identityconnectors.name.NameFilterTranslator.java
4. org.identityconnectors.name.Message.properties

Bien sûr, il convient de remplacer name dans les noms ci-dessous par le nom de la technologie pour laquelle vous faites le connecteur !

Voici l’utilité de chaque composante de cette structure :

1. Contient les paramètres de votre connecteur pour qu’il se connecte à la source de données : hostname, username, password etc…
2. C’est le point d’entrée de notre connecteur. La première classe que va lire Waveset avec les opérations qu’il est capable de faire, son nom, etc…
3. Un filtre lors des recherches des utilisateurs dans Waveset.
4. Un fichier de langue qui contiendra tous les mots clés et leur équivalent dans la langue que vous le souhaitez. De cette façon, votre connecteur pourra être multi-lingue très facilement.

Les interfaces qui font le travail !

Les opérations que pourra faire votre connecteur en provisioning est défini par les interfaces qui seront implémentées dans la classe NameConnector. Exemple :

public class NameConnector
implements Connector, SearchOp<String>, SchemaOp, TestOp

Ici, notre connecteur est capable d’aller chercher des utilisateurs, de faire un test de connection pour voir si les paramètres entrés par l’utilisateur sont bons et de passer automatiquement les attributs à Waveset.

Voici la liste des interfaces qui peuvent être implémentés et leurs significations :

• SearchOp<Type> : Permet de fetcher des utilisateurs et les enregistrer dans Waveset
• CreateOp : Permet de créer des utilisateurs dans la ressource
• UpdateOp : Permet de modifier des utilisateurs dans la ressource
• DeleteOp : Permet de supprimer des utilisateurs dans la ressource
• TestOp : Permet de tester si les paramètres rentrés par l’admin sont bons
• SchemaOp : Permet de passer automatiquement les attributs à Waveset

La classe de configuration pour pousser les attributs

La classe NameConfiguration est destinée à contenir les paramètres de votre connecteur pour se connecter au référentiel de votre ressource.

Il s’agit tout simplement d’une classe avec des champs et des getter / setters . Cependant, sur les getters, il va vous falloir rajouter une annotation pour dire à Waveset en quelle position vous mettez l’attribut, comment il va s’appeler et un texte d’aide pour savoir à quoi sert ce paramètre.

Exemple :

@ConfigurationProperty(order = 1, displayMessageKey = "HOST_PROPERTY_DISPLAY", helpMessageKey = "HOST_PROPERTY_HELP")

Et c’est là que le fichier de langue rentre en compte ! Ce que vous mettez entre guillemets ne doit pas être le vrai texte mais ce doit être le nom de la propriété qui y réfère dans Message.properties .

Voici le Message.properties y référant :

HOST_PROPERTY_DISPLAY=Host

HOST_PROPERTY_HELP=IP Address or hostname of the server which hosts the web service. Please verify that the host is reachable.

Ajouter un nom à votre connecteur

Pour mettre un nom à votre connecteur, ça se passe dans la classe Connector. Vous devez rajouter une annotation devant la déclaration de la classe comme ceci :

@ConnectorClass(displayNameKey="NameConnector",configurationClass=NameConfiguration.class)

Ce NameConnector n’est pas le nom direct à indiquer. De la même façon qu’avec la classe Configuration, c’est une propriété du fichier Message.properties .

P.S : Ca ne vous a pas manqué j’espère que dans cette annotation, on y indique aussi le nom de classe de Configuration

Je le mets où mon connecteur une fois que je l’ai codé ?

Une fois que vous codé et compilé votre connecteur, vous pouvez placer le .JAR dans le répertoire WEB-INF/bundles de votre Waveset et redémarrer le serveur applicatif Java.

Conclusion

Et voilà ! Avec ce petit guide rapide, vous êtes armés pour coder votre premier connecteur ! Si vous avez des questions, n’hésitez pas à la poster dans les commentaires !

Voilà un petit article qui sort un peu de ma traditionnelle ligne Oracle Database ! Dernièrement, j’avais un projet à temps partiels à clôturer donc juste pas assez de temps pour commencer à un autre projet mais trop de temps à rien faire donc j’ai décidé de me lancer dans un petit projet ! Et ça tombait bien parce qu’il cherchait un développeur Java urgemment chez un de nos clients pour coder un connecteur Waveset pour faire du provisionning sur Cisco Unified Connection Manager (CUCM).

Je vais passer sur ce qu’est l’IAM (GIA pour les francophones) et sur la façon dont on code un connecteur pour expliquer seulement comment installer Waveset sur Tomcat 6.

Le serveur applicatif J2EE

Avant d’installer Waveset, il faudra vous installer un serveur applicatif J2EE. Pour ma part, j’ai choisi le plus simple : Tomcat en version 6.

Installation de Waveset

Tout d’abord, il faudra aller récupérer Waveset sur le site de Oracle (Oracle.com) . Lorsque vous avez téléchargé la version 8.1.1 , il faudra la dézipper. Vous y trouverez plusieurs mais celui qui va nous intéresser est .jar .

Décompressez le grâce à l’utilitaire 7-Zip par exemple  et vous y trouverez un fichier nommé idm.war .

Pour installer Waveset, il vous suffira de copier idm.war dans le répertoire webapps de votre Tomcat fraîchement installé.

Configuration de Waveset

Configuration de la variable WSHOME

Tout d’abord, il va falloir créer une variable système nommée WSHOME .Pour ceci, allez dans le Panneau de Configuration - Système et dans Paramètres Système Avancés

Cliquez sur Variables d’environnement

Cliquez sur Nouvelle

Spécifiez dans le nom WSHOME puis le chemin vers votre répertoire idm créé dans l’étape précédente. Attention : ce n’est pas forcément celui que j’ai spécifié sur l’image.

Configuration de la webapp IDM

Une fois ceci fait, ouvrez une ligne de commande Windows et exécutez ces commandes.

cd %WSHOME%\bin

lh setRepo –tLocalFiles –f%WSHOME%

lh import -f %WSHOME%\sample\init.xml

Redémarrez Tomcat. L’installation de Waveset est terminée !

Attention : 

• Si vous avez une erreur avec les paramètres, il se peut que les « - » soit mal passés lors du copié-collé. Refaites les à la main et rééxécutez
• Pour la dernière commande, il se peut que la variable soit mal pris en compte et entraîne une erreur. À ce moment là, mettez le chemin complet au lieu de la variable en prenant soin de mettre des guillemets si le chemin contient un espace.

Accéder à Waveset

Une fois Tomcat démarré, il vous suffit d’ouvrir un navigateur web et d’accéder à l’url http://hostnamedevotreserveur:8080/idm pour accéder à Waveset. L’utilisateur par défaut est configurator avec le mot de passe configurator

Et voilà votre Waveset configuré et prêt !

Encore une fois, je vais commencer par une question pour vous les DBAs qui consultent cet article.

Est-ce que vos bases de développement et de pré-production ont des données représentatives de la production ? En terme de volumétrie et de format ? A part si vous êtes une entreprise modèle, la réponse est souvent non.

Deuxième question, est-ce que vous avez, dans vos bases de développement et de pré-production, des données à ne pas mettre dans toutes les mains ? Adresses, vrais noms, hash de mot de passe de vrais utilisateurs etc… ? Oui ? C’est parfaitement banal malheureusement… Y a t’il une alternative à ça ? Hé oui messieurs et mesdames : le data masking !

En quoi consiste le Data Masking ?

Le data masking est le terme général pour décrire l’altération de données pour les anonymiser tout en gardant une cohérence dans ces dernières :

1. Respect du format original
2. Respect des valeurs liés : clés étrangères par exemple
3. Respect des valeurs corrélées : Ville, code postale, Pays etc…

Cela permet donc d’avoir des données non-critiques dans votre environnement de développement ou de pré-production mais en ayant quand même une volumétrie et un formatage représentatifs de votre production pour faire des tests de performance. Fini, les lancements en production catastrophiques où votre nouvelle application consomme énormément de ressources et ralentie tous vos serveurs !

Comment ça marche ?

Tout d’abord, vous devez identifier de votre côté les colonnes de données sensibles à masquer. Une fois ceci fait, vous devez définir les formats de ces colonnes à respecter.  Plusieurs formats sont déjà préenregistrés par Oracle :

• Numéro de carte crédit MasterCard, Visa, American Express
• Numéro d’assurance sociale
• Etc…

Vous pouvez bien sûr enregistrer vos propres formats de données et les réutilisez dans vos définitions de masquages.

Une fois ceci fait, il ne manque plus qu’à créer votre définition de masquage. Lorsque vous avez fait votre définition de masquage, Oracle Data Masking vous générera un script SQL que vous pourrez intégrer à vos traitements d’export / import de données.

Voici un petit exemple qui vous montre comment faire ses premiers pas sur Oracle Data Masking : http://apex.oracle.com/pls/apex/f?p=44785:24:3724765812560989::NO:24:P24_CONTENT_ID,P24_PREV_PAGE:4627,29

Comment se présente le logiciel ?

Le logiciel est un module d’Entreprise Manager. Installé par défaut dans Oracle Database 11G, il faudra par contre installer un patch 10.2.0.5 pour l’avoir en 10G.

Data Masking est accessible dans l’onglet Schema de Database Control avec deux liens :

• Definitions : vos traitements de masking
• Format Library : Les formats pré-enregistrés de données à générées (Carte bancaire, NAS etc…)

L’interface est très simple et très intuitive. Vous pouvez naviguer tranquillement dedans sans de tutoriaux spéciaux.

Quelques questions qui vous trottent dans la tête.

Est-ce gratuit ?

Non,  sûrement pas. Même si il est installé par défaut, ce logiciel fait parti du Oracle Data Masking Pack et est bien sûr payant.

Y a t’il des nouveautés en version 12C ?

Enterprise Manager 12C a été dévoilé lors de l’Oracle OpenWorld avec son lot de nouveautés dont certaines concernant Oracle Database Security. Pour Oracle Data Masking, Oracle 12C se dote d’un « Découvreur de données sensibles ». Ce dernier permet via des pattern enregistrés de détecter automatiquement les colonnes sensibles à masquer : Carte de crédit, adresses, numéro d’employés etc…

Data masking est-il compatible avec d’autres bases de données ?

Oracle annonce que le Data Masking Pack est compatible avec SQL Server et IBM DB2 avec un bémol !  Il faudra passer par Oracle Database Gateways pour assurer cette compatibilité.

Si vous avez d’autres questions, n’hésitez pas à les poser dans les commentaires. Je les ajouterai à mon article.

Si vous êtes un DBA, je suis prêt à parier que vous avez
activé les audits sur vos bases de données pour des raisons de sécurité ! Vrai
? Ok. Mais je suis aussi près à parier que vous ne les regardez jamais et
qu’ils ne vous servent presque à rien ! Ne vous en faites pas, vous êtes très
loin d’être le seul.

Ou alors peut-être que vous les faites converger via un
programme que vous avez codé vous-même ? Combien de temps avez-vous mis à le
coder ? La convergence est-elle instantanée pour éviter aux DBAs d’intercepter
l’audit ? Est-ce que votre programme est vraiment flexible et ne vous fait pas
perdre un temps monstrueux ? Que se passera-t-il lorsque vous allez déployer
une autre base de données qu’Oracle dans votre parc ?

Pour pallier et répondre de façon adéquat à ces contraintes, Oracle a décidé de créer un
logiciel permettant de récolter les audits de vos bases de données et de les
consolider en un seul endroit où vous pouvez aisément les consulter et les
exploiter.

Comment ça marche ?

Oracle Audit Vault est un produit complet à installer sur un
serveur vierge. Il faut le télécharger sur le site d’Oracle (http://www.oracle.com/technetwork/database/audit-vault/downloads/index.html
) et l’installer via le traditionnel Oracle Universal Installer. Oracle Audit
Vault installe une base de données Oracle avec les composants Oracle Label Security et Oracle Database Vault et ensuite le
logiciel Oracle Audit Vault Server. Pour l’instant, il n’est disponible que sur certaines plateformes : Linux, Solaris SPARC, HP-UX Itanium et AIX5L . D’après une personne de chez Oracle, à l’heure où j’écris cet article, aucune version Windows n’est prévue.

En complément, il faut installer des agents sur chacune de
vos bases de données pour qu’il récolte les audits et les envois à votre
serveur Audit Vault. Les agents sont quant à eux disponibles sur une bonne partie des plate-formes.

Dès qu’un audit sera généré sur une de vos bases, les agents
le récupèreront instantanément et l’enverront vers votre référentiel Audit
Vault Server pour le sauvegarder définitivement et l’exploiter.

Il faut savoir qu’Oracle Audit Vault ne fonctionne pas
seulement pour les bases de données Oracle, mais aussi pour Sybase, SQL Server
et DB2.

Ce qui conviendra parfaitement aux entreprises disposant de
plusieurs bases de données différentes dans leur parc.

Comment se présente le logiciel ?

Oracle Audit Vault vient avec la classique interface web Enterprise Manager qui permet
d’administrer votre référentiel mais aussi de consulter vos audits et d’en
générer des rapports en quelques clics.

Le reporting et alertes

Oracle Audit Vault Server ne vous permet pas seulement de
faire converger vos audits pour leur sécurité mais permet aussi de faire du
reporting pour votre équipe sécurité ou votre direction. La console
d’administration web dispose de plusieurs fonctions de statistiques basiques
sur vos audits.

De plus, Oracle Audit Vault permet notamment de générer à
intervalle de temps régulier des rapports en PDF des audits et de l’envoyer par
email.

Audit Vault peut aussi vous alerter dès qu’une action que
vous lui avez spécifiée a été auditée. Par exemple, vous pouvez décider
d’alerter l’équipe sécurité lorsqu’un DBA fait un SELECT des salaires des employés
et aller le voir à son bureau pour lui demander l’utilité de sa requête.

Quelques petites questions qui vous trottent dans la tête

Les audits me servent à quoi ?

Les audits sont des informations générées à chaque accès à
une zone que vous spécifiée. Par exemple, vous pouvez choisir de générer une
trace lorsqu’un DBA supprime une table.

Ils vont donc vous servir pour garder une trace des accès à
vos données sensibles ou garder un œil sur les actions de vos DBAs. De plus,
cela peut vous servir comme preuve pour diverses procédures judiciaires que vous pourriez
lancer ou être lancées contre vous…

Voici des exemples de ce qui peut être communément audité
dans les entreprises :

• Tentatives de connexions échouées
• Actions des DBAs
• Accès aux données sensibles
• Altération de données sensibles
• Changement d’objets dans les schémas
• Etc…

Est-ce que les audits ont un impact sur mes performances ?

Les audits ont généralement un impact négligeable sur les
performances de la base de données. Cependant, il existe plusieurs types
d’audits dont certain qui consomment beaucoup plus que d’autres.

Voici un tableau donné lors d’une présentation d’Oracle
Audit Vault à l’Oracle Open World. On peut voir que pour la majorité des
audits, cela a un impact négligeable sur la base de données.

Que faut-il installer pour que ça fonctionne ?

Pour que tout fonctionne, il vous faut installer un
référentiel sur un serveur vierge : Oracle Audit Vault Server.

Ensuite, il vous faut installer des Audit Vault Collection
Agent sur chaque base de données dont vous voulez récupérer les audits.

Vous trouverez tous les produits en libre téléchargement sur
Oracle.com : http://www.oracle.com/technetwork/database/audit-vault/downloads/index.html

Combien de temps ça met à converger ? Un DBA peut-il l’intercepter et
supprimer l’audit ?

C’est complètement instantané. Lorsqu’un audit est généré
sur votre base de données, il converge dans les 1-2 secondes sur votre serveur
Audit Vault.

En principe, le DBA ne peut donc pas détourner l’audit.

Quid du flashback ? Est-ce que ça supprime les anciens audits ?

Lorsqu’un de vos DBAs supprime une table, vous avez émis un
audit pour cela, et lui fait une petite requête flashback pour récupérer cette
table, vous garderez quand même un audit dans votre serveur Audit Vault. Même
après le Flashback, l’information ne sera pas perdue.

Qui s’en occupe de ce produit ?

Pour l’installation, il est souhaité que ce soit un DBA
Sénior de confiance qui s’en occupe. Ensuite, ce dernier peut créer des comptes
limités à des personnes de l’équipe sécurité par exemple pour générer des
rapports ou vérifier qu’il n’y a pas eu d’activités suspectes.

Il est important que les credentials des utilisateurs disposant des rôles AV_AUDITOR et AV_ADMIN ne tombent pas dans les mains de vos DBAs sinon votre stratégie d’audit perd un peu de son sens.

En principe, une fois installé, Oracle Audit Vault Server ne
nécessite pas de tâches d’administration.

Y a-t-il une parade connue pour éviter les audits ?

En effet, un article de blog a fait le tour du web
dernièrement, car un expert sécurité nommé Alexander Kornbrust a trouvé une
faille en évitant de générer des audits via OraDebug.

Voici l’article en question : http://blog.red-database-security.com/2011/09/17/disable-auditing-and-running-os-commands-using-oradebug/

Cette faille sera sûrement corrigée dans les prochains CPU
d’Oracle Database.

Qu’est-ce que les lois m’obligent à auditer ?

Une image vaut mieux qu’un long discours, voici un tableau plutôt bien fait disponible dans la conférence « Audit Vault – Reduce time to Compliance » de l’Oracle Open World 2011.

En tant que gestionnaire ou architecture sécurité, vous vous êtes déjà demandé pourquoi vos DBAs ont accès à toutes les données confidentielles de vos bases de données ?

Ou alors, en tant que DBA Sénior responsable des DBAs de votre entreprise, vous vous êtes toujours demandé comment dealer avec les DBAs consultants ou externes qui doivent avoir accès à votre production ? Ou même les DBAs juniors qui font leur premier pas sur votre environnement de production ?

Et oui, tout ceci peut vite être un casse-tête et devenir une source de downtime / pertes de données !

Pour répondre à ce besoin, Oracle a mis sur pied un produit appelé Oracle Database Vault. Ce produit va permettre de cloisonner vos DBAs en ajoutant une nouvelle couche de sécurité à votre base de données.

Ce produit est bien connu des DBAs et en général très mal accueilli dans votre entreprise. Les DBAs vous répondront qu’ils n’ont pas envie de travailler dans une entreprise qui ne leur fait pas confiance mais à vrai dire c’est un produit qui ne sert pas uniquement à « enfantiser » vos DBAs. Ça peut aussi leur sauver un bon paquet d’heures de « restauration secours ».  Prenez le temps de lire l’article et vous y verrez les bénéfices.

Comment ça marche ?

Lors de l’installation d’Oracle Database Vault , l’assistant va recompiler certains binaires de votre bases de données pour ajouter une nouvelle couche de sécurité.

Traditionnellement, vos DBA ayant besoin de faire un minimum d’actions avaient vite besoin des privilègles dba . Ces privilèges donnent accès à l’ensemble de la base de données y compris aux données confidentielles non nécessaires à leur travail.

Avec Oracle Database Vault, vous désignez une personne comme le Database Vault Owner . Ce dernier a tous les pouvoirs et ensuite vous pouvez donner des droits au compte-goutte à vos DBAs grâce à Oracle Database Vault. Et ce même s’ils disposent des droits DBA, vous pouvez les cloisonner et leur interdire certaines actions.

Quelques exemples d’implémentations

Eviter les mauvaises surprises sur la production

Si vous êtes DBA, je mets un 5$ qu’on vous a déjà appelé pour vous demander de supprimer un objet en développement et que vous l’avez fait en production sans faire attention. Je me trompe ?

Oracle Database Vault peut vous protéger contre ça en interdisant à vos DBAs de faire des DROP, TRUNCATE etc… sur votre environnement de production.

Restreindre vos DBAs Juniors ou externes

Un jour « junior » prend son envol et doit avoir accès à la production pour faire quelques actions. Au début, vous pouvez lui créer un utilisateur bien restreints mais très vite, il aura besoin des droits DBAs avec toutes les downtimes que ça peut engendrer derrière.

Pour répondre à ce problème, Oracle Database Vault peut vous permettre de créer une bulle complète dans laquelle vous « enfermerez » vos DBAs juniors ou externes afin d’éviter les erreurs ou de contraindre un peu les gens curieux.

Par exemple, vous pouvez leur donner droit de consulter les vues V$ et DBA_ tout en lui interdisant l’accès à certains schémas sauf le SELECT sur une table dont il aurait besoin.

Protéger vos informations confidentielles

Vous avez des informations confidentielles dans vos bases de données ? NAS, salaires, numéros de carte bancaire etc… peuvent très bien être cachés à vos DBAs tout en gardant les pouvoirs de modifications des colonnes.

Grâce à Oracle Database Vault, les DBAs ne seront pas capable de voir le contenu des tables mais peuvent très bien faire un ALTER TABLE ou rajouter un index sur votre table par exemple.

Ceci permet de ne pas gêner vos DBAs dans leurs actions, tout en gardant une certaine précaution sur les vols de données.

Quelques questions qui vous trottent dans la tête

Comment ça s’installe ?

Sur 11G, Oracle Database Vault est une composante à sélectionner lors de l’installation avec l’Oracle Universal Installer. Lors de l’installation avancée, il suffit d’ajouter les composants Oracle Label Security et Oracle Database Vault

Une fois installé, il faudra exécuter DBCA (Database Configuration Assistant) pour activer Oracle Database Vault.

Sur 10G, il faudra installer le patch 10.2.0.5 que vous trouverez sur My Oracle Support pour installer Oracle Database Vault.

Et si j’ai déjà installé ma base de données ? Je dois tout réinstaller ?

Non, pas la peine. Vous ré-exécutez l’Oracle Universal Installer et vous pouvez sélectionner les options Database Vault et Label Security.

Est-ce long à installer ?

Non, c’est aussi rapide qu’une installation conventionnelle de base de données Oracle.

Faut-il prévoir un downtime pour l’installer en production ?

Un downtime sera à prévoir car il faudra arrêter la base de données le temps d’exécuter Oracle Universal Installer et DBCA.

Qui se charge de configurer la couche de sécurité ?

Vous devez désigner une personne responsable d’Oracle Database Vault. Cela peut-être un DBA d’expérience à qui vous faites confiance ou votre expert sécurité par exemple.

Cette personne sera en charge d’attribuer les droits à vos DBAs et de veiller à ce qu’ils n’aient pas accès aux informations sensibles etc…  Cette personne sera la seule à avoir tous les pouvoirs dans la base de données.

Ça doit être long à configurer pour tout le monde ?

Oracle Database Vault vient avec une interface web rattachée à Enterprise Manager. Cette interface web vous permettra de configurer très rapidement les règles.

Vous allez avoir une majorité de vos règles qui seront globales à l’ensemble de vos bases de données donc très rapide à configurer et ensuite le cas par cas qui viendra pour chaque DBA ne sera pas très long à configurer.

Vous pouvez comparer ça à des demandes de droit Active Directory lorsqu’un nouvel employée IT vient dans votre entreprise : Ce n’est vraiment pas long à implémenter et vous avez déjà des portails de gestion de demande à ce sujet implémenté !

En lisant cet article, si vous êtes un architecte ou que vous êtes un DBA qui va présenter ce logiciel à votre architecte, je connais déjà la remarque qui va arriver : Encore un firewall ! Mais j’en ai déjà 8 dans mon infrastructure ! Oui mais non parce que Oracle Database Firewall est plus qu’un simple firewall…

S’il y avait un produit où j’étais sceptique de sa pertinence et mon boss le premier : c’était Oracle Database Firewall. Sur le papier, il analyse tout le traffic de votre base de données et bloque les requêtes inhabituelle ( SELECT * sans clause WHERE sur une table sensible, injections SQL etc…)

Tous les rapports de sécurité informatique, y compris le Verizon 2010 Data Breach Investigations Report montrent bien que les injections SQL sont parmi les attaques privilégiées des pirates et sont celles qui causent le plus de dégâts/fuites.

J’ai donc décidé de m’y intéresser de plus près et finalement j’ai été agréablement surpris alors prenez le temps de lire cet article. Des réponses à des questions fréquentes est disponible à fin de l’article pour répondre à la plupart de vos interrogations.

Comment ça marche ?

Oracle Database Firewall fonctionne par « Learning Mode ». Vous le mettez quelques temps à analyser le traffic sans bloquer, il enregistre les patterns des requêtes usuels et ensuite vous le mettez en mode « bloquant ». Une intervention humaine sera nécessaire pour lui indiquer quels sont les bons et les mauvais patterns.

Lorsqu’il verra une requête qu’il y a un pattern qu’il n’a pas vu : il bloque ! Cela peut donc vous éviter des individus trop curieux qui utilisent mal votre logiciel ou encore des injections SQL etc…

Des exceptions devront être placées aussi qu’il ne pourra pas connaître dans le « learning mode » comme vos DBAs par exemple qui doivent être mis en liste blanche.

Les différents modes de fonctionnement

A noter que Oracle Database Firewall n’est seulement limité à un blocage de requêtes, il peut avoir 2 modes distincts de fonctionnement :

• White list based : Par défaut, il bloque tout sauf ce que vous lui spécifier comme correct
• Black list based : il autorise tout sauf ce que vous lui spécifier comme mauvais.

A l’intérieur de ces deux modes, vous pouvez y ajouter plusieurs variantes :

Vous pouvez décider de :

• Autoriser
• Autoriser en loggant cet accès
• Alerter quelqu’un de cet accès
• Modifier la requête : rajouter un AND 1=0 dans la requête pour retourner aucune ligne plutôt que de retourner une erreur par exemple
• Bloquer complètement la requête et retourner une erreur au client.

Comment l’installer ?

Oracle Database Firewall est un système d’exploitation complet à installer sur votre serveur. Pourquoi ? Pour être le plus proche possible du Hardware et donc éviter de perdre des performances !

Quelques questions qui vous trottent dans la tête

Comment ça se passe lors d’une nouvelle version de logiciel ?

Lors d’un déploiement d’une nouvelle version de votre logiciel, modifiant les requêtes SQL, il vous suffit de le mettre en learning mode dans votre environnement de développement et il mettra à jour ces règles. Le jour de la mise en production, votre firewall est prêt avec les nouvelles règles et il n’y aura aucun couacs.

Et s’il bloque une requête qui est bonne ?

Dans le jargon, ça s’appelle un Faux positif. Oracle Database Firewall dispose d’un mode de learning automatique qui nous permet d’enregistrer tous les patterns de requêtes  qui sont bons. C’est à votre implémenteur de s’assurer d’avoir testé tous les patterns de requêtes pendant la phase de développement. C’est pour ça que vous ferez appel à moi

Et si je fais des injections SQL pendant le learning mode ?

Il y a très peu de règles qui sont établis par rapport au nombre de requêtes par jour (Voir une des questions d’après). Ces règles, automatiquement créés par Oracle, doivent être validées par un humain pendant la phase de développement et vous, vous ne laisserez pas passer ça non ?

Mon IPS est capable de faire ça. Pourquoi je l’achèterai ?

Oui c’est vrai, votre IPS est largement capable de faire le travail correctement mais vous allez consacrer énormément de temps à le configurer et il y a un risque important de faux positif (Voir question plus haut) . Tout simplement parce que l’IDS a un but généraliste et ne colle pas parfaitement aux besoins des bases de données.

Qui l’administre ?

Pour l’installer, ça concernera votre équipe réseau et vos DBAs. Pour la configuration des règles, il est conseillé que ce soit plus aux DBAs car il y a des connaissances à avoir dans les requêtes SQL. Ça peut être aussi être configuré par une équipe sécurité.

Est-ce compliqué à configurer ? Beaucoup de règles sont créés ?

Le fait qu’il se mette en learning mode rend le déploiement très simplifié. Il suffit de positionner quelques règles pour les exceptions.

En moyenne, il vous diviser par 10000 par rapport à votre nombre de requêtes journalières pour avoir le nombre de règles qu’il crée. Vous avez 1.5 Millions de transactions par jour, cela va vous créer environ 150 règles. Bien sûr, c’est qu’un gros arrondissement, ça peut être très inférieur et très supérieur pour votre application mais c’est pour vous donner une idée. Donc  vous voyez qu’il ne crée pas excessivement de règle, donc est relativement facile à maintenir.

Combien de temps pour le déployer ?

Dix jours travaillés à prévoir pour l’installer, le configurer et le mettre en mode learning. 2-3 mois d’exploitation pour faire les règles et gérer les exceptions liées à votre entreprise (DBA, ressources humaines etc…)

Si vous avez une question qui vous trotte encore dans l’esprit, n’hésitez pas à m’en faire part dans les commentaires, je vous y répondrai le plus rapidement possible.

De nos jours, la sécurité est devenue un problème majeur de toutes les entreprises avec des attaques informatiques de plus en plus fréquentes et de plus en plus chères. En 2010, la totalité des attaques informatiques a été chiffrée à 6 milliards de dollar de pertes pour les entreprises concernées.

Des pertes sèches qui viennent aussi avec des pertes sur le long terme dues à une perte de réputation. On pense tous en premier à Sony et toutes ses mésaventures qui lui ont coûté des années de réputation avec son Playstation Network.

Les gouvernements voyant ces phénomènes se banaliser et les données confidentielles de leurs citoyens éparpillées en pleine nature, ils ont décidé d’élaborer certaines lois obligeant la protection en profondeur des bases de données : Sarbanes Oxley, HIPAA etc…

Oracle a répondu à cette demande croissante avec une suite de logiciels : Oracle Database Security. Elle comble la grande majorité des plans comme les menaces de l’extérieur, mais aussi, on y pense rarement, les menaces de l’intérieur, la non-répudiation ou encore le vol de matériel des développeurs avec les données d’exemples confidentielles dedans…

Présentation des produits

La suite Oracle Database Security est composée de 9 produits :

• Oracle Database Vault – Présentation plus approfondie
• Oracle Audit Vault – Présentation plus approfondie
• Oracle Database Firewall – Présentation plus approfondie
• Oracle Total Recall
• Oracle Data Masking – Présentation plus approfondie
• Oracle Label Security
• Oracle Advanced Security
• Oracle Secure Backup
• Oracle Configuration Management

Voici une petite présentation de chaque produit. Je vais faire un article détaillé de la majorité des produits dans un futur proche.

Oracle Database Vault

Sûrement un des produits les plus installés et les plus populaires, Oracle Database Vault permet d’ajouter une couche de sécurité au dessus des droits traditionnels (GRANT et REVOKE).

Cela vous permettra notamment de contrôler vos DBAs pour ne pas qu’il puisse voir toutes les données sensibles de votre base de données (Carte bancaire, NAS etc…) ou encore à restreindre les pouvoirs d’un DBA junior ou intérimaire dans votre base de données.

Oracle Audit Vault

Je pari que vous avez l’audit d’activer sur vos bases de données ? Je pari aussi que personne les regarde ? Encore gagné !

Oracle Audit Vault est un produit qui permet de centraliser en temps réel tous les audits de toutes vos bases de données, de les consolider, et de les exploiter grâce à plusieurs interfaces graphiques et plusieurs fonctions d’alerte etc…

Oracle Database Firewall

Comment avez-vous prévu de lutter contre les injections SQL qui dévastent tant de sites ? En formant vos développeurs à la sécurité ? Mais encore… Oracle Database Firewall est là pour vous !

C’est un produit qui agis comme un IPS en analysant le traffic passant par vos bases de données et en bloquant le traffic non-désirable détecté : utilisateur un peu trop curieux, injections SQL etc…

Oracle Total Recall

Avez-vous une colonne où vous voulez archiver les changements de valeurs ? Oracle Total Recall permet de le faire de façon complètement transparente en s’appuyant sur la technologie Oracle Flashback.

Voici un petit article montrant sa mise en œuvre : http://www.guiregcapitaine.com/2011/07/16/archiver-les-modifications-de-vos-donnees-avec-oracle-total-recall/

Oracle Data Masking

Vous avez des données sensibles en production que vous ne voulez pas voir en développement ? Mais vous avez aussi envie d’avoir une volumétrie et des données représentatives de la production pour faire des tests de performances ? Vous allez donc être intéressé par Oracle Data Masking.

Ce produit permet de configurer des traitements qui vont altérer les données transférées dans votre environnement de développement en recréant toutefois le même format de données : suite de chiffres 16 aléatoires pour les cartes de crédit, suite 9 chiffres aléatoires pour les NAS etc… Cela vous permet donc de garder votre volumétrie en enlevant la confidentialité.

Voici un petit article montrant sa mise en œuvre :

http://www.guiregcapitaine.com/2011/06/15/masquer-vos-donnees-sensibles-avec-oracle-data-masking/

Oracle Label Security

Dans votre application, je suppose que toutes les personnes ne doivent pas voir l’ensemble des lignes d’une table. Imaginons par exemple une employée des ressources humaines d’une multinationale à Montréal. Vous ne souhaiteriez pas qu’elle regarde la fiche d’un employé de Paris ou encore la fiche d’un dirigeant non ?

Actuellement, vous faites comment pour éviter ça ? Vous mettez les filtres dans votre application grâce à une clause WHERE. Et si il y a une faille, l’utilisateur a accès à tout !

Pour éviter ça, Oracle a sorti un produit permettant de filtrer les résultats directement dans la base de données. Cela permet donc de faire un SELECT sans clause WHERE et de rendre visible à l’utilisateur juste les données qui correspondent à son niveau de confidentialité.

Oracle Label Security n’est pas limité au niveau de confidentialité, des compartiments et des groupes sont aussi de la partie permettant d’intégrer par exemple des hiérarchies ou encore des zones géographiques à vos données !

Oracle Configuration Management

Faites des audits de votre sécurité et des tests automatisés pour vérifier que vous êtes compliant avec Oracle Configuration Management. De plus, Oracle Configuration Management vous permet de vérifier le niveau de patchage de vos bases de données.

Oracle Advanced Security

Ce produit est un package de produit déjà beaucoup utilisé dans les entreprises qui ont déployés les bases de données Oracle. Au programme :

• Authentification forte : Kerberos, RADIUS etc…
• Chiffrement des données
• Chiffrement des communications
• Etc…

Rien de bien nouveau là dedans, juste une appellation marketing. Voici un exemple d’implémentation de chiffrement des données : http://www.guiregcapitaine.com/2011/05/30/chiffrer-vos-donnees-de-votre-base-de-donnees-oracle-avec-oracle-advanced-security-transparent-encryption/

Oracle Secure Backup

La sécurité, ce n’est pas forcément une affaire de confidentialité des données, c’est aussi une affaire de sauvegarde ! Faire en sorte d’être sûr qu’en cas de désastre, vous ne perdrez aucune donnée et que vous serez capable de tout restaurer.

Oracle nous as donc créé un logiciel pour faciliter la gestion de vos backups et le suivi de ces dernières : Oracle Secure Backup.

Oracle NoSQL database

Ça y est ! On l’attendait et elle est enfin arrivée : la base NoSQL de Oracle. Ça faisait 1 an que j’en parlais déjà autour de moi avec ceux qui me soutenait que Oracle allait mourir parce qu’ils n’avaient aucune offre en NoSQL. Je leur soutenais qu’ils attendaient un produit matûre dans ce marché pour l’acheter et l’exploiter. Malheureusement je n’avais pas tout à fait raison, et il semblerait qu’ils n’aient pas acquis de société.

Les informations partent au compte-goutte concernant cette nouvelle base de données. Cependant, de grosses rumeurs disent qu’il s’agirait de Berkeley DB modifiée pour une utilisation NoSQL couplé à Hadoop pour avoir un connecteur universel de données.

J’ai d’ailleurs pu trouver, en faisant mes recherches, un ancien article datant de Février 2011 sur Oracle.com expliquant que Berkeley DB était adapté à une utilisation de type NoSQL : http://www.oracle.com/technetwork/articles/cloudcomp/berkeleydb-nosql-323570.html

Dans tous les cas, je me tiens au courant de toutes les nouveautés le concernant et j’écris des articles au plus vite…

Oracle BigData Appliance

Décidément, comme écrit dans mon article présentant le premier jour, c’est l’année du tout “bundlé”. Cette fois-ci, nous avons une appliance (même si je ne suis pas trop d’accord avec ce terme) qui fait fonctionner Oracle NoSQL database et Apache Hadoop. Le tout est fourni avec un maximum de chargeur pour transférer les données le plus rapidement possible.

On retrouve les mêmes statistiques monstrueuses qu’avec les autres machines bundlés Oracle : gain de performance énorme, ROI important, coût et place diminué par rapport à la puissance etc…

Oracle Enterprise Manager 12c

C’est officiel, la nouvelle version de la plate-forme web d’administration la plus complète est releasée sous le numéro de version : 12c . Avant nous avions le « g » comme Grid , aujourd’hui, nous avons le « c » comme Cloud.

Au programme, une interface plus claire, plus dynamique, « plus bleue » et plus de fonctionnalités. Dans mon champ d’expertise, Oracle nous as intégré une page dédiée à la sécurité dans OEM 12C. Une page regroupant toutes les pages d’administration des produits Oracle Database Security.

Oracle a mis en ligne un portail avec plus de 79 vidéos de démonstration par ici : https://apex.oracle.com/pls/apex/f?p=44785:2:3397446717040557:FORCE_QUERY::2,CIR,RIR:P2_TAGS:Enterprise%20Manager%20Cloud%20Control . De quoi satisfaire un peu votre curiosité

Un petit mot sur les exhibits

SalesForce.com

Un mot tout spécial pour le stand SaleForce.com qui était juste… abusé. Le stand ressemblait déjà plus au quartier Times Square de New York qu’à un stand de salon d’informatique avec tous ses écrans clignotants et le leader du cloud n’avait aucun but de présentation de ses futurs produits.

Les visiteurs avaient pour mission d’être « volontaires ». Il fallait prendre un sac plastique, mettre une peluche dedans et écrire un petit mot sympathique pour un enfant du tiers monde. Une fois ceci fait, on recevait une épinglette « Saleforces volunteer » et on pouvait s’endormir plus serein le soir en se disant qu’on a sauvé l’Afrique…

Le stand n’avait aucun but vendeur, juste pour but de faire du marketing en donnant une image « cool » et « world aware » de SalesForce… Tout ça couplé à une grappe d’animateurs hystériques, c’était relativement pathétique.

IBM et Jeopardy

La guerre entre IBM et Oracle donne l’impression d’être bon enfant lorsqu’on voit le stand IBM à Oracle Open World. J’étais assez curieux de voir ce qu’ils proposaient et j’ai été très admiratif en voyant qu’ils avaient amené leur célèbre robot : Watson !

Concept de Watson: Montrer les progrès en intelligence artificielle avec un robot qui joue au jeu Jeopardy! Le but : on donne une réponse et les joueurs doivent retrouver la question. Sympa comme animation !

Me voilà arrivé à San Francisco pour assister à la semaine dédiée à Oracle : Oracle Open World. Alors, il faut savoir que pendant cette semaine, la ville bat au rythme du salon planétaire Oracle.

Autobus à l'effigie Oracle

Tout le centre ville est décoré de publicités Oracle, de bus Oracle, et le moscone Center est orné de logo Oracle de haut en bas. Tous les 50 mètres, on croise des personnes avec le badge d’accès Oracle Open World etc…

Moscone West

Oracle Open World

Premier jour, Dimanche, pas très chargé. On arrive dans le Moscone West pour s’enregistrer et obtenir son badge d’accès. Première grosse claque : le bateau BMW – Oracle exposé dans le hall d’entrée. Celui-ci est accompagné de la très convoitée coupe de l’america.

Oracle - BMW en exposition dans le hall

On récupère le badge et on part pour la keynote de départ de Larry Ellison dans le Moscone North.

J’en ai profité pour voir mon premier Exadata grandeur nature et d’autres petites merveilles que je vous laisse découvrir comme Oracle Database Appliance annoncé la semaine dernière.

Oracle Database Appliance

L’année du « All packaged »

Larry n’a cessé de nous marteler les bienfaits de Exadata et Exalogic, rappelant quelques statistiques faramineuses par rapport à ses concurrents IBM et HP et les bons retours de leurs clients.

Exadata et Exalogic étaient les stars avec la nouveauté annoncée la semaine dernière : SuperCluster.

La nouveauté du dimanche : Exalytics

Dévoiler à la fin de sa Keynote, Exalytics est un serveur tout intégré axé sur la Business Intelligence. La grosse nouveauté ici est qu’il ne dispose pas de disque dur, ni de Flash, mais seulement de RAM. Mais en grande quantité : 1To. De plus, Larry promet une compression native de l’ordre de 10X. Au total, cela nous ferait donc 10To de stockage RAM. Couplé à ses 40 coeurs (4 Intel Xeon), cela donne des statistiques « en temps réel ».

La machine est capable de se brancher à n’importe quelle source de données pour fournir les résultats via une interface web spécialement designé pour ce produit.

Une fois branchée, elle charge entièrement les données à analyser dans sa mémoire et sort des statistiques quasiment instantanée.

Enfin, la machine est largement optimisée pour fonctionne avec Oracle Exadata et délivre des performances énormes couplé à ce dernier.

Un très bon départ pour cette édition de Oracle Open World qui en annonce long pour la suite.