通过Oracle Advanced Security实现数据库加密和编辑Word格式文档下载.docx
《通过Oracle Advanced Security实现数据库加密和编辑Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《通过Oracle Advanced Security实现数据库加密和编辑Word格式文档下载.docx(13页珍藏版)》请在冰点文库上搜索。
3.4.安全考虑8
3.5.数据编辑易于部署8
3.6.与其他方法的对比9
4.在Oracle多租户架构中应用加密和编辑功能10
5.总结11
1.引言
安全威胁不断上升、合规、整合以及云计算的要求不断扩大,这些只是数据安全变得非常关键的部分原因。
在美国首部数据泄露事件通报法案发布之后的近10年中,随着对数据访问的日益增多,对加强预防控制的需求也日益增加。
现在用户不仅使用笔记本电脑,还会使用平板电脑和智能手机,而一旦这些客户端设备被盗,就很可能非常容易地泄露敏感信息。
外包、海外建厂、企业并购以及近乎不断的组织变革都会产生额外的风险,恶意的内部人员能够更轻易地获取敏感数据,外部黑客通过社交工程攻击能够很轻易地访问服务器。
集中高效、与应用程序无关的敏感数据保护正在变得比以往任何时候都重要,而上述发展趋势只是导致此现象的一个原因。
由于存储的数据持续激增,而且对数据的访问超越了传统边界,因此能够始终从源头保护敏感数据的安全措施成为必需的关键控制。
保护数据需要使用一种多层的纵深防御方法,其中包含预防、检测和管理控制。
OracleDatabase12c为所有这些领域提供重要的全新安全措施,进一步加强了Oracle行业领先的数据库安全解决方案。
OracleDatabase12c中包含的OracleAdvancedSecurity选件提供两种重要的预防控制,即静止数据加密和应用程序显示的敏感数据的编辑。
这些控制有助于保护敏感数据,防止数据直接从存储设备或通过应用程序泄露出去。
OracleAdvancedSecurity透明数据加密(TDE)有助于防止那些试图绕过数据库从操作系统级数据文件、数据库备份或数据库导出文件中读取敏感信息的攻击。
而OracleAdvancedSecurity数据编辑功能则是对TDE的补充,它在查询结果中的敏感数据离开数据库之前对这些数据进行编辑,从而降低了未授权数据在应用程序中暴露的风险。
本文介绍TDE和数据编辑功能,并说明这些有益的预防控制如何协同工作来帮助保护您的敏感数据。
1
2.通过加密防止数据库绕行攻击
静止数据加密是一个非常重要的控制,它可阻止未授权用户使用绕过数据库的方法访问敏感数据。
特权操作系统帐户仅是黑客和内部人员用来直接在物理存储设备上访问敏感信息的渠道之一。
OracleAdvancedSecurity透明数据加密(TDE)通过在数据库层加密数据,可阻止黑客绕过数据库从存储设备读取敏感信息。
通过数据库身份验证的应用程序和用户可继续透明地访问应用程序数据,而未经过身份验证的用户尝试绕过数据库访问明文数据的企图将被拒绝。
为了更好地理解这一点,需要考虑这样一个事实,特权操作系统用户可使用简单的shell命令访问数据库表空间文件并提取敏感数据。
此外,还应考虑从丢失、被盗或不当弃用磁盘或备份中读取敏感数据的攻击可能性。
图1给出了一个使用通用Linux“strings”命令和搜索模式直接从存储设备提取客户信用卡号的示例。
图1.从Oracle数据库表空间文件提取客户信用卡号
2.1.OracleAdvancedSecurity透明数据加密
透明数据加密应用在数据库最适合的一层,以防止数据库绕行攻击,同时对于应用程序仍然透明,而且容易部署。
TDE可以加密单独的应用程序表列或整个应用程序表空间。
由于加密和解密过程不需要任何应用程序更改,而且应用程序用户不用直接处理加密数据,因此该过程对于应用程序是透明的。
最重要的是,TDE内置的双层加密密钥管理提供完全的密钥生命周期管理,使用有用的元数据属性跟踪密钥生命周期,并辅助有加密密钥轮换功能,无需停机即可切换到新的主密钥。
图2显示如何使用TDE对Oracle数据库进行加密来防止数据库绕行攻击。
图2.使用透明数据加密功能进行加密以防止数据库绕行攻击
相对于对全部存储卷进行加密或需要新工具包和编程API的其他加密方法而言,TDE具有其独特性。
其他加密方法无法防止许多绕行攻击,可能需要大量应用程序更改,密钥管理复杂,并且无法与OracleAdvancedCompression、OracleRecoveryManager和Oracle
Multitenant等互补技术相集成。
TDE提供的高级保护遵循下图所述的通用强加密标准。
图3.TDE使用的标准加密算法和散列算法
2.2.使用TDE列加密保护敏感数据
可使用OracleAdvancedSecurityTDE列加密功能加密应用程序表中的特定数据,如信用卡号和美国社会保险号。
客户确定其应用程序模式中包含敏感数据或监管数据的列,然后只对这些列进行加密。
当数据库表很大,只有少量列必须加密,并且已经知道这些列时,该方法非常有效。
对于每个查询均可能返回非常不同的数据集的数据仓库应用程序,TDE列加密也非常有效。
OracleEnterpriseManager敏感数据发现功能可快速搜索并识别敏感数据列。
使用TDE列加密方法进行加密的数据在备份介质和弃用的磁盘驱动器上仍将保持加密状态,从而有助于防止绕过数据库的未授权访问和潜在的数据泄露。
2.3.使用TDE表空间加密来保护整个应用程序
OracleAdvancedSecurityTDE表空间加密功能通过对底层表空间进行加密来保护整个应用程序表。
它对应用程序表空间进行加密,与数据敏感度和和数据类型无关。
表空间加密无需识别特定的数据库列,因此简化了加密过程。
当数据库包含大量需要加密的敏感数据,而且相应列存放在多个不同位置时,此方法非常有效。
TDE表空间加密和
TDE列加密可以彼此独立使用,也可以在同一个数据库中一起使用。
与TDE列加密一样,通过TDE表空间加密方法进行加密的数据在备份介质上仍保持受保护状态,可防止绕行攻击。
2.4.性能特性
TDE的加密操作非常快速,而且可与相关Oracle数据库特性完美集成。
TDE利用Intel®
AES-NI和OracleSPARCT4/T5平台提供的基于CPU的硬件加密加速功能,性能可提高5倍甚至更多。
而数据库缓冲和缓存特性则给TDE表空间加密的块级操作带来额外的性能提升。
表空间加密与OracleAdvancedCompression无缝集成,确保在加密之前进行压缩。
表空间加密还可以与OracleExadata中的高级技术集成在一起,如Exadata混合列压缩(EHCC)和智能扫描,这样一来可将某些加密处理分流给存储单元,从而实现快速并行执行。
2.5.内置密钥管理
密钥管理对于加密解决方案的安全性来说至关重要。
OracleAdvancedSecurityTDE提供一个开箱即用的双层密钥管理架构,其中包含数据加密密钥和主加密密钥。
数据加密密钥自动进行管理,并由主加密密钥进行加密。
主加密密钥存储在数据库之外的一个OracleWallet
(这是一个基于标准的用来保护密钥的PKCS12文件)中,并在数据库之外进行管理。
使主密钥与加密数据保持分离,可减少攻击,因为需要同时获取密钥和加密数据才能访问明文数据。
该双层密钥架构还支持轮换主密钥,且无需对所有敏感数据重新加密。
OracleDatabase12c中包含的OracleAdvancedSecurity特性引入了一个全新的专用SYSKM角色,可选择性地将该角色委派给指定用户帐户,该帐户可运行所有重要管理操作,其中包括轮换主密钥和更改密钥库口令。
OracleEnterpriseManager提供便捷的图形用户界面,可创建、轮换和管理TDE主密钥,如下图所示。
图4.使用OracleEnterpriseManager管理和轮换TDE主密钥
2.6.加密对常见运营活动的影响
基本日常数据库运营活动如果未妥当地执行,可能会潜在地泄露敏感数据,从而使绕行攻击容易成功。
这些活动包括数据库备份和恢复、数据移动、高可用性集群以及复制。
OracleAdvancedSecurityTDE支持这些关键数据库运营活动,有助于确保数据保持加密状态。
表空间加密功能可与OracleRecoveryManager(备份和恢复)、OracleDataPump(数据移动)、OracleActiveDataGuard(冗余和故障切换)和OracleGoldenGate(复制)相集成。
TDE还可与重做等数据库内部特性相集成,以防止可能的日志数据泄露。
图5.与OracleAdvancedSecurityTDE集成的示例
通过这个完全集成的数据库加密方法,使得该解决方案能够轻松地部署到复杂的实际环境中,同时还可防止那些试图利用运营流程的缺陷而进行的绕行攻击。
3.通过数据编辑限制敏感数据暴露
隐私保护与合规需求都要求使用经济高效的方法来管理应用中的数据暴露。
随着智能手机和平板设备的普遍使用,传统办公环境之外的数据访问变得更加平常,从而导致敏感数据暴露问题更加紧迫。
即使传统的应用程序也需要使用比较全面的解决方案来减少敏感数据的暴露。
例如,呼叫中心应用的屏幕会将客户信用卡信息和个人身份信息暴露给呼叫中心的操作人员。
如今,即使将这些信息暴露给有效应用程序用户也可能会违反隐私性法规,而且使数据处于不必要的风险之中。
图6.呼叫中心应用程序中显示的明文信息和经过编辑的信息
3.1.OracleAdvancedSecurity数据编辑
OracleAdvancedSecurity数据编辑功能首先对数据库查询结果中的敏感数据进行选择性的动态编辑,然后再由应用程序显示出来,因此未授权的用户无法看到这些敏感数据。
存储的数据保持不变,而对显示的数据进行动态转换和编辑,然后再允许其离开数据库。
数据编辑功能减少敏感信息的暴露,并且有助于防止利用应用程序缺陷将敏感数据暴露在应用程序页面之中。
对于需要限制暴露敏感数据的新应用程序和原有应用程序而言,该方法都非常适用,无需对应用程序进行程序代码更改。
图7.使用数据编辑功能编辑应用程序显示的敏感数据
3.2.策略和转换
OracleAdvancedSecurity数据编辑功能支持多种不同的转换方式,可编辑指定列中的所有数据、保留特定部分数据或随机生成替换数据。
下面给出所支持的数据转换方式的示例。
图8.数据编辑转换示例
数据编辑功能基于声明式的策略条件进行业务按需知密决策,这里声明式的策略条件利用应用程序自身可提供的丰富的运行时上下文。
如用户标识、用户角色和客户端IP地址。
还可以利用OracleApplicationExpress(APEX)、OracleRealApplicationSecurity和OracleLabel
Security提供的上下文信息。
您可以使用APEX自动跟踪的应用程序用户和应用程序标识来创建策略条件,因此编辑APEX应用程序比较简单。
一个数据编辑策略中可以联合多个运行时条件,以在编辑时进行细粒度的控制。
策略在数据库内部进行存储和管理,一旦启用将立即生效。
3.3.性能特性
由于目标数据库通常是生产系统,所以高性能对于数据编辑至关重要。
需要在运行时动态地转换数据,无需改变存储在磁盘、缓存和缓冲区中的数据。
由于转换将在生产环境中执行,而且会频繁执行,因此要求性能开销一定要小。
数据编辑的一个重要性能特性是只支持具有可靠的高性能的数据转换。
这些数据转换只是在非生产环境中可以用来转换数据的所有可能的操作中的一部分。
只使用该特定部分的操作,可以避免长时间运行的操作和处理器密集型操作。
数据编辑还利用了Oracle数据库的性能优化,只有成为数据库内核的一部分后才能实现这一点。
此实现确保数据转换是快速的内存中计算。
策略信息缓存在内存中,而且只有在每次执行策略表达式时才会对其进行一次评估,因此不会产生对每行的性能影响。
3.4.安全考虑
作为数据库内核的一部分,数据编辑的另一个优势是安全性更严格。
由于其他编辑技术对代理存在依赖性,而其代理可能会受到潜在的干扰,因此本数据编辑实现将避免使用给其他编辑技术带来麻烦的方法。
此外,当其他安全措施受到影响时,数据库内核中的数据编辑功能仍能继续提供保护。
例如,在攻击已绕过应用程序和数据库中的其他预防控制时,策略中的实时条件仍继续编辑敏感数据,由此可缩小SQL注入攻击的影响。
将数据复制到不含策略的新表中可能导致编辑策略被绕过,这种情况下,数据编辑也能避免明显的信息源泄露。
默认情况下,系统将阻止涉及已编辑数据的大量复制操作,如果有必要执行此类操作,可使用数据编辑豁免特权来覆盖默认设置。
虽然数据编辑功能可用来防止敏感数据被DBA等特权数据库用户意外看到,但是其目的主要是对软件应用程序显示的数据进行编辑。
数据编辑功能不会阻止特权用户直接连接到数据库并运行返回部分敏感数据的即席查询(即它不会停止详尽的即席查询或其他推理攻击)。
但是,请注意,数据编辑功能与控制和监视特权数据库用户(包括DBA)访问的
Oracle数据库安全解决方案完全兼容。
它可以与OracleDatabaseVault或OracleAuditVault&
DatabaseFirewall一同部署。
数据编辑还可与数据加密功能结合使用,它是对TDE很好的补充。
3.5.数据编辑易于部署
使用命令行API或OracleEnterpriseManager可为现有应用程序快速部署数据编辑功能。
此命令行API是一个PL/SQL过程,用来定义受保护的列、转换类型和条件。
OracleEnterpriseManager提供便捷的策略表达式生成器,管理员可用它来定义编辑策略,并应用到现有应用程序上。
如下图所示,PolicyExpressionBuilder对话框将指导用户使用从应用程序、数据库、APEX框架和其他数据库安全解决方案中获取的上下文来完成创建策略条件的过程。
图9.使用OracleEnterpriseManager策略表达式生成器创建数据编辑策略
OracleEnterpriseManager中还提供预定义的列模板,用于编辑常见的敏感数据,如信用卡号和美国社会保险号。
OracleEnterpriseManager敏感数据发现功能可帮助定位复杂应用程序模式中需要编辑的列。
数据编辑功能易于部署的另一个原因是它对应用程序和数据库而言是透明的。
在应用程序透明性方面,数据编辑支持应用程序和各种数据库对象(包括表、视图和物化视图)经常使用的多种列数据类型。
编辑后的值保留了原始数据的主要特征,如数据类型和可选的格式特征。
随机编辑值来自于现有列数据定义的数据范围。
在数据库透明性方面,数据编辑将避免影响基本的数据库运营活动。
它不会影响数据移动(OracleDataPump)或数据库备份和恢复(OracleRecoveryManager)等管理任务。
也不会影响数据库集群配置,如OracleRealApplicationClusters、OracleActiveDataGuard和OracleGoldenGate。
此外,数据编辑不会对现有数据库触发器或OracleVirtualPrivateDatabase(VPD)策略产生任何影响。
而且由于数据编辑是数据库内核的一部分,所以不需要单独安装。
3.6.与其他方法的对比
编辑敏感数据的传统方法通常依赖应用程序代码或在数据库服务器上安装第三方软件来修改编辑行为。
相对于本数据编辑功能,这些方法有很大的不足。
需要编写新应用程序逻辑、修改现有SQL语句或编写自定义应用程序脚本的方法有可能在企业范围内产生不一致、各异的解决方案,而且这些解决方案整个生命周期的维护成本也会很高。
此外,还必须对新应用程序开发进行严格控制,确保正确访问自定义应用程序代码和新对象。
代码还需要考虑实施编辑策略的多个因素,同时还要保持应用程序的性能和语义。
向Oracle数据库添加新组件、覆盖现有组件、建立代理以及修改数据库基本行为的方法也存在很大问题。
新组件不仅会引入新的攻击面,还可能会导致性能开销,影响数据库的运营活动,当尝试转换应用程序生成的复杂数据库查询时还可能会失败。
相比之下,使用数据编辑功能直接在Oracle数据库内核中进行编辑则具有更严格的安全性、更卓越的性能,而且与很多数据库配置、用例和负载有更好的兼容性。
4.在Oracle多租户架构中应用加密和编辑功能
OracleAdvancedSecurity全面支持OracleDatabase12c多租户架构。
当可插拔数据库(PDB)在多租户容器数据库间移动时,TDE和数据编辑属性将自动与其相随。
当移动包含编辑策略的PDB时,这些策略作为PDB的一部分将直接转移到新容器中。
当移动经过加密的PDB时,该PDB的TDE主密钥将与加密数据分开传输,以在传输过程中保持适当的安全隔离。
插入PDB并完成配置后,加密和编辑功能将立即恢复正常运行。
5.总结
随着应用程序中暴露的数据持续快速增多,企业无论使用何种设备或应用程序,必须通过强有力的控制对数据进行保护。
OracleDatabase12c通过为企业提供在数据库中实施数据安全性的预防、检测和管理控制,可帮助企业在日益复杂的环境中保证其敏感信息的安全。
OracleDatabase12c中包含的OracleAdvancedSecurity提供两种关键预防控制。
透明数据加密功能对静止数据进行加密,阻止数据库绕行攻击访问存储设备中的敏感数据。
数据编辑功能通过定义的策略对数据库查询结果进行动态编辑,降低敏感数据在应用程序中暴露的风险。
这两种控制为构建多层纵深防御体系奠定了基础。
而且促使OracleDatabase12c成为世界最先进的数据库安全解决方案。
升级会员 