Realizacja polityki bezpieczeństwa w obszarze bazy danych Oracle

Marcin Kozak, Software Architect Oracle Polska

Dzisiaj, aby mieć pewność, że informacje w bazie danych są bezpieczne, nie wystarczy już zakup firewalla, czy też zastosowanie kolejnego systemu usytuowanego przed samą bazą, spełniającego rolę kontrolera dostępu.

Często zapomina się, iż baza podlega tym samym regułom sztuki jakie towarzyszą poprawnemu wdrożeniu polityki bezpieczeństwa, do których należą: klasyfikacja danych, na tej podstawie ustalenie zasad dostępu oraz audyt, zapewniający kontrolę wykonanych działań.

Można, a wręcz należy powtarzać do znudzenia pewne zasady nakazujące zidentyfikowanie kluczowych elementów w środowisku firmy, a następnie zadbanie o każdy z elementów w taki sposób, aby potencjalne ryzyko ograniczyć do poziomu akceptowalnego dla firmy.

Jak realizujemy politykę bezpieczeństwa?

Zanim podkreślę kilka aspektów technologicznych, wskazać należy na jeden zasadniczy aspekt organizacyjny. Bez wsparcia osób zarządzających firmą, cała dyskusja o bezpieczeństwie środowisk IT nie ma sensu. Tak naprawdę kluczem do sukcesu jest duże zrozumienie i wyobraźnia managementu. Zainicjowanie wszelkich projektów bezpieczeństwa, ich wsparcie oraz wytyczanie kierunków rozwoju, powinno pochodzić ze strony zarządzającej. Oczywiście IT powinno być zaangażowane w wybór konkretnego rozwiązania, konkretnej implementacji, ale wizja powinna być określona przez osoby zarządzające firmą. Jest to tzw. model top-down.

Kolejnym znaczącym aspektem jest dopasowanie aspektów bezpieczeństwa do modelu organizacji. Brzmi tajemniczo, ale chodzi po prostu o to, aby bezpieczeństwo wspomagało biznes, a nie go hamowało. Często sama instalacja produktów bezpieczeństwa, bez odpowiedniej analizy, bez przygotowanej strategii działania, może doprowadzić do efektów odwrotnych niż zamierzone, czyli zniechęcenia użytkowników do stosowania zasad i reguł stworzonych po to, aby im pomagać.

Sam termin 'bezpieczeństwo', to oprócz wirusów i hakerów dużo więcej, niż na co dzień czytamy w gazetach informatycznych. Bezpieczeństwo to proces, który odpowiednio zaplanowany może nie tyle wyeliminować ryzyko, co ustawić je na poziomie dla nas akceptowalnym. Ustawić tak, abyśmy rozumieli: z jakim ryzykiem wiąże się nasza działalność informatyczna oraz ile to nas będzie faktycznie kosztowało.

Elementami podstawowymi dowolnej implementacji aspektów bezpieczeństwa informacji są trzy podstawowe obszary: dostępność, integralność i poufność. Oczywiście poziom bezpieczeństwa oferowany w tych trzech obszarach jest różny dla różnych firm. To co dla firmy przewozowej jest wystarczające w obszarze poufności, może być nieakceptowalne dla instytucji finansowej. Warto pamiętać, iż każda firma posiada inne cele biznesowe, a co za tym idzie, inne wymagania dotyczące bezpieczeństwa.

Wykonywanie klasyfikacji informacji

Aby wiarygodnie odpowiedzieć na pytanie, jaki poziom bezpieczeństwa wymagany jest dla firmy, należy zidentyfikować ryzyko związane ze zmaterializowaniem się zagrożeń, a następnie zredukować je do poziomu dla biznesu akceptowalnego. Generalnie opisany w dużym skrócie proces nazywany jest zarządzaniem ryzykiem, a ma głównie na celu: (1) zidentyfikowanie w firmie wszystkich obszarów informacji, potrzebnych biznesowi do prowadzenia działań, (2) określenie wszelkiego rodzaju zagrożeń i słabości, a następnie (3) dokonanie oceny, które obszary są najważniejsze. W tych właśnie obszarach, stosując analizę kosztową, wdraża się procesy zarządzania ryzykiem (np. poprzez zakup elementów zabezpieczających bazę danych).

Warto pamiętać iż cały ten proces należy powtarzać, tzn. cyklicznie dokonywać sprawdzenia czy stosowane przez nas zabezpieczenia (techniczne, fizyczne, administracyjne) są wystarczające. Można powiedzieć, że istnieje konieczność cyklicznego wykonywania analizy ryzyka. Bezpieczeństwo jest procesem, który podlega normalnemu cyklowi życia produktu.

Rola bazy danych

Obecne systemy informatyczne oferują (lub oferować powinny) oprócz przetwarzania danych, bezpieczne ich przechowywanie. Dane wykorzystywane w określonym procesie cały czas powinny podlegać ściśle określonym regułom, tak aby cała transakcja była bezpieczna. Takie bezpieczne przetwarzanie ma dać nam świadomość iż z jednej strony realizujemy określone działania, a z drugiej strony ufamy, że sposób realizacji tych działań jest w pełni poprawny. Jednym z przykładów takiego repozytorium jest baza Oracle.

Wszystkie aspekty bezpieczeństwa są zarządzane z poziomu Oracle Enterprise Managera

Baza, sama w sobie posiada wiele mechanizmów bezpieczeństwa, pozwalających podnieść poziom jej zabezpieczeń. W przypadku jednak gdy planujemy wdrażać politykę bezpieczeństwa, czyli np. dokonać klasyfikacji danych, niezbędne są dodatkowe opcje bezpieczeństwa, dostępne bezpośrednio u producenta. Są to rozwiązania płatne, z których rozważyć warto:

* opcje realizujące klasyfikację informacji w bazie

Warto pamiętać iż wartość danych jest różna. Nawet w tej samej bazie danych informacje w różnych kolumnach mogą mieć różną wartość. W tym kontekście klasyfikacja danych jest jednym z ważniejszych aspektów poprawnego wdrożenia polityki bezpieczeństwa. Dokonanie klasyfikacji danych pozwala zorganizować dane według ich ważności, co w dalszej kolejności pozwoli podjąć działania zabezpieczające określone, sklasyfikowane poziomy danych. Takie podejście upewnia nas, że ważne informacje posiadają zabezpieczenia adekwatne do ich istotności.

* opcje realizujące kontrolę dostępu do bazy

Na podstawie dokonanej klasyfikacji jesteśmy w stanie przydzielić bądź nie, pewnym grupom użytkowników określone uprawnienia dostępu do danych, wynikające z ich roli w firmie. Kontrola dostępu odbywa się z wykorzystaniem stworzonej klasyfikacji danych oraz polityki dostępowej do bazy.

* opcje realizujące audyt bazy

Wykonana klasyfikacja danych oraz realizacja kontroli dostępu powinny być w pełni audytowane, tak aby mieć absolutną pewność iż to co zrobimy poprawnie działa i że jest zgodne z przyjętymi założeniami.

* opcje realizujące szyfrowanie elementów w bazie

Nawet doskonale wykonane poprzednie kroki nie ochronią nas od straty poufności danych w momencie, gdy ktokolwiek ma fizyczny dostęp do danych i zwyczajnie zdobędzie nośnik na którym pliki bazy są zapisywane. Jeśli baza nie jest szyfrowana, a opisana sytuacja ma miejsce, wszelkie inne zabezpieczenia tracą sens.

* opcje realizujące bezpieczną archiwizację danych w bazie

Regulacje zazwyczaj określają, przez jaki czas należy przetrzymywać tzw. dane historyczne (np. dane transakcji). Często zapomina się, iż wykonana archiwizacja podlega takim samym prawom klasyfikacji, a co za tym idzie należy stosować odpowiednie zabezpieczenia takich składowanych informacji.

* opcje realizujące wykonanie bezpiecznej kopii zapasowej bazy

Podobnie jak w przypadku archiwizacji, wykonywanie kopii zapasowych sklasyfikowanych danych także powinno być bezpieczne i podlegać wszelkim stworzonym procedurom.

Aby zrealizować opisane powyżej aspekty polityki bezpieczeństwa, niezbędna jest baza danych Oracle Enterprise Edition, wraz z następującymi opcjami bezpieczeństwa:

• w obszarze klasyfikacji danych: Oracle Label Security
• w obszarze kontroli dostępu: Oracle Database Vault oraz Oracle Database Firewall
• w obszarze audytu: Oracle Audit Vault
• w obszarze szyfrowania: Oracle Advanced Security
• w obszarze bezpiecznej archiwizacji: Oracle Total Recall
• w obszarze bezpiecznej kopii zapasowej: Oracle Secure Backup

Szczegóły technologiczne powyższych rozwiązań można znaleźć na stronie:

http://www.oracle.com/us/products/database/security/index.html

Konkluzja

Wdrażanie polityki bezpieczeństwa wiąże się z realizacją różnych celów w różnym czasie. Warto podzielić to, co chcemy osiągnąć na etapy - realizowane i określane jako cele: operacyjne, taktyczne i strategiczne. Oczywiście celem strategicznym, długoterminowym, będzie wdrożenie polityki bezpieczeństwa ISO 2700X. Celem taktycznym, średnioterminowym, będzie uporządkowanie polityki dostępu do wszystkich zasobów informatycznych w firmie. Aby osiągnąć cele strategiczne, nie wolno zapominać o codzienności, czyli celach operacyjnych, polegających np. na implementacji poprawnej klasyfikacji w bazie danych Oracle.

Tworzenie prawidłowej polityki klasyfikacji informacji

Informacje dodatkowe: najważniejsze opcje bezpieczeństwa bazy danych Oracle

Oracle Label Security

Oracle Label Security jest rozwiązaniem realizującym klasyfikowanie informacji w bazie danych Oracle. Każda informacja firmowa posiada różną wartość, a w związku z tym w naturalny sposób dokonujemy jej klasyfikacji. Pewne informacje są dla nas ważniejsze niż inne. Przykładem może być klasyfikacja informacji przyjęta w sektorze publicznym: Publiczna, Poufna, Ściśle Tajna. Klasyfikacja informacji w obszarze ‘Publiczna’ oznacza iż dokument jest informacją otwartą, której utrata nie niesie z sobą ryzyka, a co za tym idzie nie będzie wiązała się ze faktyczną stratą dla przedsiębiorstwa. Klasyfikacja Poufna oraz Ściśle Tajna jest przeznaczona tylko dla uprawnionych odbiorców, a jej utrata wiąże się z poważnymi stratami dla przedsiębiorstwa.

Klasyfikacja informacji nie tylko pozwala na osiągnięcie zgodności z regulacjami, czy normami ISO (np. 27001, dodatek A, punkt A.7.2 - klasyfikacja informacji) ale, co niejednokrotnie ważniejsze, ogranicza koszty administracyjne. Jeśli wiemy, jakie informacje są dla nas ważniejsze, możemy dla tej grupy zastosować odpowiednie mechanizmy kontrolne (np. niezawodność na poziomie macierzy, inne polityki backupu czy archiwizacji). Rozwiązanie Oracle Label Security realizuje także funkcjonalność Mandatory Access Control, polegającą na weryfikacji dostępu na podstawie zbudowanych polityk, sprawdzających z jednej strony klasyfikację informacji, a z drugiej weryfikację uprawnień strony chcącej otrzymać do niej dostęp.

Oracle Database Vault

Oracle Database Vault jest narzędziem pozwalającym na realizację zaawansowanej funkcjonalności kontroli dostępu przy jednoczesnym zarządzaniu bezpieczeństwem z zewnątrz bazy. Wiele dotychczasowych uprawnień administratora bazy jest odebranych, a takie aspekty jak zarządzanie użytkownikami bazy (np. nowe konta, czy hasła) mogą być realizowane przez osobnych operatorów. Dużą zaletą rozwiązania Oracle Database Vault jest przezroczystość dla działających aplikacji korzystających z bazy, przy jednoczesnym restrykcyjnym ograniczeniu dostępu do określonych danych. W ten sposób łatwo zwiększyć bezpieczeństwo środowiska, bez konieczności ponoszenia kosztów zmiany kodów aplikacji.

Należy także podkreślić realizację modelu podziału obowiązków oraz implementację osobnych ról operatora, security oficera, czy operatora, co pozwala zrealizować zgodność z normą ISO 27001.

Napisz do autora:

marcin.kozak@oracle.com