Wat doet u aan data security?

De laatste tijd is het steeds meer in de media: Bescherming van data. Of eigenlijk wat in de media komt, is als het niet goed gegaan is. Als databasebeheerder zitten we op een grote verzameling gegevens waarvan het niet de bedoeling is dat een ander daar zomaar bij kan komen. De vraag of de veiligheid van deze data goed geregeld is, is dus zeker relevant.

Zodra het over veiligheid gaat wordt snel naar producten als Database Vault, Audit Vault en de Advanced Security Option gekeken. Maar is het niet verstandiger om eerst te kijken of de mogelijkheden worden benut van wat u al in huis heeft. Daarom enkele zaken waar aan gedacht kan en moet worden

  • sys en system accounts
    Wie hebben toegang tot het sys en system account. Gebruikt u deze non-personal accounts regelmatig.? Hiermee wordt het zeer moeilijk om op basis van auditing vast te stellen wie een bepaalde actie heeft uitgevoerd. Het is onwenselijk dat deze accounts zomaar gebruikt worden. Eigenlijk zou zelfs de DBA er vanaf moeten blijven.
  • Oracle OS account
    Wie gebruikt het Oracle account op OS niveau? Via dit account is direct toegang tot de datafiles en alle database structuren. Database toegang is niet eens nodig om de data mee te nemen.
  • password
    Zijn de passwords voldoende complex of wordt nog steeds gebruik gemaakt van het installatie password: ‘Welkom01’. En zorgen we dat de passwords voldoende complex zijn zodat niet met een lijstje standaard passwords toegang tot bedrijfskritische data geeft.
  • DBA rechten
    Welke (applicatie) accounts in de database hebben de ‘DBA’ of ‘SYSDBA’ role. Vaak vragen leveranciers dergelijk uitgebreide rechten omdat dit zo lekker werkt. De database staat daarmee effectief wel helemaal open. Dit is niet wenselijk.
  • Hoe ontsluit je data naar andere systemen
    Database links zijn populair. Als je deze echter laat connecten als ‘application owner’ heeft een andere database de mogelijkheid bij alle data te komen. Is dat wat je wil?
  • Staan default accounts dicht
    Oracle heeft een aantal default accounts die bij diverse database opties horen. Echter het is niet nodig deze accounts de mogelijkheid te geven in te loggen.
  • Any privileges
    Any privileges geven je rechten iets te doen op een willekeurig schema. Dit klinkt leuk maar je weet niet meer wie , wat , waar creëert. Vaak blijkt het helemaal niet nodig en is het alleen maar ‘makkelijk’.
  • Auditing ingericht
    Is er enige vorm van auditing ingericht. Auditing voorkomt geen misdaden maar stelt je wel in staat vast te stellen wie buiten zijn boekje is gegaan.
  • Toepassen CPU/PSU
    Ook Oracle software kent security bugs. Elk kwartaal komt Oracle met een bundel met fixes. Past u deze ooit toe of zit u nog steeds op de base release. Waarom? Is dat het gedefinieerde beleid of bespaart dit werk.

De bovenstaande lijst is verre van volledig en geeft slechts wat eerste gedachten op. De belangrijke vraag is: Na bijna 10 jaar focus op beschikbaarheid en performance zijn we klaar om te kijken naar de dataveiligheid van onze databases ?

Scroll to Top