2.12.2010

Veritabanı Guvenliği/ Database Security Database Vault

Bugunlerde izledigimiz haberler gosteriyorki veritabanı guvenligi inanılmaz onemli bir konu. Bu konuda firmaların bakıs acılarını pek begenmiyorum. Benim gordugum kadarı ile firmalarımız guvenlik konusunda cok az yatırım yapıyorlar.

Bir firmadaki verilerin nekadar onemli oldugunu cokda fazla soylemeye gerek yok. Firmalarımız dusunmesi gereken en onemli konu ise bu tarz atakların nasıl oldugu ve bunlara onlem alınıp alınamayacagı.

Bu konuda yapılan arastırmaların gosterdigi firmaların ozelikle icerden yapılan ataklara karsı savunmasız olduklarıdır.Wikileaks skandalıda benim gordugum kadarı ile icerden gerceklestirilen bir saldırı.

Bircok firma firewall tarzı cesitli urunlerle dısardan yapılabilecek saldırılara onlem alınırken, bugun iceride calısan artniyetli bir personelin yapabileceklerini dusunmuyor bile.

Ozelikle konu veritabanı olunca olay dahada hassasiyet kazanıyor. Bir ornek vermek gerekirse bir bankada DBA'lik yapan bir kisi istedigi hesap bilgilerini gormesi son derece kolay bir olay.

Ozelikle DBA secerken bu kisilerin gecmis referanslarını arastırmalı ve guvenilir kisilerden DBA secilmesi ana kural olmalı.

Bugun kendi DBA ni dahi izleyebilen yada onun yetkilerini denetleyebilen TEK veritabanı Oracle'dır.
Ornek vermek gerekirse DBA bir tablo uzerinde performans artırımına yonelik index ekleyebilir ama tabloyu select edemez(içindeki kayıtları göremez). Bir tabloyu yaratan kisi daha sonradan bu tabloyu degistirmesini onleyebiliriz. Bu bahsettigim ozeliklerin cok daha fazlasını Database Vault urunu ile yapabiliyoruz.

Once Tecrubeli DBA'lerden birini Secadmin yapıyorsunuz. Daha sonra o bu konuda gerekli butun kuralları ayarlamaları yapıyor. Bu arada sec admin ayarlama yapmaya yetkisi var ama kendisinin tablolara bakma yetkisi yok. Tabi birde bu olayı Audit vault birlestirip yetkisiz yapılan yada yapılmaya calisan butun isleri izlemeye aldıgınızda sonuc cok net oluyor.

Guvenlik konusunda bir buyuk sıkıntıda performans. Ne kadar cok guvenlik belkide o kadar performans kaybı demektir. Bu islerin ortasını bulmak gereklidir.

Son olarak sunu soylemek isterim bu tarz saldırı sonucu bilgileri ortaya cıkan firmalara soruldugunda guvenli olduklarını dusunduklerinden eminim.

2 yorum:

Emre Baransel dedi ki...

Guvenlik konusunda genellikle gordugum tutum, bas agrimadan yeterli onlemin alinmamasi. Bence ilk adimda, bir hocamin dedigi gibi, sahip olunan verinin maddi degerinin hesaplanmasi gerekir. Her verinin belirli bir maddi degeri vardir ve hesaplanmasi icin yontemler de mevcuttur. Verisinin maddi degerini goren sirketler, kurumlar bu veriyi korumak icin gerekli butceyi ayirma konusunda da daha gercekci olabilir bence. Veri guvenliginde problem teknolojik kisitlamalar degil farkindaliktir bence.

Ronin dedi ki...

Yazınızı okuduktan sonra aklıma geçmişte mahkemelik olan bir olay geldi.Olayın içeriğini burda paylaşmam mümkün değil ama dba'in tablolara select atmaması gereken durumlara çok iyi bir örnek teşkil ediyordu.Hocamınızında belirttiği gibi optimum bir güvenlik anlayışının çok önemli olduğunu düşünüyorum