Grundsätzlich müssen alle Komponenten einer IT-Infrastruktur optimal gegen Missbrauch gesichert werden, damit ein akzeptabler Sicherheitsgrad des Gesamtsystems erreicht werden kann. Hierbei kommt den Datenbanken eine zentrale Bedeutung zu, da dort i.d.R. alle Unternehmensdaten gespeichert werden.
Es gibt viele Angriffsszenarien auf Datenbanken und zahlreiche, häufig recht teure Tools, mit denen Datenbankadministratoren die ihnen anvertrauten Datenbanken schützen können. Aber ohne einen gewissen Basisschutz, den man mit dem Begriff Datenbank-Härtung (engl. Hardening) beschreiben kann, nützen solche Tools relativ wenig. Dieser Basisschutz sollte für jede Datenbank selbstverständlich sein und kostet zudem nur die notwendige Arbeitszeit.
Die Härtung von Datenbanken lässt sich grundsätzlich in nachfolgende drei Bereiche gliedern, welche zudem verschiedene Benutzergruppen addressieren:
1. Sichere Installation
Dieser Bereich ist relevant für Administratoren, die das DBMS und die Datenbank installieren und umfaßt alle Anforderungen, die während des Installationsprozesses des DBMS einschließlich sämtlicher Konfigurationen auf Betriebssystemebene zu erfüllen sind, wie:
-
- Betriebssystemanforderungen
- Anforderungen an die DBMS Version
- Minimale Installation
- Security Patches
- System Accounts und Access Rights
2. Sichere Konfiguration
Dieser Bereich ist relevant für Administratoren, die das DBMS und die Datenbank vor und während des Systembetriebs konfigurieren und umfaßt jene Konfigurationen, die für einen sicheren Betrieb des DBMS sowie jeder einzelnen Datenbank notwendig sind, wie:
-
- Minimale Funktionalität
- Accounts und Passwords
- Authentication Methoden
- Listener und Network Connections
- Bekannte Vulnerabilities
3. Sicheres Design von Applikationen
Dieser Bereich ist relevant für Designer und Entwickler von Datenbankapplikationen, die diese Anforderungen sowie mögliche Abhängigkeiten zu den Anforderungen der vorangegangenen Bereiche während der Design-Phase der Datenbank berücksichtigen müssen. Hierzu gehören:
-
- Datenbank und Netzwerk Architektur
- Accounts
- Passwords
- Account- und Rollenprivilegien
- Schutz gegen SQL-Injection Angriffen und Privilegien Eskalation
- Datenbank Links
- Data Confidentiality
Weitere Detail-Informationen zum Thema Datenbank Härtung speziell für Oracle Datenbanken finden sich im Bericht von Heinz-Wilhelm Fabry, ORACLE Deutschland GmbH.