Oracle Verilenler Bazasi Vault-dan istifade etmekle hessas melumatlari nece qorumaq olar/ Realm-lari yaratmaq ve yoxlamaq


Melumatin tehlukesizliyi meqsedile gorulen lazimi isler eyni zamanda sebeke, emeliyyat sistemleri seviyyesindeki kimi verilenler bazasi seviyyesinde de nezere alinmalidir. Umumen gotursek, sirketler sadece firewall mehsulu alir ve bele dusunurler ki, tehlukesizliye aid olan problemleri artiq hell edibler. Tedqiqatcilar gosterir ki, baxmayaraq bu mehsullardan istifade etmekle xaricden gelen hucumlara qarsi qorunmaq mumkundur, daxilden gelen hucumlari def etmek ucunse ugurlu ve kifayet eden usul yoxdur. Xususen, verilenler bazasinin oldugu serverlerde melumatin qorunmasi ucun hec bir fealiyyet heyata kecirilmir. Nezere alsaq ki, DBA selahiyyeti olan istifadeci verilenler bazasinda butun selahiyyetlere malik olur ve bu emeliyyatlari basqalarinin kompyutelerinden qosulmaqla da ede biler bu halda mumkun olan tehlukesizlik aciqlari diqqete alinmalidir. Verilenler Bazasi administratorunun butun melumatlara aciq sekilde yiyelenmesi basqalarinin kompyuterlerinden qosulmaq ve eyni emeliyyatlari etmek kimi tehlukesizlik aciqi baximindan elverissizdir. Oracle Database-in tehlukesizlik hellerinden biri olan Oracle Verilenler Bazasi Vault yuxaridaki problemlerin hell olunmasi ve aradan qaldirilmasida komekci tetbiq kimi tovsiye oluna biler.

Audit yoxlamalari icerisinde tez-tez rast gelinen tepintilar arasinda verilenler bazasina DBA rolunun verilmesi elece de yeni istifadecilere ve obyektlere bu rollarin verilmesi daxil olmaqla edilen  selahiyyetsiz deyisiklikler vardir. Aktiv isitfade olunan muhitlerde edilen qeyri-qanuni deyisikliklerin qarsinin alinmasi tekce tehlukesizlik ucun deyil eyni zamanda komplayens ucun de onemlidir bele ki, bu deyisiklikler tehlukesizliyi zeiflede ve hakerlerin hucumlarina serait yarada, bununla da gizlilik siyaseti ve komplayens nizamlamalarini poza biler. Oracle Verilenler Bazasi Vault-un SQL emrlerine nezaret musterilere verilenler bazasi dahilinde table-larin yaradilmasi, yox edilmesi, istifadecilerin yaradilmasi kimi emeliyyatlari idare etmeye icaze verir. IP adres, qosulma usulu ve proqram adi kimi bir cox kenar amiller itirilmis sifrelerin istifadesi muqabilinde yarana bilecek hucumlarin qarsisini almaqda cox-usullu selahiyyet verilmesinin tetbiqine komek ede biler. Bu nezaretler tesadufi sazlama deyisikliklerinin edilmesinin ve hakerlerin, bedniyyetli sirketdahili istifadecilerin tetbiqlerle qurcalanmaginin qarsisini ala biler.

Bu sened boyunca, biz Oracle Verilenler Bazasi Vault-unu administrasiya etmek ucun DVA(Database Vault Administrator)-dan istifade etdik. DVA-dan istifade etmekle, biz insan resurslarina aid melumatlari qorumaq ucun HR DATA Realm yaratdiq. Bu realm-i DVA ile yaratmaq ucun ilk once Realms-a kliklemeli, daha sonra Create duymesini basmali ve HR DATA realm-I teyin edib adlandirmaliyiq.

1

Qurasdirma emeliyati zamani, en esas meqsedlerden biri yuksek imtiyazli istifadecilerin HR melumatlarina giris imkaninin olmamasi, eyni zamanda ise HR DATA realm-in oldugu verilenler bazasini idare etmek huququnun verilmesine nail olmaq idi. Ele ki, realm adlandirildi ve aktiv edildi, biz qaydalarin pozulmasi halinda xeberdarliq mektublarinin gonderilmesi ucun Audit on Failure secdik.

Bunlar Realm Secured Object kimi taninir. Realm sahibinde olan her bir obyekt ucun, obyekt adi ve tipi evvelceden mueyyen edilmelidir. Bu halda ise biz HR istifadecisinin sahib oldugu butun obyektleri wildcard opsiyasi ile mueyyenlisdiririk.

2

Qurasdirma emeliyyatinin bu noqtesinde, novbeti addim System kimi imtiyazli istifadecilerin nezaretlerini ve onlarin hansi vaxtlarda obyektlere girisinin olmasiniteyin etmek idi. Bele olan halda, meqsed System istifadecisi ve ya basqa her hansi imtiyazli istifadecinin HR obyektlerini sorgulamaqla sistemin kifayet qeder selahiyyetin olmamasi barede mesaj vermesini temin etmek idi. Buna uygun olaraq, SYSTEM HR DATA Realm-da obyektleri yarada bilmedi ve Oracle Verilenler Bazasi Vault qayda pozuntusu xeberdarligi Verdi.

3

Hemcinin HR istifadeci kimi sorgular etmekle onlarin sahib oldugu obyektlerin movcu oldugu Secured Realm-da hansi selahiyyetlerin olmasini teyin etmek idi. Eyni zamanda biz emin olduq ki, bu noqtede Oracle Database Vault icinde HR-a hec bir spesifik imtiyaz verilmemisdir. Susmaya gore, obyektin sahibi yalniz DATA Manipulation Language sorgularini tetbiq ede biler. DATA definition Language sorgulari ise bu halda verile bilmez.

4

Bezi isciler is seraitinden asili olaraq verilenler bazasinin deyisdirilmesi ucun huquqlara ehtiyaci ola biler. Yuxaridaki yoxlamani apardiqdan sonra, HR adli istifadeci HR Data Real-ma realm selahiyyetlerinden istifade etmekle elave olundu

5

Selahiyyet veridlikden sonra, bu istifadeci DDL ve DML emrleri daxil olmaqla secdiyi istenilen emir sorgulaya biler

6

Belelikle imtiyazli verilenler bazasi hesablari verilenler bazasinda olan hessas tetbiqi melumatlara yiyelenmekde en cox istifade olunan usullardan biridir. Onlarin genis ve mehdudiyyetsiz girisi verilenler bazasinin xidmetini artirdigi halda, ele hemin giris huquqlari boyuk miqdarda melumatlara sahib olmaq ucun edilen hucumlarda da rol oynayir. Tetbiq semalari, hessas cedveller ve yadda saxlanilmis prosedurlar etrafinda olan Oracle Database Vault Realm-lari imtiyazli hesablarin hakerler ve daxili isciler terefinden istismar olunmasinin qarsisini almaqda nezaret mexanizmlerini temin edir.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: