Bilgi Çözümleri
Sektör Görüşleri

Oracle Database Firewall’a Genel Bakış

Yazar: Sezgi Geçer
sezgi geçer, Oracle Database Firewall, In-line Network bloklama modu, out-of-band pasif network monitorleme modu, verizon Veri Çalınma Araştırmaları, veri sızdırma olayları 2010 yılına ait ‘Verizon Veri Çalınma Araştırmaları’, veri sızdırma olaylarının %98’inin sunucular üzerinden yapıldığına işaret ediyor. Sunucular üzerinde bulunan verinin korunabilmesi için, katmanlı bir şekilde teknik ve yönetimsel pek çok önlem alınması gerekiyor. 

Veritabanı sunucularına yapılan ve toplu veri çalınmalarıyla sonuçlanan bilişim suçlarının oranı giderek artıyor.  Yakın zamanda yayınlanan, 2010 yılına ait ‘Verizon Veri Çalınma Araştırmaları’, veri sızdırma olaylarının %98’inin sunucular üzerinden yapıldığına işaret ediyor. Saldırının başarıyla sonuçlanmasıyla çok fazla miktarda veriye ulaşılabilmiş olması, genel olarak tüm veritabanı sunucularını atak için daha da cazip hale getiriyor. Veri çalınma olaylarında organize saldırılar büyük paya sahip olmakla birlikte, şirket bünyesindeki ya da dış kaynak kullanımı yapılan bağlantı noktalarındaki tehlikelerin payı da giderek artıyor. Raporda belirtilen diğer bir gerçek de, yetkili kullanıcıların yetkilerini kötüye kullanabildiklerini gösteriyor. Şifre kırma, kullanıcı kimliklerinin çalınması ve SQL sorgu enjeksiyonları da veriye yetkisiz erişim için kullanılan yöntemler arasında yer alıyor.  Sunucular üzerinde bulunan verinin korunması için, katmanlı bir şekilde, teknik ve yönetimsel pek çok önlem alınması gerekiyor.  

Aktif olmayan kullanıcıların kilitlenmesi ve yetkili veritabanı kullanıcılarının (sys, system vb.) ortak kullanımının engellenmesi gibi önlemler hiç şüphesiz güvenli bir veritabanı için yapılması gereken ilk adımlar arasında yer alıyor. Buna ek olarak kriptolama çözümleri ve yetkili kullanıcıların veritabanı içinde belli işlemleri yapmalarına engel olma gibi önlemler de kritik verileri korumada büyük katkılar sağlıyor. Ancak bu güvenlik çözümlerinin, güvenilirliği kabul edilmiş bağlantılardan gelen sorgular için herhangi bir koruma sağlamayacağını unutmamak gerekiyor. İşte bunun için Oracle Database Firewall, dışarıdan içe doğru veri güvenliği yaklaşımında, en dıştaki veri güvenliği katmanını oluşturuyor.

Kara listeler, beyaz listeler, politikalar, akıllı ve doğru uyarılar, minimum yönetimsel yük getirecek şekilde düzenlenmiş bir ekran üzerinden takip gibi özelliklere sahip olan Oracle Database Firewall, aktif ve gerçek zamanlı olarak verilerin korunmasını sağlıyor. 

Oracle Database Firewall veritabanının konfigurasyonundan ve operasyonundan bağımsız olarak çalışabilen bir çözüm olarak BT ekiplerinin hayatını kolaylaştıran pek çok özellik ve esneklik avantajıyla birlikte geliyor. Bu altyapı, veri sızdırma riskini minimize etmeyi kolaylaştırmanın yanı sıra, yasalara uyumluluk için gerekli şartları sağlama noktasında da büyük fırsatlar sunuyor.

Oracle Database Firewall’un Fark Yaratan Özellikleri

Oracle Database Firewall dışındaki alışılagelmiş SQL firewal yapılarında, istemci tarafından gönderilen SQL cümlesinin iyi niyetli olup olmadığını belirlemek için ‘regular expression’lar, ‘string matching’ ve küme karşılaştırma gibi geleneksel yöntemler kullanılıyor. Oracle Database Firewall ise akıllı politikalar üretebilme ve yeni açıklara karşı yönetimsel yük getirmeden adapte olabilme yetisine sahip bir çözüm olarak öne çıkıyor. Oracle Database Firewall kullanıcıları, “Blocking Mod” diye adlandırılan, belli SQL cümlelerine izin verip bazılarını engelleme gibi fonksiyonları kullanabildikleri gibi, sadece veritabanına gönderilen sorguları raporlama amaçlı olarak kullanılan “Monitoring Mod” seçeneğini de devreye alabiliyorlar. 

Oracle Database Firewall, network seviyesinde ‘bridged’ ya da ‘span port’ konfigürasyonunda konumlandırılarak, geçen tüm SQL cümlelerini monitorleme imkanı sağlıyor. Geçen SQL cümleleri, Oracle Database Firewall’un son derece özgün ayrıştırma algoritmasıyla katagorize ediliyor. SQL cümleleri bazında ayrıştırma yapılarak politikaları belirlemek mümkün olduğu gibi, IP adresi, zaman, program ismi gibi diğer faktörlerle de politikalar belirlenebiliyor. Tek bir Oracle Database Firewall sunucusu, birçok veritabanını aynı anda koruyabilme yeteneğine sahip bulunuyor.

Güvenlir SQL Cümleleri Listesi Yaklaşımı

Oracle Database Firewall, “Beyaz Liste” SQL cümleleri tanımlayarak bunların dışında kalan tehlikeli olabilecek sorguların çalıştırılmamasını mümkün kılıyor. “Beyaz Liste” SQL cümleleri, uygulama tarafından gönderilen sorgular arasından oluşturulmuş SQL cümleleridir. Database Firewall, bu modda gelen sorgularla ‘Beyaz Liste’yi karşılaştırarak, duruma göre izin verme, engel olma ya da uyarı oluşturma yollarını seçebiliyor. 

Oracle Database Firewall, belirlenen politika dışında gelen tüm sorguları bloklayarak aşağıdaki aksiyonları alabiliyor:

• SQL cümlesini boklama

• Gönderilen SQL cümlesi yerine başka bir SQL cümlesi gönderme

• SQL cümlesini bloklamanın yanında uyarı oluşturma

Çoğunlukla uygulanabilecek en iyi yöntem, cümlelerin tehlikesiz başka bir cümle ile değiştirilmesi yöntemidir. Bu yöntemle yapılan değişiklik, ‘hacker’lar tarafından hissedilmeme avantajına sahip olduğu gibi, uygulama açısından da hissedilmeyecek bir değişikliktir.

En basit hali ile sql cümlesi değiştirme yöntemi, politikaya aykırı şekilde gelen bir sql cümlesinin sonuç dönmeyen başka bir sql cümlesiyle yer değiştirmesi işlemidir.

Örnek SQL sorgu değişiklikleri:

“Kara Liste” SQL Sorguları Politikası Belirleme Yöntemi

“Beyaz Liste” SQL Sorgu listelerine izin verme yönteminin yanı sıra, “Kara Liste”ler oluşturarak belli SQL sorgularına izin vermeme gibi yaklaşımla da çalışmak mümkündür. “Beyaz Liste” yaklaşımında da mümkün olduğu gibi, belli sorguları belli IP adresleri, zaman aralığı veya program gibi faktörlerle kısıtlamak mümkündür.

Harici List Güvenlik Yaklaşımı:

“Beyaz Liste” ve “Siyah Liste” yaklaşımlarına ek olarak bunların da üzerlerinde, bu politikaların uygulanmasına engel olabilen kurallar tanımlayarak, yönetimsel amaçlı izin verilen kullanıcıların politikalar dışında çalışma yapabilmeleri sağlanabilir.

Oracle Database Firewall Management Server

Oracle Database Firewall Management Server, merkezi olarak Database Firewall’larda uygulanacak politikaları barındırmakla beraber, tüm Database Firewall’lardan gelen logları ve veritabanlarında yapılan aktiviteleri bünyesinde toplayıp, bu verilerin üzerinde tasarlanmış birçok raporun tutulduğu merkezi yapı olarak konumlandırılıyor.

Politika Yönetimi

Oracle Database Firewall, SQL dili analizine dayanan güçlü, basit ve kolay yönetilebilir politika yönetim araçlarını ürünle birlikte sunuyor.  Güvenilir SQL sorgu listesi yaklaşımını izleyerek, pozitif bir güvenlik politikası oluşturulabiliyor. Oracle Database Firewall politika yönetimi, veritabanında aynı etkiye yol açan sorguları gruplandırarak, yönetim kolaylığı getiriyor ve bunun üzerine belli sorguların IP adresi, zaman aralığı, program gibi belli faktöre bağlı olarak çalıştırılmasını sağlıyor.  Örneğin IP adresiyle kısıtlandırılmış bazı SQL’lerin belli kişilerce çalıştırılabildiğinden emin olunması, canlı veritabanının güvenlik seviyesini yükseltiyor.

Raporlama

Oracle Database Firewall, kendi içinde Sarbanes-Oxley(SOX) gibi, Payment Card Industry (PCI) gibi, Health Insurance Portability and Accountability Act (HIPAA) ve benzeri güvenlik/yasal uyumluk düzenlemeleri için gerekli raporları hazır olarak sunuyor. Oluşan tüm olayların detaylarını ve özet raporlarını sunma yeteneğine sahip bulunuyor. Oracle Database Firewall raporları istekler doğrultusunda şekillendirilebildiği gibi, yeni rapor tiplerinin de oluşturulması da mümkün. Tüm raporlar, içerik olarak istenen şekilde hazırlanmak üzere zamanlanabilir ve ilgili kişilere otomatik olarak e-mail yolu ile belli bir formatta gönderilebilir. 

Sonuçlar

•Veritabanı sunucularında duran verilerin korunması, kademeli ve çok katmandan oluşan teknik ve yönetimsel aşamalar gerektiriyor. 

•Oracle Database Firewall, SQL-dilinde analiz yaklaşımı kullanılarak belirlenmiş politikalar kullanan bir güvenlik duvarı sunuyor. 

•Database Firewall, uygulamadan gelen SQL sorgularını “Beyaz Liste”, “Kara Liste”, “Harici Liste” gibi politikalardan geçirerek, kötü niyetli SQL enjeksiyonlarına engel oluyor. 

•Oracle Database Firewell, kendi içinde SOX, HIPAA ve PCI gibi güvenlik düzenleme oluşumlarına yönelik raporlar üretiyor. 

•İsteğe bağlı olarak, istemciyle veritabanı sunucusunun arasına giren veya istemciyle veritabanı arasında giden trafiği pasif olarak üzerine alan bir yapıda konumlandırılabiliyor.

•Oracle Database Firewall, veritabanı sunucularının önünde geniş çaplı olarak, iç ve dış saldırılara karşı güçlü bir güvenlik duvarı inşa ediyor.

Oracle Database Firewall’un konumlandırılabileceği yapılar

In-line Network bloklama modu ve out-of-band pasif network monitorleme modu:  In-line modu açmak gerekirse, istemci tarafından gönderilen SQL cümleleri aradaki Database Firewall’un değerlendirmesinden geçtikten sonra ilgili veritabanına gönderilebildiği ya da engellendiği mod anlaşılabilir. Out-of-band modu ise, SQL trafiğinin Database Firewall’a network seviyesinde, switch üzerinde tanımlanmış ‘span port’ üzerinden kopya edilerek değerlendirildiği mod olarak tanımlanabilir. Bu modlar birden fazla veritabanı için aynı anda çalışabilir.

Heterojen, çoklu veritabanı destek modu: Örneğin tek bir Database Firewall sunucusunun, Oracle 8i, 10g, 11g veritabanlarının yanı sıra, MS Sql Server ve Sybase veritabanlarını da koruma altına aldığı bir modda çalışması gibi.

Farklı modların bir arada kullanıldığı konfigürasyon: In-line ve/veya out-of-band modları birlikte kullanılarak farklı veritabanları aynı anda koruma ya da monitörleme altına alınabilir.

Oracle Database Firewall’u Yüksek Süreklilik Mimarisini sağlayacak şekilde konumlandırmak, iki Database Firewall sunucu kullanılarak yapılandırılacak bir mimariyle mümkündür. Böylece, SQL monitörleme işlemi, sunuculardan birinin durması sonucu kesintiye uğramadan devam edebilmektedir.

 

 

Yazar Hakkında

Sezgi Geçer
Email: sezgi.gecer@oracle.com

Linkplus, ISV Migration Center Teknik Danışmanı (DB Teknolojileri)

Diğer Yazıları

Hepsini Göster »»

Üye Girişi

Sosyal Medya'da Bilgi Çözümleri

Ücretsiz Oracle ürün demosu ve kampanya avantajlarından yararlanmak için üye olunuz.
Kampanyalar
Sadece birkaç adım ile tam entegre bir sistem elinizin altında! Sadece birkaç adım ile tam entegre bir sistem elinizin altında!
Şirketinizin veritabanı altyapısı hızla büyüyen verilerle başa çıkabilecek kapasitede mi? Şirketinizin veritabanı altyapısı hızla büyüyen verilerle başa çıkabilecek kapasitede mi?
RUEI ile kritik internet uygulamalarınızı yönetin, test edin, izleyin RUEI ile kritik internet uygulamalarınızı yönetin, test edin, izleyin
Diğer kampanyalar »»
Sektör Görüşleri
Tüm yazılar »»
Web Seminerleri
  • Database 11g
  • Business Intelligence
  • Oracle UCM
  • Application Express

Ücretsiz Web seminerlerine katılın

Powered By Oracle and LinkPlus
Hakkımızda | Site Haritası | Kullanım Koşulları | Oracle Ürünleri | İş Ortakları | İletişim

2012 © Bilgi Çözümleri