Bilgi Çözümleri
Sektör Görüşleri

Oracle Database Firewall

Yazar: Sezgi Geçer
oracle, database, firewall, oracle database firewall Laptopların çalınması ya da kaybolması sonucu, kişisel bilgilerin yayınlanmasının yanı sıra veritabanı sunucularına yönelik toplu veri çalınmalarıyla sonuçlanan bilişim suçlarının da oranı giderek artıyor.

Yakın zamanda yayınlanan, 2010 yılına ait Verizon Veri Çalınma Araştırmaları, veri sızdırma olaylarının %98'inin sunucular üzerinden yapıldığına işaret ediyor. Saldırının başarıyla sonuçlanmasıyla, çok fazla miktarda veriye ulaşılabilmiş olması, genel olarak tüm veritabanı sunucularını atak için daha da cazip hale getirmekte. Veri çalınma olaylarında organize saldırılar büyük paya sahip olduğu gibi, şirket bünyesinde ya da outsource olarak danışmanlık veren iç tehlikelerin de payı giderek artmakta. 2010 yılına ait veri çalınmaları raporunda belirtilen diğer bir gerçek de, yetkili kullanıcıların yetkilerini kötüye kullanmaları, hacking, çalınan kullanıcı kimlikleri ve sql sorgu enjeksiyonları da veriye yetkisiz erişim için kullanılan yöntemler arasında bulmasıdır. Sunucular üzerinde bulunan verinin korunması, teknik ve yönetimsel birçok önlemin, katmanlı bir şekilde alınmasını gerektirir. Kullanılmayan kullanıcıların kilitlenmesi ve yetkili veritabanı kullanıcılarının (sys,system vb.) ortak kullanımının engellenmesi gibi önlemler hiç şüphesiz güvenli bir veritabanı için yapılması gereken ilk adımlar olarak kabul edilebilir. Buna ek olarak kriptolama çözümleri ve yetkili kullanıcıların veritabanı içinde belli işlemleri yapmalarına engel olma, kritik verileri korumada büyük katkılar saglayacaktır. Ancak bu güvenlik çözümleri güvenilirliği kabul edilmiş bağlantılardan gelen sorgular için herhangi bir koruma sağlamayacaktır. Oracle Database Firewall, Oracle Veritabanı ve diğer veritabanları için dışarıdan içe doğru bir veri güvenliği yaklaşımında, en dıştaki kapsamlı veri güvenliği katmanını oluşturur.

Oracle Database Firewall Genel Bakış

Oracle Database Firewall, kara listeler, beyaz listeler, politikalar, akıllı ve doğru alertler, minimum yönetimsel yük getiren monitorleme imkanları sağlayarak aktif ve gerçek zamanlı verilerin korunmasını sağlar. Database firewall veritabanının konfigurasyonundan ve operasyonundan bağımsız olarak çalışabilen bir çözümdür. Veritabanlarına bağımsız olan bu altyapı veri sızdırılma riskini minimize etmeyi kolaylaştırmanın yanında, uyumluluk için gerekli şartları sağlamada büyük fırsatlar sunar.

İstemci tarafından gönderilen SQL cümlesinin, iyi niyetli olup olmadığını belirleme yöntemi Oracle Database Firewall dışındaki alışılagelmiş SQL firewallarında; regular expressionlar, string matching ve küme karşılaştırma gibi geleneksel yöntemler iken, Oracle Database Firewall akıllı politikalar üretebilme ve yeni açıklara karşı yönetimsel yük getirmeden adapte olabilme yetisine sahiptir. Firmaların, Oracle Database Firewall u “Blocking Mod” diye adlandırdığı ve belli SQL cümlelerine izin verip bazılarını engelleme gibi fonksiyonları kullanılabildiği gibi, sadece veritabanına gönderilen sorguları raporlama amaçlı olarak kullanılan “Monitoring Mod” ta da kullanmaları mümkündür.

Oracle Database Firewall

Oracle database firewall network seviyesinde bridged yada span port konfigürasyonunda konumlandırılarak geçen tüm SQL cümlelerini monitorleme imkanı sağlar. Geçen SQL cümleleri Oracle Database Firewall a spesifik güçlü ayrıştırma algoritmasıyla katagorize edilir. SQL cümleleri bazında ayrıştırma yapılıp politikalar belirlemek mümkün olduğu gibi, IP adresi, zaman, program ismi gibi diğer faktörler de kullanılarak politikalar belirlenebilir.

Tek bir Oracle Database Firewall sunucusu birçok veritabanını aynı anda koruyabilme yeteneğine sahiptir. Oracle Database Firewall un konumlandırılabileceği yapılara baktığımızda:

                In-line Network bloklama modu ve out-of-band pasif network monitorleme modu: In-line modu açmak gerekirse, istemci tarafından gönderilen SQL cümleleri aradaki Database Firewall un değerlendirmesinden geçtikten sonra ilgili veritabanına gönderilebildiği yada engellendiği mod anlaşılabilir. Out-of-band modu ise SQL trafiğinin Database Firewall a network seviyesinde switch üzerinde tanımlanmış span port üzerinden kopya edilerek değerlendirildiği mod olarak tanımlanabilir. Bu modlar birden fazla veritabanı için aynı anda çalışabilir.

                Heterojen, çoklu veritabanı destek modu: Örneğin tek bir Database Firewall sunucusunun Oracle 8i, 10g, 11g veritabanlarının yanında MS Sql Server ve Sybase veritabanlarını da koruma altına aldığı modda çalışma.

                Farklı modların birarada kullanıldığı konfigürasyon: In-line ve/veya out-of-band modları birlikte kullanılarak farklı veritabanları aynı anda koruma altına yada monitörleme altına alınabilir.

Oracle Database Firewall u Yüksek Süreklilik Mimarisini sağlayacak şekilde konumlandırmak, iki Database Firewall sunucu kullanılarak yapılandırılacak bir mimariyle mümkün. Boylelikle SQL monitorleme işleme sunuculardan birinin durması sonucu kesintiye ugramadan devam edebilmekte.

Güvenlir SQL Cümleleri Listesi Yaklaşımı

Oracle Database Firewall “Beyaz Liste” SQL cümleleri tanımlayarak bunların dışında kalan tehlikeli olabilecek sorguların çalıştırılmamasını mümkün kılar. “Beyaz Liste” SQL cümleleri uygulama tarafından gönderilen sorgular arasından oluşturulmuş SQL cümleleridir. Database Firewall, bu modda gelen sorgularla “Beyaz Liste” yi karşılaştırarak, duruma göre izin verme, engel olma yada alert oluşturma yollarını seçebilir.

Oracle Database Firewall belirlenen politika dışında gelen tüm sorguları bloklayarak aşağıdaki aksiyonları alabilir.

SQL Cümlesini Bloklama

Gönderilen SQL Cümlesi yerine başka bir SQL Cümlesi gönderme

SQL Cümlesini Bloklamanın yanında alert oluşturma

Çoğunlukla uygulanabilecek en iyi yöntem cümlelerin tehlikesiz başka bir cümle ile değiştirilmesi yöntemidir. Bu yöntem, hackerların bunu hissetmemesine ve uygulama açısından altyapıdaki bu değisikliğin hissedilmemesi avantajına sahiptir.

En basit hali ile sql cümlesi değiştirme yöntemi, politikaya aykırı şekilde gelen bir sql cümlesinin sonuç dönmeyen başka bir sql cümlesiyle yer değiştirmesi işlemidir.

Örnek SQL sorgu değişiklikleri

Kara – Liste SQL Sorguları Politikası Belirleme Yöntemi

”Beyaz Liste” SQL Sorgu listelerine izin verme yönteminin yanısıra, “Kara Liste”ler oluşturarak belli SQL sorgularına izin vermeme gibi yaklaşımla da çalısmak mümkündür. “Beyaz Liste” yaklaşımında da mümkün olduğu gibi belli sorguları belli IP adresleri, zaman aralığı veya program gibi faktörlerle kısıtlamak mümkün.

Harici List Güvenlik Yaklaşımı:

“Beyaz Liste” ve “Siyah Liste” yaklaşımlarına ek olarak bunların da üzerlerinde, bu politikaların uygulanmasına engel olabilen kurallar tanımlayarak, yönetimsel amaçlı izin verilen kullanıcıların politikalar dışında çalışma yapabilmeleri sağlanabilir.

Oracle Database Firewall Management Server

Oracle Database Firewall Management Server, merkezi olarak Database firewalllarda uygulanacak politikalari barındırmakla beraber, tüm database firewalllardan gelen logları ve veritabanlarında yapılan aktiviteleri bünyesinde toplayıp bu verilerin üzerinde tasarlanmış birçok raporun tutulduğu merkezi yapıdır.

Politika Yönetimi

Oracle Database Firewall, SQL dili analizine dayanan güçlü, basit ve kolay yönetilebilir polika yönetim araçlarını ürünle birlikte sunmaktadır. Oracle Database Firewall güvenilir SQL sorgu listesi yaklaşımını izleyerek pozitif bir güvenlik politikası sunabilir.  Oracle Database Firewall politika yönetimi, veritabanında aynı etkiye yol açan sorguları gruplandırarak, yönetim kolaylığı sunar ve bunun üzerine belli sorguların IP adresi, zaman aralığı, program gibi belli faktöre bağlı olarak çalıştırılmasını sağlar. Örneğin IP adresiyle kısıtlandırılmış bazı SQLlerin belli kişilerce çalıştırılabildiğinden emin olunması, canlı veritabanının güvenlik seviyesini yüksetmiş olur.

Raporlama

Oracle Database Firewall, kendi içinde Sarbanes-Oxley(SOX) gibi, Payment Card Industry (PCI) gibi, Health Insurance Portability and Accountability Act (HIPAA) ve benzeri güvenlik/uyumluk düzenlemeleri için hazırlanmış raporlari hazır olarak sunar. Oluşan tüm olayların detaylarını ve özet raporlarını sunma yeteneğine sahiptir. Oracle Database Firewall raporları istekler doğrultusunda şekillendirilebildiği gibi yeni rapor tiplerinin de oluşturulması mümkün. Tüm raporlar içerik olarak istenen şekilde hazırlanmak üzere zamanlana bir ve ilgili kişilere bu raporlar otomatik olarak e-mail yolu ile rapor formatında gönderilebilir.

Sonuç

Veritabanı sunucularında duran verilerin korunması, kademeli ve çok katmandan oluşan teknik ve yönetimsel aşamalar gerektirmektedir. Oracle Database Firewall, SQL-dilinde analiz yaklaşımı kullanılarak belirlenmiş politikalar kullanan güvenlik duvarı sunar. Database Firewall, uygulamadan gelen SQL sorgularını “Beyaz Liste”, “Kara Liste”, “Harici Liste” gibi politikalardan geçirerek, kötü niyetli SQL enjeksiyonlarına engel olur. Oracle Database Firewell, kendi içinde SOX, HIPAA ve PCI gibi güvenlik düzenleme oluşumlarına yönelik raporlar sunar. İstemciyle veritabanı sunucusunun arasına giren veya istemciyle veritabanı arasında giden trafiği pasif olarak üzerine alan yapıda konumlandırılması mümkündür. Oracle Database Firewall, veritabanı sunucularının önünde geniş çaplı olarak, iç ve dış saldırılara karşı bir güvenlik duvarı teşkil eder.

Yazar Hakkında

Sezgi Geçer
Email: sezgi.gecer@oracle.com

Linkplus, ISV Migration Center Teknik Danışmanı (DB Teknolojileri)

Diğer Yazıları

Hepsini Göster »»

Üye Girişi

Sosyal Medya'da Bilgi Çözümleri

Ücretsiz Oracle ürün demosu ve kampanya avantajlarından yararlanmak için üye olunuz.
Kampanyalar
Sadece birkaç adım ile tam entegre bir sistem elinizin altında! Sadece birkaç adım ile tam entegre bir sistem elinizin altında!
Şirketinizin veritabanı altyapısı hızla büyüyen verilerle başa çıkabilecek kapasitede mi? Şirketinizin veritabanı altyapısı hızla büyüyen verilerle başa çıkabilecek kapasitede mi?
RUEI ile kritik internet uygulamalarınızı yönetin, test edin, izleyin RUEI ile kritik internet uygulamalarınızı yönetin, test edin, izleyin
Diğer kampanyalar »»
Sektör Görüşleri
Tüm yazılar »»
Web Seminerleri
  • Database 11g
  • Business Intelligence
  • Oracle UCM
  • Application Express

Ücretsiz Web seminerlerine katılın

Powered By Oracle and LinkPlus
Hakkımızda | Site Haritası | Kullanım Koşulları | Oracle Ürünleri | İş Ortakları | İletişim

2012 © Bilgi Çözümleri