18. Juni 2012

Zugriffskontrolle auf Daten auch außerhalb der Datenbank

Was ist eigentlich, wenn die Daten die Datenbank verlassen?

Die Frage ist ganz einfach zu beantworten: "Dann verlassen sie den Zugriffskontrollschutz der Datenbank." D.h. im Klartext sie haben es nicht mehr unter Kontrolle war mit ihren Daten passiert.

Ein simples Beispiel: Es kommt sehr häufig vor, dass Daten aus der Datenbank exportiert werden. Hier steht ein geeignetes Tool zur Verfügung, welches ein Export ermöglicht (expdp). Das Ziel einer exportierung ist entweder ein einfaches Schema Backup für ein späteres Recovery mittels dem Import-Tool (impdp) oder aber die exportierten Daten sollen in einer anderen Instanz importiert werden.

Wenn ich nun Daten exportieren möchte, gehe ich wie folgt vor (Hier Export des kompletten HR Schemata):
$ expdp hr/hr DIRECTORY=DDIR dumpfile=n.dmp
 Sind die Daten exportiert, so finde ich die erstellt Dump-Datei=n.dump im entsprechenden Verzeichnis (DDIR) und möchte den Inhalt dieser binären Datei lesen. Hierfür rufe ich den vi Editor auf.
$ vi n.dmp
 Wie man in der Grafik sehen kann, ich der Inhalt im Klartext lesbar. Es existiert kein Zugriffsschutz auf diese vielleicht sehr sensiblen Daten (in unseren Beispiel, finden sich die Gehälter der Mitarbeiter).
Export-Dump unverschlüsselt
Fazit: Für jeden Export-Dump, der keine eingeschaltete Zugriffskontrolle besitzt, verliert man die Kontrolle über seine Daten.

Über diesen Fakt muss man sich bewußt sein. Es gibt verschiedene Möglichkeiten, sich diesem Risiko zu entledigen. Eine organisatorische Maßnahme wäre das Exportieren zu verbieten. Oder aber man verschlüsselt den Inhalt des Export-Dump und zwar mit Möglichkeiten, die die Datenbanken anbietet, um so eine vollständigen und transparenten Zugriffsschutz mit Datenbankmitteln weiter zu verfolgen.

Oracle bietet im Export-Tool verschiedene Möglichkeiten an, die Zugriffskontrolle auch in dem Dump-File zu aktivieren. Mit dem folgenden Aufruf erzielen Sie z.B. , dass die Daten in dem Dump-File automatisch verschlüsselt werden.
$ expdp hr/hr DIRECTORY=DDIR dumpfile=s.dmp encrypted_password=“verschluesselt”
$ vi n.dmp  
Schaue ich mir die generierte Datei mit einem Editor an, so kann ich keine Daten lesen.
 Verschlüsselter DUMP-File

Fazit:
Immer das Verlassen des datenbankbasierten Zugriffskontrollsystem beachten! Ab 11g lassen sich Export Dumps verschlüsseln.

Hinweis und Whitepaper zu diesem Thema:
http://download.oracle.com/otndocs/products/database/enterprise_edition/utilities/pdf/datapump11g_encrypted_1106.pdf

Keine Kommentare:

Kommentar veröffentlichen