Infofence – Oracle Veritabanı Güvenlik Sistemi

infoFence Nedir?

infoFence, Helezon Bilgisayar ve Danışmanlık tarafından geliştirilmiş olan, Oracle veri tabanında çalışan bir güvenlik ve denetleme yazılımıdır

KAPSAMI

  • Bağlantı Denetimi
  • DDL/DCL (Veri Tabanı Tanımlama Komutları) Denetimi
  • DML (Veri Tabanı Kayıt İşleme Komutları)/SORGU Denetimi
  • Veri Tabanı ve Uygulama Hata Tespit Sistemi
  • Özel Tablo Erişim Loglama Sistemi Oracle (10g,11g ve12c) veri tabanı içinde bir ürün olarak Veri Tabanı Trigger’ları ve Oracle Database Vault Option ile entegre şekilde çalışır.

Oracle Database Vault Option Entegrasyonu

Oracle Database Vault Veri Tabanı içerisinde çalışan bir güvenlik platformudur. Özellikle sınırsız yetkileri olan DBA’lerin yetkilerini budayarak görevler ayrılığını tesis eder. Oracle’dan lisans gerektiren bir seçenektir. infoFence kendi özgün tasarımı ile Oracle Database Vault’u entegre ederek güvenlik ve yönetiminde büyük fark oluşturmaktadır.

Maksimum Güvenlik

  • infoFence Oracle veri tabanlarında bir güvenlik katmanıdır.
  • Veri tabanına bağlanan tüm kullanıcılar oturum bilgileri ile tanımlanır ve mevcut oracle yetkileri değiştirilmeden yeniden yetkilendirilir.
  • infoFence ile kullanıcıların erişimi, tanım değişiklikleri, sorgulama ve veri değişiklikleri işlemleri kolaylıkla kontrol altına alır.
  • Engelleme yapmadan önce dinleme modu ile analiz ve loglama yapma imkanı verir. Bu sayede üretim veritabanının kesintisiz çalışma devamlılığı sağlanır.
  • infoFence, veri tabanı güvenlik açıklarını ve gizli arka kapıları kapatır.

Bağlantı Denetimi

  • Kullanıcı, veri tabanı şifresini bildiği halde infoFence’ten ayrıca yetkilendirilmediyse veri tabanına bağlanamaz.
  • infoFence’de yetkilendirme yapılmadığı takdirde DBA’ler ve en güçlü kullanıcı SYS (as sysdba) bile veri tabanına bağlanamaz. Bunun için DBA ve SYS’den hiçbir yetki alınmaz.

DDL/DCL Denetimi

  • Veri tabanına ortak kullanıcı-şifre ile direk bağlantı yapılsa bile ALTER, DROP, CREATE, GRANT, REVOKE gibi DDL/DCL komutları infoFence ile verilen farklı yetkiler dahilinde yapılır.
  • En güçlü kullanıcı SYS (as SYSDBA) bile infoFence’den yetki verilmediyse hiçbir Objede DDL/DCL müdahalesi yapamaz.
  • Veri tabanında bütün DDL/DCL hareketleri loglanır, kaynak kodların tarihçesi tutulur.
  • İstendiğinde veri tabanı Schema ve Objeleri DDL/DCL operasyonlarına karşı korunur.

DML/SORGU Denetimi

  • Kritik veriler artık güvendedir. DBA’ler ve Oracle veri tabanının en güçlü kullanıcısı SYS’nin bile kritik verileri görmesi ve değiştirmesi engellenir. Yetkisiz girişimler kayıt altına alınır.
  • Veri tabanında kullanıcıların belirlenen tablolarda INSERT, UPDATE, DELETE/TRUNCATE ve SELECT işlemlerinin engellenmesi sağlanır.
  • Mevcut yapıyı analiz etmek için engellenecek tablo önce DİNLEME modunda tanımı yapılır. Daha sonra GÜVENLİK moduna geçirilerek engelleme yapması sağlanır.

Hata Tespit Dedektörü

  • Oracle veri tabanında oluşan hatalar alertSID.log dosyasına çıkar. Veri tabanında çalışan hem uygulama hem de veri tabanı hataları infoFence ile tespit edilip loglanır.
  • Kim hangi makineden hangi program ile ne hata aldı bilgisi tutulmaktadır.
  • Veri tabanı hataları ile uygulama hataları oluştuğunda, eğer tanımlı ise infoFence’den otomatik alarmların çalışması sağlanır.
  • Alarmlarda çalışmak üzere kullanıcı kendi özel PL/SQL kodunu yazabilir. Örneğin tablo veya view bulunamadı (ORA-00942) hatası olunca otomatik e-posta atılabilir.

Loglamalar

  • Bağlantı girişimleri, DDL, DCL, DML, SORGU erişim operasyonları ile hata tespit durumları loglanır.
  • İsteğe göre kullanıcıların tablo erişimleri koşullu olarak loglanır. Örneğin veri tabanına direk olarak bağlanan kullanıcıların tablo erişimleri loglanıp, Uygulama sunucusundan gelen kullanıcıların da loglanmaması sağlanabilir.
  • Bağlantı girişimi ve DDL/DCL operasyon loglarında checksum kontrolü vardır. Logların şifrelenmiş halleri de ayrıca saklanır.

LDAP OID Desteği

  • Oracle Internet Directory’de (OID) tanımlı bir kullanıcı Enterprise User Security (EUS) kullanarak veri tabanına bağlanabilir. Kullanıcının infoFence’de yetkilendirilmesinde EUS kullanıcı ismi de kullanılır.

Kimlik Yönetimi Desteği

  • Kimlik Yönetim Sistemleri ile entegrasyonu kolaylıkla yapılabilir.
  • Kullanıcı tanımında tanımlayıcı alan ile INFOFENCE_PANEL paketindeki API’ler Kimlik Yönetim Sistemlerinden çalıştırılarak entegrasyonu kolaylıkla sağlanır.

Raporlama

  • infoFence arayüzünden kapsamlı raporlar alınır.

Performans

  • 10000 (on bin) eş zamanlı kullanıcılı ve çok işlem yoğunluklu Oracle RAC sistemlerinde infoFence ile ilgili yapılan performans ölçümleri son derece başarılı olmuş ve hiçbir top query veya bekletme durumu (wait event) olmamıştır.

Detaylı bilgi için: