Oracle Advanced Security обеспечивает безопасность и конфиденциальность данных в сети, устраняя утечку данных, потерю данных, противодействуя атакам по подмене информации или атакам типа «person-in-the-middle». Все каналы связи в Oracle Database могут быть зашифрованы с помощью Oracle Advanced Security. Для баз данных, содержащих наиболее важную инфор-мацию ограничение доступа за счет строгой аутентификации является первым рубежом многоуровневой защиты. Oracle Advanced Security обеспечивает ряд решений для строгой аутентификации, включая Kerberos, инфраструктуру открытых ключей, RADIUS и DCE для Oracle Database 10g.
Промышленный стандарт шифрования и контроля целостности данных
Oracle Advanced Security защищает все входящие и исходящие каналы связи в СУБД Oracle. Предприятия имеет выбор между использованием родных алгоритмов шифрования/обеспечения целостности в Oracle Advanced Security и SSL для защиты данных в сети. Некоторые типичные сценарии, требующие сетевое шифрование:
• Сервер базы данных должен находиться за межсетевым экраном, и пользователи получают доступ к серверу посредством клиент-серверного приложения
• Передача данных между серверными приложениями в DMZ и базой данных, которая находится за вторым межсетевым экраном, должна быть зашифрована.
Алгоритмы родного шифрования и обеспечения целостности в Oracle Advanced Security не требуют внедрения PKI. С каждой последующей версией БД добавляются новые алгоритмы шифрования, по мере того как они улучшают промышленные свойства. Последнее добавление – это Advanced Encryption Standard (AES), усовершенствованный в плане безопасности алгоритм и выполняемый вместо DES. Полный список алгоритмов Encryption и Data integrity:
• AES (128,192 и 256 бит)
• RC4 (40, 56,128,256 бит)
• 3DES (2 и 3 ключа; 168 бит)
• MD5
• SHA1
Шифрование на основе SSL доступно для предприятий, которые выбрали для использования инфраструктуру открытых ключей. В версии Oracle Advanced Security 10g появилась поддержка протокола TLS 1.0 Oracle Advanced Security предоставляет набор шифров AES вместе с запуском протокола TLS 1.0 в Oracle Database 10g.
SSL
Oracle внедряет протокол SSL для шифрования данных, которые передаются из баз данных клиентов в СУБД и обратно. Он охватывает данные Oracle Net Services (он же в прошлом Net8), LDAP, толстого JDBC, и IIОР фо-мата. SSL предоставляет пользователям альтернативный исходному протоколу Oracle Net Services способ шифрования, который поддерживается в Oracle Advanced Security (ранее известный как Advanced Networking Option), начиная с версии Oracle7. Преимущество SSL в том, что это действующий стандарт Интернета, и может использоваться клиентами, которые не работают с протоколами Oracle Net Services.В трехуровневой системе, поддержка SSL в базе данных означает, что обмен данными между средним уровнем и базой данных может быть зашифрован при использовании SSL. Протокол SSL завоевал доверие пользова-телей, и это, возможно, наиболее широко применяемый и хорошо понимаемый в использовании протокол на сегодняшний день. Программная реализация SSL в Oracle поддерживает три стандартных метода аутентификации, включая анонимный метод (Диффи – Хеллман), только серверную аутентификацию, используя протоколы X.509 certificates, и взаимную (клиент-серверную) аутентификацию с X.509. Oracle Application Server также поддерживает SSL шифрование между тонкими клиентами и Oracle Application Server, так же как между Oracle Application Server и Oracle Data Server. Как и в Oracle, анонимная, только серверная и клиент-серверная аутентификация поддерживается X.509 .
Безопасность JDBC
JDBC, интерфейс Java, который обеспечивает соединение с реляционной базой данных из программ Java. Sun Microsystems и компания Oracle совместно определили стандарт JDBC, а Oracle, как индивидуальный провайдер, дополняет и расширяет стандарт при помощи собственных JDBC-драйверов. Oracle использует два типа JDBC драйверов: толстые JDBC-драйвера, надстроенные поверх клиента C-based Oracle Net Services, и тонкие (чистая Java) JDBC-драйвера для поддержки загружаемых приложений. В связи с тем, что толстый JDBC использует полный стек передачи данных Oracle Net Services для клиента и сервера, он может использовать преимущества шифрования Oracle Advanced Security и механизмов аутентификации. Так как тонкие JDBC драйверы предназначены для использования с загружаемыми приложениями в Интернете, Oracle включает 100% реализацию Java в шифровании Oracle Advanced Security и алгоритмах обеспечения целостности, для использования с тонкими клиентами.
Простая конфигурация, без изменений приложений
Настройка параметров сети для сервера и/или клиента дает возможность применения функций шифрования/целостности. Большинство предприятий, могут легко применять эту технологию, поскольку она не требует изменений в приложении.
Средства строгой аутентификации Oracle Database 10
Несанкционированный доступ к информации – это очень старая проблема. Сегодня деловые решения принимаются на основе информации, собранной из терабайтов добытых данных. Защита важной информации – это важнейший фактор способности бизнеса оставаться конкурентоспособным. Доступ к ключевым хранилищам данных, таким как Oracle Database 10g, которые могут содержать ценную информацию, должен быть предоставлен только тогда, когда пользователи идентифицированы и прошли аутентификацию. Проверка пользовательской идентификационной информации подразумевает сбор большего количества информации, нежели стандартные имя пользователя и пароль. Oracle Advanced Security предоставляет фирмам возможность усилить их существующие инфраструктуры безопасности, такие как технология Kerberos, Инфраструктура Открытых Ключей (PKI) и RADIUS для средств строгой аутентификации Oracle Database 11g. Списки аннулированных сертификатов могут быть сохранены в файловой системе, Oracle Internet Directory или используя Пункты Распределения CRL (CRL Distribution Points). Способность серверов Oracle Database или клиентов/пользователей использовать реквизиты доступа PКI, сохраненные в смарт-карте или другом аппаратном модуле памяти, используя отраслевой стандарт PKCS#11. Это особенно полезно для пользователей, так как это предоставляет мобильный доступ к базе данных через приложения типа клентсервер или веб-интерфейс. Сохранение реквизитов доступа сервера в аппаратных модулях обеспечивает дополнительный уровень безопасности, который требуют некоторые внедренные системы.
Аутентификация Kerberos
Oracle Advanced Security включает клиент Kerberos, совместимый с мандатом технологии Kerberos v5, которая издана Массачусетским технологическим институтом (MIT). Версия 5 совместима с любым сервером Kerberos или Microsoft KDC. Предприятия могут продолжать работать в гетерогенной среде, используя решение Oracle Advanced Security. Как только база данных Oracle зарегистрирована на сервере технологии Kerberos и сконфигурирована для поддержки сервиса Kerberos Service, пользователи предприятия могут произвести аутентификацию в базу данных без каких-либо дополнительных сложностей. Организации, которые уже используют сервер технологии Kerberos и его адаптер, могут переместить своих внешних пользователей базы данных в каталог, чтобы извлечь выгоду от централизованного управления пользователями.
Поддержка PKCS#12
Oracle Advanced Security поддерживает сертификаты X.509 сохраненные в контейнере PKCS#12, обеспечивая накопителю Oraсle поддержку приложений 3-х фирм, таких как Netscape Communicator 4.x и Microsoft Internet Explorer 5.x, и предоставляя накопителю мобильность в рамках операционных систем. Пользователи, которые имеют существующие учетные данные PKI, могут их экспортировать в формате PKCS#12 и многократно использовать в Oracle Wallet Manager, и наоборот. Таким образом PKCS#12 увеличивает функциональную совместимость и уменьшает стоимость развертывания PКI для организаций.
Поддержка PKCS#11, Смарт–карты/Аппаратные Модули Безопасности
Oracle Wallet – это программный контейнер, который содержит в себе секретный ключ и другие доверительные пункты сертификата. Oracle Advanced Security 10g обеспечивает поддержку отраслевого стандарта PKCS#11. Это позволяет создавать и хранить секретные ключи, которые ранее хранились в файловой системе, в безопасных устройствах, таких как аппаратный модуль безопасности или смарт-карта, которые доступны на рынке.
Аутентификация с использованием PKI для Oracle Database 10g Enterprise Users
Начиная с Oracle8i, Oracle Advanced Security поддерживает аутентификацию для пользователей каталога к базе данных Oracle, используя цифровые сертификаты, хранящиеся в каталоге. Oracle расширяет интеграцию PKI и функциональную совместимость при помощи:
• Поддержки PKCS#11
• Хранение накопителя в Oracle Internet Directory
• Множественных сертификатов на основе накопителя
• Устойчивого шифрования накопителя
• Сервера сертификатов OracleAS
Хранение ключей пользователя в Oracle Internet Directory
Создание пользовательских «тубусов» для хранения ключей в Oracle Enterprise Security Manager – часть процесса регистрации пользователя. Хранение ключей осуществляется в справочнике Oracle Internet Directory или другом совместимом с LDAP каталоге. Oracle Wallet Manager может загружать «тубусы» в LDAP и извлекать их из LDAP. Сохранение «тубуса» для ключей в централизованном LDAP-каталоге поддерживает передвижение пользователей, позволяя получать доступ из любой точки местоположения или с любого устройства устройств. Это обеспечивает непротиворечивую и надежную аутентификацию пользователя, предоставляя централизованное управление «тубусом» для хранения ключей на протяжении всего жизненного цикла накопителя.
Поддержка множества сертификатов
Oracle Wallets поддерживает множество сертификатов на накопителе, включая:
• Сертификат подписи протокола S/MIME;
• Сертификат кодирования протокола S/MIME;
• Сертификат, подписывающий код;
Oracle Wallet Manager версии 3.0 поддерживает множественные сертификаты отдельной цифровой единицы в маске – с множественными парами секретного ключа в маске (каждый секретный ключ может соответствовать только одному сертификату). Это допускает объединение и более безопасное управление PKI полномочиями пользователей.
Устойчивое шифрование данных в Wallet
Секретные ключи, связанные с сертификатом X.509, требуют устойчивого шифрования по безопасным каналам. Oracle заменяет DES-шифрование тройным DES, который является существенно более устойчивым алгоритмом шифрования и обеспечивает мощную защиту для хранения ключей в Oracle.
Поддержка протокола аутентификации (RADIUS)
Oracle Advanced Security снабжен протоколом RADIUS, который позволяет Oracle DataBase 10 соблюдать аутентификацию и полномочия, утвержденные на сервере RADIUS. Эта функция особенно полезна для фирм, которые заинтересованы в двухфакторной аутентификации, которая устанавливает Вашу личность на основе того, что Вы знаете (пароль или ПИН – код) и том, чем Вы владеете (карту с переменным паролем), предоставленную неким производителем карт с переменным паролем. RADIUS (RFC #2138) это распространенная система, которая обеспечивает удаленный доступ к сетевым службам и давно признанна как отраслевой стандарт для удаленного и контролируемого доступа к сети. Полномочия пользователя в RADIUS и информация доступа определены на сервере RADIUS для того, чтобы дать возможность этому внешнему серверу выполнить аутентификацию, авторизацию и учет, когда это требуется. Поддержка RADIUS в Oracle – это реализация протоколов клиента RADIUS (RADIUS Client), которые дают возможность базе данных предоставить пользователям RADIUS аутентификацию, авторизацию и службы учета. Они посылают запрос аутентификации на сервер RADIUS и действуют в соответствии с откликами сервера. Аутентификация может произойти в синхронном или асинхронном режиме аутентификации и является частью конфигурации Oracle для поддержки RADIUS. Oracle Advanced Security предоставляет пользователям RADIUS аутентификацию, разрешения авторизации, сохраненные в RADIUS и основные службы учета при обращении к базе данных Oracle .
