Administrator pod kontrolą

Administrator jako superużytkownik teoretycznie może przejrzeć wszystkie dane firmowe. Choć jest to osoba zaufana, firma powinna jednak mieć kontrolę także nad nim.

Administrator jako superużytkownik teoretycznie może przejrzeć wszystkie dane firmowe. Choć jest to osoba zaufana, firma powinna jednak mieć kontrolę także nad nim.

Należy zadbać, aby administrator systemu operacyjnego nie miał dostępu do bazy danych bez modyfikacji odpowiednich uprawnień. Dzięki audytowi, można zaś przejrzeć po fakcie zmiany, które wykonywał. Administrator bazy nie powinien móc wykonywać polecenia SELECT, INSERT, czy UPDATE w obszarze bazy, oznaczonym jako wrażliwy. Z jednej strony jest to zabezpieczenie firmy przed kradzieżą danych, z drugiej - narzędzie zabezpieczające administratora przed podejrzeniami dotyczącymi takich zachowań. Prawidłowa definicja wrażliwych obszarów danych powinna objąć część danych finansowych, dane osobowe czy informacje o kontrahentach.

Podział obowiązków

Czasami ważne jest nie tylko miejsce danych, liczy się także warunek, który wyrażono w tym zapytaniu. Pobranie dwustu pierwszych kontrahentów z listy alfabetycznej niekoniecznie może być tragedią dla firmy, ale pobranie dwustu kontrahentów o największych obrotach i największym kredycie kupieckim – wygląda zupełnie inaczej. Sprawcą niekoniecznie musi być administrator, może być nim włamywacz, który w ten czy inny sposób posiądzie uprawnienia systemowe. Zabezpieczenie dostępu do wrażliwych danych z konta administratora daje dodatkową ochronę.

W tradycyjnym modelu podział obejmował zwykłych użytkowników, którzy pracowali z bazą, posiadając do niej różne uprawnienia oraz superużytkowników, którzy administrowali bazą. Ten podział już nie wystarcza. Należy wprowadzić dodatkowy podział ról, obejmujących najważniejsze zagadnienia administracji systemem. Są nimi: administrator systemu operacyjnego, menedżer kont, administrator bezpieczeństwa oraz administrator bazy.

Administrator systemu operacyjnego nie ma uprawnień do bazy danych, jego zadaniem jest utrzymanie systemu we współpracy z administratorem bazy danych. Menedżer kont odpowiada za operacje związane z tworzeniem i usuwaniem kont. Tylko on będzie miał do tego uprawnienia. Administrator bezpieczeństwa zajmuje się systemem zabezpieczeń, ale nie ma uprawnień do samej bazy. Administrator bazy danych może wykonywać swoje zadania (także kopie bezpieczeństwa, aktualizacje, strojenie bazy), ale nie ma uprawnień do pobierania wrażliwych danych, nie może także manipulować uprawnieniami do bazy. W ten sposób działa Oracle Database Vault.

Tylko dobre połączenia

Konfiguracja aplikacji oraz bazy powinna obejmować ochronę przed połączeniami inną drogą niż dozwolona. Serwer, baza danych czy zapora sieciowa powinny odrzucać połączenia przychodzące spoza dozwolonych adresów i poza ustalonymi godzinami pracy. Niektóre bazy umożliwiają odrzucanie połączeń przychodzących z konkretnych aplikacji. W ten sposób można zablokować połączenia przychodzące poza aplikacją, np. próby pobrania danych za pomocą narzędzi programistycznych. Przygotowanie odpowiedniego zestawu uprawnień umożliwia kontrolowanie przez bazę, kto, z jakiej stacji roboczej, z jakiej aplikacji i którą drogą może się łączyć.

Próba pobrania danych nawet przez administratora (lub hackera, który ukradł jego hasło) za pomocą narzędzia SQL*Plus i prawidłowego hasła, spowoduje odrzucenie połączenia i alarm. Do tego można dodać specjalne reguły, limitujące czas logowania się administratorów do konkretnych dni, związanych z utrzymaniem bazy, a także proces zatwierdzania pracy na dwie ręce, przy użyciu drugiego pracownika. Nawet tak proste zabezpieczenia okazują się skuteczne, gdy napastnik nie wie, że zostały zastosowane.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200