Oracle Database Vault (Access Control)
by 담배맛구마0. Oracle Database Vault
SQL 작업을 강력하게 통제할 수 있는 접근 제어 솔루션이다.
기존의 접근 제어 솔루션은 추가적인 H/W와 Server 등이 필요했는데 Oracle Database Vault는 Oracle에서 제공해주기 때문에(?) Database 내부에서 동작한다. 따라서 설치하는데 추가적인 장비가 필요없고 그냥 기능만 추가해주면 된다.
Oracle Database 9.2.0.8 / 10.2.0.3 / 10.2.0.4 / 11gR1이상에서 지원한다.
가장 중요한 특징은 기존의 Oracle Database의 기본 접근 제어 기능인 VPD의 한계인 SYS사용자에 대한 접근제어도 가능하다는 것이다. 예를 들어 일반적인 상황에서는 임원들만 아는 각종 정보(DB에 저장된)들을 DBA(SYSTEM/SYS)들이 볼 수 있지만 Oracle Database Vault를 적용해서 접근 제어를 하면 모든 권한을 가진 DBA들도 조회가 불가능해진다.
1) DBCA(Database Configuration Assistance)를 실행해서 구성옵션을 변경해준다.
데이터베이스 옵션 구성을 누르고 다음
Oracle Label Security를 누르면 Oracle Database Vault가 선택가능해진다.
2) Oracle Database Vault 인증서
- Database Vault 소유자 : dbvowner / Oratest1#
- Database Valut 계정 관리자 - dbvaccmgr / Oratest1#
3) Database Vault 관리자 화면으로 로그인 (https://____:1158/dva)
em처럼 웹으로도 관리가 가능하다.
다음과 같은 관리 영역이 있다.
2. Database Vault 동작 과정의 이해
결론적으로 말하면 규칙 집합(Rule Sets)을 이용해서 보안 영역과 명령 규칙을 정의내려 접근 제어를 하겠다!
용어 정리를 하자면
보안 영역(Realm)
객체(Object)들을 정의해 놓고 이 객체에 어떤 사용자들(Owner/Participant)이 접근가능할 것인가를 정의한다.
여기에 지정되자 않은 사용자는 원천적으로 접근할 수 없도록 강력한 통제를 수행한다.
객체를사용할 수 있는 사용자들을 정의할 때 규칙집합을 사용할껀지를 선택할 수 있다.
규칙 집합을 통해 해당 사용자가 규칙집합에서 정의한 조건을 만족할 때에만 접근 가능해진다
명령 규칙(Command Rule)
특정 SQL문이 반드시 지정된 지정된 규칙 집합의 조건을 만족할 때만 실행되도록 제어
규칙 집합(Rule Sets)
보안 영역에 접근하거나 명령 규칙을 실행하고자 할 때 만족해야 할 조건
계수(Factor)
접속IP / 사용자 이름 등 과 같은 외부 환경 변수의 값을 저장
규칙 집합에서 조건을 기술할 때 이용
보통 환경 변수들을 생각하면된다. 접속자의 IP 등
3. Database Vault 실습
'한아전(독학사)의추억' 카테고리의 다른 글
간단한 PHP 게시판 소스 (4) | 2015.04.28 |
---|---|
IPv6 주소가 두개이다. (0) | 2014.11.04 |
Cisco Packet Tracer Routing 설정하기 (0) | 2014.11.04 |
Secui.Wall 사용기 - 엄청 옛날 버전 (0) | 2014.11.03 |
141103_데이터베이스보안_TDE(Transparent Data Encryption) (0) | 2014.11.03 |
블로그의 정보
정윤상이다.
담배맛구마