Oracle Database 23cに組み込まれたSQL Firewall (2023/08/29)
Oracle Database 23cに組み込まれたSQL Firewall (2023/08/29)
https://blogs.oracle.com/cloudsecurity/post/sql-firewall-now-built-into-oracle-database-23c
投稿者: Vipin Samar | Senior Vice President, Database Security
SQLインジェクション攻撃と危殆化されたアカウントは、データベースに格納されている機密データへのフル・アクセスを敵が得るために最も一般的な2つの手法です。ユーザーおよび開発者の教育は役に立ちますが、成功は依然として制限されています。場合によっては、アプリケーション・コードの修正が、特にパッケージ化されたアプリケーションやレガシー・アプリケーションに対して実行できないことがあります。Webアプリケーション・ファイアウォール(WAF)は、SQLインジェクション攻撃を軽減するために主張しますが、攻撃者はこれらのパターンマッチング・アプローチをバイパスできます。許可リストベースおよびネットワークベースのSQL Firewall、ローカルおよび暗号化トラフィックのためではなく、より強力な軽減を提供します。さらに、SQL問合せを完全に分析するために必要なフル・ランタイム・コンテキストはありません。
データベースに格納されたデータの高い価値を考慮するには、SQL Firewallが必要です。SQL Firewallは、例外が発生した場所に関係なく、すべてのSQLトラフィックを包括的にスキャンします。SQLをフル・コンテキストで理解できるファイアウォールの機能に左右されます。このコンテキストは、シノニム、オブジェクト名または動的に生成された名前、現在のユーザー・コンテキストを解決するステップなど、SQL文の実行中にデータベースが構築するものです。セキュリティを実践するには、ファイアウォールをワイヤ・スピードで実行し、1つのデータベースのみでなくデータベースのフリートを簡単に管理および監視できるようにする必要があります。
Oracle Database 23cのSQL Firewall統合
Oracle Databaseセキュリティ・チームが対応できないというのは、まさにこの課題でした。強力なSQL FirewallをOracle Database 23cに直接統合して、SQLインジェクション攻撃とアカウントの危殆化の問題に効果的に対処することを発表できることを嬉しく思います。同じくエキサイティングなのは、パフォーマンスへの影響を最小限に抑えることができる簡単なソリューションを提供することです。
新しいOracle SQL Firewallには、次の機能と利点があります。
- Oracle SQL Firewallは、PL/SQL (OracleのSQLプロシージャ拡張)からの接続およびSQL文を含むすべての受信データベース接続およびSQL文を、ローカルかネットワーク経由かに関係なく、暗号化されたテキストまたはクリア・テキストで検査します。明示的に認可されたSQLのみが許可されます。その他すべてのSQLでは、問題のある文がログに記録され、違反が発生します。この文は、認可ユーザーがまだ実行していないSQLインジェクション攻撃または新しいSQL文である可能性があります。
- お客様は、不正なSQLをブロックするか、ログのみを記録するかを決定できるため、攻撃の処理方法を柔軟に行うことができます。
- Oracle SQL Firewallは、完全なSQLおよび処理コンテキストを評価します。Oracle Databaseサーバー内で実行することで、ファイアウォールでは、SQL文、シノニム、動的に生成されたオブジェクト名、およびPL/SQLユニットで動的に生成されたSQL文のエンコーディングを簡単に処理できます。
- Oracle SQL Firewallは、認可されたSQL文および関連する信頼できるデータベース接続パスの許可リストを利用し、残りをブロックします。SQL Firewallをトレーニングするには、アプリケーション・アカウントの認可されたSQL文を取得するだけです。その後、ファイアウォールは、認可されていないSQLおよび潜在的なSQLインジェクション攻撃を検出して防止します。
- Oracle SQL Firewallでは、信頼できるIPアドレス、オペレーティング・システム・ユーザー名またはプログラム名からの接続をブロックすることもできます。この関数は、アプリケーションの許可リストの作成中に、保護をすぐに実施する場合に便利です。この機能により、データベースへの直接アクセスが、信頼できるエンドポイントからのみ許可されます。
Oracle SQL Firewallをデータベース内に構築し、その実装を合理化することで、Oracle SQL Firewallのパフォーマンス・オーバーヘッドは無視できるので、すべての本番ワークロードに適しています。Oracle SQL Firewallはデータベース内にあるため、外部コンポーネントのデプロイや管理が不要になり、デプロイメントが大幅に簡素化されます。
図1は、Oracle SQL FirewallがOracle Database 23cカーネル内でインラインで動作し、受信するすべてのSQL文をオリジンに関係なく評価する方法を示しています。Oracle SQL Firewallは、ルール違反を検出すると、常に違反ログを生成します。ただし、SQL文の違反を許可またはブロックするようにSQL Firewallを構成できます。
図1: Oracle Databaseカーネルに組み込まれたOracle SQL Firewall
Oracle SQL Firewallの管理
Oracle SQL Firewallポリシーは、アプリケーション・アカウントか直接データベース・ユーザー(レポート・ユーザーやデータベース管理者など)かに関係なく、データベース・アカウント・レベルで機能します。この柔軟性により、データベース管理者またはアプリケーション・アカウントのどちらかから、データベースの保護レベルを段階的に構築できます。
Oracle SQL Firewallは複数の方法で管理できます。スタンドアロン実装があり、コマンドによる管理に精通している場合は、SYS.DBMS_SQL_FIREWALLパッケージのPL/SQLプロシージャをお薦めします。
UIベースの管理または複数のOracle SQL Firewallを一元的に管理する場合は、Oracle Data Safeが回答となります。ユーザーおよびセキュリティ評価、アクティビティ監査、機密データ検出およびデータ・マスキングでOracle Data Safeを使用しているお客様の場合は、同じData Safeクラウド・サービスを使用してOracle SQL Firewallを管理し、投資を保持できるようになりました。
Data Safe統合コンソールが、SQL Firewallを管理するために拡張されました。管理者はコンソールを使用して、アプリケーション・アカウントのSQLアクティビティの収集、収集の進捗のモニター、取得したSQLアクティビティからの許可リスト・ルール(許可されたコンテキスト、許可されたSQL文)を含むOracle SQL Firewallポリシーの作成、およびSQLファイアウォール・ポリシーの有効化を行うことができます。ファイアウォール・ポリシーが有効になっている場合、Data Safeはデータベースからファイアウォール違反ログを自動的に収集し、それらをData Safeに格納します。これらのログは、図2に示すように、データベース・フリート全体のオンライン分析およびレポートに使用できます。
Data Safe REST API、ソフトウェア開発者キット(SDK)、CLI、およびTerraformを使用して、さらなる自動化と統合を行うことができます。より大規模なOracle Cloud Infrastructure (OCI)エコシステムを使用して、Oracle SQL Firewallの違反とそのアラートおよび通知を統合することもできます。
図2: Oracle Data SafeのSQL Firewallダッシュボード
Oracle SQL Firewallは、認証、アクセス制御、暗号化および監査のために、業界をリードするデータベース・セキュリティ機能をOracle Database内で補完し、すべての着信SQL文を検査し、認可されたSQL文のみを許可します。Oracle SQL Firewallソリューションは、Data Safeを介して比類のないセキュリティと管理の利便性を提供します。
今すぐ始めましょう
Oracle Database 23cでOracle SQL Firewallを管理するためのOracle Data Safeの限定的可用性プログラムにご参加いただけます。一般公開前に試してみるには、「Oracle SQL Firewall Limited Availability Program」というタイトルのOracle Data Safeでサービス・リクエストを開きます。
Oracle Database 23cのOracle SQL Firewallのデモは、『Oracle Database 23c FreeでのSQL Firewallの使用』を参照してください。PL/SQLまたはOracle Data Safeを使用してSQL Firewallを管理することもできます。Data Safeを使用したSQL Firewallの管理のデモは、Oracle Database 23cの新しいセキュリティ機能であるSQL Firewallの概要を参照してください。
To learn more, see to the following resources:
- GitHub SQL Firewall sample demo script
- Chapter 13 Using SQL Firewall of Oracle Database 23c Security Guide
- Oracle Database Free – Developer Release forum
コメント
コメントを投稿