Oracle veritabanları için en az ayrıcalık ilkesinin uygulanması (Principle of Least Privilege)

27 Eyl by Ahmet Duruöz

Oracle veritabanları için en az ayrıcalık ilkesinin uygulanması (Principle of Least Privilege)

Bilgisayar güvenliğinde önemli bir kavram olan en az ayrıcalık (POLP) ilkesi, kullanıcıların erişim haklarını işlerini yapmak için ihtiyaç duydukları asgari izinlerle sınırlandırmaktır.

En az ayrıcalık ilkesinde bir kullanıcının ihtiyacı kadar yetki verilmelidir. Bu sayede , kullanıcı ne yapması gerekiyorsa , sadece onunla ilgili yetkilere sahip olacaktır.

Veritabanlarında da bu ilkeyi uygulayarak , güvenliği üst seviyelere çıkarabilirsiniz.

Oracle veritabanlarında en az ayrıcalık ilkesini uygulamak için :

  • Data dictionary’yi koruma altına alın. 07_DICTIONARY_ACCESSIBILITY parametresi FALSE iken ANY TABLE yetkisine sahip kişilerin data dictionary tabanlı tablolara erişimi kısıtlanır. Parametrenin varsayılan değeri FALSE şeklinde olup değiştirilmemesi gerekmektedir.
  • PUBLIC şemasından gereksiz yetkileri alın. UTL_SMTP, UTL_TCP, UTL_HTTP ve UTL_FILE gibi paketlerde PUBLIC şemasının execute yetkisi bulunmaktadır. Bunlar gerekmiyorsa alınabilir.
  • Network erişimini kontrol için erişim kontrol listesi (ACL) kullanının. 11g versiyonundan itibaren network erişimi için ilgili kullnıcıya Network Access Control List oluşturup yetki vermek gerekmektedir.
  • İşletim sistemi dizinlerine erişimi kısıtlayın.
  • Kullanıcılardaki yönetici ayrıcalıklarını kısıtlayın. Normal kullanıcıya DBA yetkisi vermeyin.
  • Uzaktan veritabanı kimlik doğrulamayı kısıtlayın. REMOTE_OS_AUTHENT parametresi ile , uzaktaki istemcilerin OS_AUTHENT_PREFIX parametresinin değeri ile kimlik doğrulama yapıp yapmayacakları belirlenir. Varsayılan değeri FALSE şeklindedir ve bu şekilde olmalıdır. TRUE yapılırsa , “CREATE USER … IDENTIFIED EXTERNALLY” şeklinde oluşturulan kullanıcıların sisteme giriş yapması mümkün olacaktır.
  • Kullanıcıların kritik tablo ve işlemlerin ile ilgili audit politikaları tanımlayıp , izleyin. Veritabanlarınızda SYS işlemlerini takip edin. Bunun için AUDIT_SYS_OPERATIONS parametresinin değeri TRUE olmalıdır. İzleme için 12.2 versiyununda gelen unified auditing özelliği kullanıldığında , izleme kayıtları SYS.UNIFIED_AUDIT_TRAIL görüntüsünde yer alacaktır.

Loading

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir