Advanced Security

Advanced Security Option (ASO) – опция СУБД Oracle, предоставляющая возможности шифрования данных и строгой аутентификации для защиты от угроз на уровне сети и операционной системы.

Обеспечение конфиденциальности информации, передаваемой от СУБД к клиенту через сеть, позволяет исключить разнообразные виды атак, таких как «прослушивание». Шифрование трафика и гарантия обеспечения целостности данных особенно актуальны в случае, когда клиент или сервер приложений располагаются вне безопасной зоны сети, отделенной межсетевым экраном.

Промышленные стандарты шифрования. Опция ASO позволяет защищать все входящие и исходящие соединения СУБД Oracle. Для каждой сессии создается секретный ключ, обеспечивающий безопасность всего сетевого трафика. Таким образом, ASO делает невозможными скрытую модификацию, добавление или удаление части передаваемых данных.

Поддерживаются следующие алгоритмы шифрования и обеспечения целостности данных:

  • AES (128, 192, 256)
  • RC4 (40, 56, 128, 256)
  • 3DES (2 и 3 ключа)
  • MD5
  • SHA1

Кроме того, в случае наличия в информационной системе организации инфраструктуры открытого ключа PKI, ASO позволяет использовать SSL-шифрование.

Простая конфигурация – нет необходимости изменять приложение. Включение шифрования и обеспечения целостности данных производится путем настройки сетевых конфигураций на стороне сервера и клиента и не требует никаких изменений на уровне приложения. Благодаря этому реализация шифрования с помощью Advanced Security Option является простой и доступной. Конфигурация и поддержка не требуют существенных усилий со стороны администраторов СУБД.

Строгая аутентификация для Oracle Database 12с. ASO позволяет использовать существующую инфраструктуру безопасности организации, например Kerberos, PKI, RADIUS, для реализации строгой аутентификации в СУБД Oracle.

Новыми особенностями являются:

  • Возможность проверки отмены сертификатов X509v3 за счет использования списков Certificate Revocation Lists, хранимых в файловой системе Oracle Internet Directory за счет использования CRL Distribution Points.
  • Возможность использовать идентификаторы PKI, хранимые в смарт-картах или других типах аппаратных модулей хранения на основе стандарта PKCS 11 для СУБД Oracle или клиентов базы данных.

Поддержка промышленных стандартов. Клиент SSL-опции ASO может быть использован в любой соответствующей промышленным стандартам инфраструктуре PKI. Например, для аутентификации в СУБД Oracle 12с применимы сертификаты X509v3, выписанные Verisign, Thawte, RSA Keon и Oracle Certificate Authority, принимающие запросы сертификатов стандарта PKCS7. ASO также предоставляет адаптер Entrust, позволяющий приложениям использовать Entrust PKI совместно с СУБД Oracle 12с. Входящий в состав ASO клиент Kerberos дает возможность пользователям СУБД Oracle 12с производить аутентификацию, используя билеты Kerberos v5, выпущенные любым сервером, поддерживающим Kerberos и Microsoft KDS.

ASO также содержит клиента RADIUS, позволяющего СУБД Oracle использовать аутентификацию и авторизацию сервера RADIUS. Эта возможность может быть полезна организациям, заинтересованным в двухфакторной аутентификации, устанавливающей подлинность личности и основанной на определении индивидуальных биометрических параметров (отпечаток пальца), знании (пароль или PIN-код) и владении (токенкарта или смарткарта).

Единый вход в систему. ASO сводит к минимуму стоимость сопровождения идентификационной информации пользователей для множества систем, предоставляя поддержку единого входа в распределенную систему. Пользователю достаточно зарегистрироваться в системе один раз, и он может автоматически соединяться с любым сервисом, поддерживающим протоколы Kerberos или SESAME, без необходимости вводить имя и пароль вновь.

Прозрачное шифрование данных. Функциональная возможность СУБД Oracle Database 12с (TDE, Transparent Data Encryption) позволяет выборочно объявлять столбцы таблиц шифруемыми. Когда пользователи вводят данные, сервер базы данных шифрует их и сохраняет в столбце. Точно так же, когда пользователи выбирают этот столбец, данные автоматически расшифровываются. Шифрование производится без какого-либо изменения кода приложения. Алгоритмы шифрования 3DES и AES. Длина ключа – до 256 бит.

В версиях начиная с СУБД Oracle 11gR1 кроме прозрачного шифрования колонок таблиц баз данных, поддерживается шифрование объектов табличных пространств (Tablespace Encription).

Управление средствами прозрачного шифрования интегрировано в Oracle Enterprise Manager. Зашифровывание защищаемой информации может быть проведено без остановки работы базы данных.