Oracle Cloud Infrastructure - Dokumentation

SQL-Firewall verwalten

Durch die Verwaltung Ihrer SQL-Firewall-Policys und -Konfigurationen wird sichergestellt, dass Ihre Datenbanken vor Bedrohungen geschützt sind. Gleichzeitig wird sichergestellt, dass beabsichtigte SQL-Aktionen für Ihre Datenbanken ausgeführt werden können. Informationen zum Aktualisieren Ihrer SQL-Firewallkonfigurationen und -Policys finden Sie in den folgenden Themen.

Datenbanksicherheitskonfiguration aktualisieren

  1. Wählen Sie unter Data Safe - Datenbanksicherheit die Option SQL-Firewall aus.

  2. Wählen Sie in der Registerkarte Zielübersicht den Namen einer Zieldatenbank aus.

    Dadurch gelangen Sie zur Seite "Konfigurationsdetails".

  3. Führen Sie eine der folgenden Aufgaben aus:

    • Klicken Sie neben SQL-Firewallstatus auf Deaktivieren, um die SQL-Firewall zu deaktivieren. Dadurch werden laufende Collections gestoppt, und Policys werden nicht mehr durchgesetzt.

    • Klicken Sie neben Verletzungslogs automatisch löschen auf Aktivieren oder Deaktivieren, um diese zu aktivieren oder zu deaktivieren. Gibt an, ob Data Safe die Verletzungslogs automatisch aus der Datenbank löschen soll, nachdem die Verletzungslogs erfasst und in Data Safe persistiert wurden. Wenn dies aktiviert ist, werden Verletzungslogs automatisch alle sieben Tage gelöscht.

    • Klicken Sie neben Datenbankjobs auf Einschließen oder Ausschließen, um Datenbankjobs für die SQL Firewall-Durchsetzung einzuschließen oder auszuschließen.

    • Klicken Sie neben Letzte Aktualisierung auf Aktualisieren, um die Kopie der Policys von Data Safe zu aktualisieren, wenn Sie eine letzte Policy-Änderung in der Datenbank vorgenommen haben.

    • Wählen Sie im Menü Aktionen die Option Ressource verschieben aus, um die Datenbanksicherheitskonfiguration in ein anderes Compartment zu verschieben.

SQL-Collection löschen

Mit dem Löschen werden die Collection Logs für den Benutzer bereinigt. In der Regel müssen Sie die SQL-Collection löschen, wenn Sie nach Anwendungsupdates eine Anwendungs-SQL-Workload für denselben Datenbankbenutzer neu erfassen müssen. Die SQL-Collection kann für den Datenbankbenutzer erneut gestartet werden, nachdem sie gelöscht wurde.

  1. Wählen Sie unter Data Safe - Datenbanksicherheit die Option SQL-Firewall aus.

  2. Wählen Sie in der Registerkarte Zielübersicht den Namen einer Zieldatenbank aus.

    Dadurch gelangen Sie zur Seite "Konfigurationsdetails".

  3. Klicken Sie auf die Registerkarte SQL-Collections.

  4. Klicken Sie auf einen Datenbankbenutzernamen.

    Dadurch gelangen Sie zur Detailseite der SQL-Collection.

  5. Wählen Sie im Menü Aktionen die Option Löschen aus, um das SQL-Collection-Log zu entfernen. Dies wirkt sich nicht auf SQL-Firewall-Policys aus, die aus dieser Collection generiert wurden.

SQL-Collection löschen

Wenn Sie eine SQL-Collection löschen, werden die SQL-Collection- und Collection-Logs für den ausgewählten Datenbankbenutzer entfernt. In der Regel müssen Sie die SQL-Collection löschen, wenn Sie den SQL-Firewallschutz für einen Datenbankbenutzer entfernen müssen, der nicht mehr aktiv ist oder die Zuständigkeiten im System geändert hat.

  1. Wählen Sie unter Data Safe - Datenbanksicherheit die Option SQL-Firewall aus.

  2. Wählen Sie in der Registerkarte Zielübersicht den Namen einer Zieldatenbank aus.

    Dadurch gelangen Sie zur Seite "Konfigurationsdetails".

  3. Klicken Sie auf die Registerkarte SQL-Collections.

  4. Klicken Sie auf einen Datenbankbenutzernamen.

    Dadurch gelangen Sie zur Detailseite der SQL-Collection.

  5. Wählen Sie im Menü Aktionen die Option Löschen aus, um die SQL-Collection zu löschen. Das Löschen einer SQL-Collection hat keine Auswirkungen auf bereits generierte oder durchgesetzte SQL-Firewall-Policys.

SQL-Firewall-Policys anzeigen und verwalten

  1. Wählen Sie unter Data Safe - Datenbanksicherheit die Option SQL-Firewall aus.

  2. Wählen Sie in der Registerkarte Zielübersicht den Namen einer Zieldatenbank aus.

    Dadurch gelangen Sie zur Seite "Konfigurationsdetails".

  3. Klicken Sie auf die Registerkarte SQL Firewall-Policys.

  4. Klicken Sie auf einen Datenbankbenutzernamen.

    Dadurch gelangen Sie zur Seite "Firewall-Policy-Details".

  5. (Optional) Aktualisieren Sie die zulässigen SQL-Sessionkontextwerte nach Bedarf.

    a) Suchen Sie den Abschnitt Sessionkontext der Registerkarte Details.

    b) Wählen Sie Aktualisieren für die entsprechende Zeile.

    c) Um einen Wert zu entfernen, wählen Sie das X am Ende der Zeile im Bereich aus.

    d) Um einen Wert hinzuzufügen, wählen Sie Hinzufügen aus, und geben Sie den neuen Wert in das leere Feld ein.

    e) Wählen Sie Client-IP/Clientprogramm/Client-BS-Benutzer aktualisieren, je nachdem, welche Kontextinformationen Sie ausgewählt haben.

  6. (Optional) Laden Sie einen PDF- oder XLS-Bericht aller eindeutigen zulässigen SQL-Anweisungen herunter.

    a) Klicken Sie auf die Registerkarte Eindeutige zulässige SQL-Anweisungen.

    b) Wählen Sie im Menü Aktionen in der Tabelle Eindeutige zulässige SQL-Anweisungen die Option Bericht generieren aus. Ein Popup-Fenster wird angezeigt.

    c) Wählen Sie das Format aus, in dem der Bericht gespeichert werden soll, PDF oder XLS.

    d) Geben Sie einen Namen für den Bericht an.

    e) Optional können Sie eine Beschreibung für die Auswertung eingeben.

    f) Wählen Sie Bericht generieren aus.

    g) Bericht herunterladen. Sie haben zwei Möglichkeiten:

    • Wählen Sie im Fenster "Bericht generieren" den Link hier aus. Das Dokument wird heruntergeladen.

    • Wählen Sie Schließen, um das Fenster "Bericht generieren" zu schließen. Klicken Sie anschließend auf die Schaltfläche Bericht herunterladen. Ein Dialogfeld mit Optionen zum Öffnen oder Speichern des Dokuments wird angezeigt.

SQL-Firewall-Richtlinien aktualisieren

Neue SQL-Anweisungen aus SQL Collection hinzufügen

  1. Wählen Sie unter Data Safe - Datenbanksicherheit die Option SQL-Firewall aus.

  2. Wählen Sie in der Registerkarte Zielübersicht den Namen einer Zieldatenbank aus.

    Dadurch gelangen Sie zur Seite "Konfigurationsdetails".

  3. Klicken Sie auf die Registerkarte SQL-Collections.

  4. Klicken Sie auf einen Datenbankbenutzernamen.

    Dadurch gelangen Sie zur Detailseite der SQL-Collections.

  5. Klicken Sie auf die zugehörige SQL-Firewall-Policy auf der Registerkarte Details.

    Dadurch gelangen Sie zur Seite "Firewalldetails".

  6. Deaktivieren Sie die SQL Firewall-Policy vorübergehend, indem Sie im Menü Aktionen die Option Deaktivieren auswählen. Bestätigen Sie die Deaktivierung im Popup-Fenster, indem Sie auf Deaktivieren klicken.

  7. Navigieren Sie zurück zur SQL-Collection, indem Sie in den Navigationspfaden der Seite auf SQL-Collection-Details klicken.

  8. Klicken Sie auf Starten, um SQL-Anweisungen zu erfassen.

  9. Starten Sie die SQL-Anweisungen, die Sie der Zieldatenbank hinzufügen möchten.

  10. Klicken Sie auf Stoppen, nachdem Sie die SQL-Anweisungen erfasst haben.

  11. Wählen Sie im Menü Aktionen die Option Firewall-Policy aktualisieren aus, um die neuen SQL-Anweisungen an die verknüpfte Policy anzuhängen.

  12. Klicken Sie auf die zugehörige SQL-Firewall-Policy auf der Registerkarte Details.

    Dadurch gelangen Sie zur Seite "Firewalldetails".

  13. Wählen Sie Bereitstellen und erzwingen aus.

    a) Wählen Sie den Geltungsbereich der Durchsetzung:

    • Alle (Sessionkontexte und SQL-Anweisungen)

    • Nur Sessionkontexte: Diese Option erzwingt die Prüfungen nur für die Datenbankverbindungspfade.

    • Nur SQL-Anweisungen: Diese Option erzwingt die Prüfungen nur für die SQL-Anweisungen.

    b) Wählen Sie die Aktion bei Verletzungen aus:

    • Observe (Zulassen) und Logverletzungen: Mit dieser Option werden alle SQL-Anweisungen und Verbindungen zur Datenbank beobachtet und zugelassen, während Verletzungen protokolliert werden.

    • Verletzungen blockieren und protokollieren: Mit dieser Option werden alle SQL-Anweisungen und Datenbankverbindungen blockiert, die nicht in der Policy aufgeführt sind, und die Verletzungen protokolliert. Berücksichtigen Sie diese Option, wenn SQL Firewall nicht autorisierten SQL-Datenverkehr zur Datenbank verhindern soll.

    c) Setzen Sie Audit für Verstöße auf Ein oder Aus.

    • Ein schreibt die Verletzungsdatensätze in den Audittrail. Es ermöglicht Warnmeldungen und hilft, die Einhaltung Ihrer Auditanforderungen nachzuweisen. Stellen Sie sicher, dass Sie den Audittrail in Oracle Data Safe starten, um die Auditereignisse zu erfassen. Diese Auditereignisse tragen zum monatlichen kostenlosen Limit von 1 Million Auditdatensätzen pro Monat und Zieldatenbank bei.

    d) Wählen Sie Bereitstellen und durchsetzen aus.

Zulässige SQL-Anweisungen löschen

  1. Wählen Sie unter Data Safe - Datenbanksicherheit die Option SQL-Firewall aus.

  2. Wählen Sie unter SQL-Firewall SQL-Firewall-Policys aus.

  3. Klicken Sie auf einen Datenbankbenutzernamen für eine bestimmte Zieldatenbank.

  4. Wählen Sie die Registerkarte Eindeutige zulässige SQL-Anweisungen.

  5. Wählen Sie die SQL-Anweisungen aus, die Sie löschen möchten.

  6. Wählen Sie Zulässige SQLs löschen aus.

Zulässige SQL-Anweisungen aus dem Verletzungslog hinzufügen

  1. Wählen Sie unter Data Safe - Datenbanksicherheit die Option SQL-Firewall aus.

  2. Wählen Sie unter SQL-Firewall SQL-Firewall-Policys aus.

  3. Klicken Sie auf einen Datenbankbenutzernamen für eine bestimmte Zieldatenbank.

  4. Wählen Sie die Registerkarte Eindeutige zulässige SQL-Anweisungen.

  5. Wählen Sie im Menü Aktionen die Option Aus Verletzungen hinzufügen aus.

  6. SQL-Anweisungen filtern und auswählen

  7. Wählen Sie Aktualisieren aus.

Durchsetzung von SQL-Firewallrichtlinien aktualisieren

  1. Wählen Sie unter Data Safe - Datenbanksicherheit die Option SQL-Firewall aus.

  2. Wählen Sie in der Registerkarte Zielübersicht den Namen einer Zieldatenbank aus.

    Dadurch gelangen Sie zur Seite "Konfigurationsdetails".

  3. Klicken Sie auf die Registerkarte SQL Firewall-Policys.

  4. Wählen Sie eine SQL Firewall-Policy aus der Liste aus.

    Dadurch gelangen Sie zur Seite "Firewall-Policy-Details".

  5. Wählen Sie Bereitstellen und erzwingen aus.

    a) Wählen Sie den Geltungsbereich der Durchsetzung:

    • Alle (Sessionkontexte und SQL-Anweisungen)

    • Nur Sessionkontexte: Diese Option erzwingt die Prüfungen nur für die Datenbankverbindungspfade.

    • Nur SQL-Anweisungen: Diese Option erzwingt die Prüfungen nur für die SQL-Anweisungen.

    b) Wählen Sie die Aktion bei Verletzungen aus:

    • Verletzungen beobachten (zulassen) und protokollieren: Diese Option beobachtet und lässt alle SQL-Anweisungen und Verbindungen zur Datenbank zu, während Verletzungen protokolliert werden.

    • Block- und Logverletzungen: Mit dieser Option werden alle SQL-Anweisungen und Datenbankverbindungen blockiert, die nicht in der Policy aufgeführt sind, und die Verletzungen werden protokolliert. Berücksichtigen Sie diese Option, wenn SQL Firewall nicht autorisierten SQL-Datenverkehr zur Datenbank verhindern soll.

    c) Setzen Sie Audit für Verstöße auf Ein oder Aus.

    • Ein schreibt die Verletzungsdatensätze in den Audittrail. Es ermöglicht Warnmeldungen und hilft, die Einhaltung Ihrer Auditanforderungen nachzuweisen. Stellen Sie sicher, dass Sie den Audittrail in Oracle Data Safe starten, um die Auditereignisse zu erfassen. Diese Auditereignisse tragen zum monatlichen kostenlosen Limit von 1 Million Auditdatensätzen pro Monat und Zieldatenbank bei.

    d) Wählen Sie Bereitstellen und durchsetzen aus.

SQL-Firewall-Policys deaktivieren oder aktivieren

  1. Wählen Sie unter Data Safe - Datenbanksicherheit die Option SQL-Firewall aus.

  2. Wählen Sie in der Registerkarte Zielübersicht den Namen einer Zieldatenbank aus.

    Dadurch gelangen Sie zur Seite "Konfigurationsdetails".

  3. Klicken Sie auf die Registerkarte SQL Firewall-Policys.

  4. Wählen Sie eine SQL Firewall-Policy aus der Liste aus.

    Dadurch gelangen Sie zur Seite "Firewall-Policy-Details".

  5. Wählen Sie im Menü Aktionen die Option Deaktivieren oder Aktivieren aus. Durch die Deaktivierung wird verhindert, dass die SQL-Firewall eingehenden SQL-Traffic anhand dieser SQL-Firewall-Policy auswertet. Dadurch wird die Policy jedoch nicht gelöscht, und sie kann später erneut aktiviert werden.

SQL-Firewall-Policys löschen

  1. Wählen Sie unter Data Safe - Datenbanksicherheit die Option SQL-Firewall aus.

  2. Wählen Sie in der Registerkarte Zielübersicht den Namen einer Zieldatenbank aus.

    Dadurch gelangen Sie zur Seite "Konfigurationsdetails".

  3. Klicken Sie auf die Registerkarte SQL Firewall-Policys.

  4. Wählen Sie eine SQL Firewall-Policy aus der Liste aus.

    Dadurch gelangen Sie zur Seite "Firewall-Policy-Details".

  5. Wählen Sie im Menü Aktionen die Option Löschen aus. Dadurch wird die SQL-Firewall-Policy gelöscht, und eine SQL-Collection muss erneut initiiert werden, um diese Policy neu zu erstellen.