Überblick über Sicherheitsbewertungen

Das Sicherheitsbewertungsfeature in Oracle Data Safe bewertet die Sicherheit Ihrer Oracle-Datenbanken.

Sicherheitsbewertung

Falsch konfigurierte Datenbanken tragen wesentlich zu Datenbankverletzungen bei. Menschliche Fehler können Ihre Datenbank für alle offen lassen, oder ein Angreifer könnte Konfigurationsfehler böswillig ausnutzen, um unberechtigten Zugriff auf sensible Daten zu erhalten. Dies kann einen verheerenden Einfluss auf Ihren Ruf und Ihr Endergebnis haben. Zu wissen, wo Ihre Datenbankkonfiguration Risiken einführt, ist der erste Schritt zur Minimierung dieses Risikos. Die Sicherheitsbewertung bietet Ihnen einen Überblick über den Sicherheitsstatus Ihrer Datenbank. Sie analysiert Ihre Datenbankkonfigurationen, Benutzer und deren Berechtigungen sowie Sicherheits-Policys, um Sicherheitsrisiken aufzudecken und den Sicherheitsstatus von Oracle-Datenbanken innerhalb Ihrer Organisation zu stärken. Eine Sicherheitsbewertung enthält die Ergebnisse und Empfehlungen für Korrekturmaßnahmen, die auf Best Practices zur Risikoreduzierung oder -minderung beruhen. Die dargestellten Informationen richten sich danach, welcher Typ von Zieldatenbank vorliegt und wo diese ausgeführt wird (On Premise oder in der Cloud). Spezifische Prüfungen und Empfehlungen werden für autonome KI-Datenbanken, Oracle Base Database Services und On-Premises-Datenbanken von Oracle durchgeführt.

Für alle registrierten Zieldatenbanken generiert "Sicherheitsbewertung" automatisch einmal pro Woche eine Bewertung und speichert eine Kopie davon in der Bewertungshistorie. Dieser Bericht wird als "letzte" Bewertung bezeichnet. Bei Bedarf können Sie den Zeitplan ändern. Sie können auch einen Zeitplan erstellen, der eine Kopie der letzten Bewertung in einem anderen Compartment unter einem anderen Namen speichert.

Mit der Sicherheitsbewertung können Sie die letzte Bewertung jederzeit aktualisieren. Nachdem die letzte Bewertung aktualisiert wurde, speichert die Sicherheitsbewertung die Bewertung in der Bewertungshistorie und überschreibt auch die letzte Bewertung. Um die Abweichung der Sicherheitskonfiguration in der Zieldatenbank zu überwachen, müssen Sie eine Baseline festlegen. Nachdem die Baseline festgelegt wurde, vergleicht Oracle Data Safe sie automatisch mit jeder Bewertungsaktualisierung. Sie können auch zwei ausgewählte Bewertungen manuell vergleichen. Schließlich können Sie aus einer Bewertung einen PDF- oder XLS-Bericht generieren.

Für das Feature "Sicherheitsbewertung" gibt es folgende Anwendungsfälle:

• Risiken identifizieren und mindern:

  • Prüfen Sie die Datenbankkonfigurationen schnell und einfach, um zu erfahren, welche Konfigurationsoptionen möglicherweise ein unnötiges Risiko für Ihre Umgebung bedeuten und wie Sie Risiken beseitigen oder mindern können.

  • Nutzen Sie Prüfungen, die von Best Practices für die Datenbanksicherheit von Oracle, CIS-Benchmarkempfehlungen, Best Practices aus der Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) bis hin zu STIG-Regeln (Department of Defense Security Technical Implementation Guide) reichen.

• Compliance und Best Practices:

  • Unterstützen Sie Ihre Bemühungen zur Einhaltung gesetzlicher Vorschriften, indem Sie Best Practices für die Sicherheit und Branchenstandards einhalten.

  • Verfolgen Sie den Fortschritt bei der Korrektur und Compliance, indem Sie die mit einem Ergebnis verknüpfte Risikostufe anpassen.

• Einblicke in die Datenbanksicherheit verbessern:

  • Verschaffen Sie sich einen Überblick über flottenweite Datenbanksicherheitsrisiken.

  • Überwachen Sie die Sicherheitsabweichung, indem Sie eine Bewertung mit einer Baseline vergleichen.

  • Erhalten Sie Einblick in bereitgestellte Sicherheits-Policys, und machen Sie sich die verfügbaren Datenbanksicherheitskontrollen bewusst, um Ihre Daten weiter zu schützen.

Risikostufen

Sie können die Risikostufenwerte als Richtlinien zum Implementieren von Sicherheitsbewertungsempfehlungen verwenden. Sie können verwendet werden, um Änderungen zu priorisieren und zu planen, und helfen zu bestimmen, was es für Ihr Unternehmen bedeuten könnte. Die Sicherheitsbewertung verwendet die folgenden Risikostufen, um den Schweregrad eines Ergebnisses zu messen:

• Hoch: Erfordert sofortige Aufmerksamkeit.

• Mittel: Planen Sie, dies in nächster Zeit zu behandeln.

• Niedrig: Kann während einer geplanten Ausfallzeit behoben oder mit anderen Wartungsaktivitäten gebündelt werden.

• Hinweis: Verbessern Sie die Sicherheitslage, indem sie mehr Sicherheitsfeatures und -technologien aktivieren.

• Bewerten: Muss manuell analysiert werden.

• Erfolgreich: Keine Risiken gefunden.

• Verzögert: Der Benutzer hat absichtlich entschieden, das Ergreifen von Maßnahmen für ein bestimmtes identifiziertes Risiko für einen bestimmten Zeitraum oder unbegrenzt zu verschieben oder zu verzögern. Wenn ein Risiko aufgeschoben wird, bedeutet dies, dass es nach der Bewertung anerkannt, aber nicht sofort behoben wurde.

Kategorien

Die Sicherheitsbewertung kategorisiert ihre Ergebnisse wie folgt:

• Benutzeraccounts

• Berechtigungen und Rollen

• Autorisierungskontrolle

• Feingranulare Zugriffskontrolle

• Datenverschlüsselung

• Auditing

• Datenbankkonfiguration

Sicherheitsbewertung - Landingpage

Die Landingpage "Sicherheitsbewertung" bietet mehrere Ansichten zu den Sicherheitsrisiken in allen Zieldatenbanken. Sie besteht aus den folgenden interaktiven Registerkarten: Überblick, Risikoübersicht, Zielübersicht und Zielgruppenübersicht.

Registerkarte "Überblick"

Auf dieser Registerkarte befinden sich drei Diagramme.

• Risikostufe: In diesem Diagramm wird eine prozentuale Aufschlüsselung der verschiedenen Risikostufen (Hoch, Mittel, Niedrig, Advisory, Evaluate und Deferred) in allen Zieldatenbanken angezeigt.

• Risiken nach Kategorie: In diesem Diagramm wird die Anzahl der Ergebnisse in jeder Risikokategorie (Benutzeraccounts, Berechtigungen und Rollen, Autorisierungskontrolle, Datenverschlüsselung, fein granulierte Zugriffskontrolle, Auditing und Datenbankkonfigurationen) für alle Zieldatenbanken angezeigt.

• Top 5 allgemeine Sicherheitskontrollen: In diesem Diagramm wird ein Balkendiagramm der Anzahl der Zieldatenbanken auf jeder Risikostufe für jedes der fünf wichtigsten allgemeinen Steuerelemente angezeigt. Die fünf häufigsten Kontrollen sind die fünf Sicherheitskontrollen, die Oracle für die Sicherheit Ihrer Zieldatenbanken als die wichtigsten betrachtet. Wenn Sie den Mauszeiger über einen der Balken bewegen, werden der Wert aus der Legende (z.B. ADVISORY), die Gruppe (z.B. Patchcompliance) und der Wert (z.B. 1.0) angezeigt.

Registerkarte "Risikoübersicht"

Die Tabelle auf dieser Registerkarte zeigt die Anzahl der verschiedenen Kategorien für jede potenzielle Risikostufe an. Zu den Kategorien gehören Zieldatenbanken, Benutzeraccounts, Berechtigungen und Rollen, Autorisierungskontrolle, feingranulierte Zugriffskontrolle, Datenverschlüsselung, Auditing, Datenbankkonfiguration und Gesamtergebnisse.

Registerkarte "Zielübersicht"

In der Tabelle auf dieser Registerkarte werden die Zieldatenbanken im ausgewählten Geltungsbereich aufgeführt. Für jede Zieldatenbank können Sie auf einen Link zur letzten Sicherheitsbewertung zugreifen, den Status des Ziels anzeigen, anzeigen, ob die Bewertung von der Baseline abweicht, und das Datum/die Uhrzeit der letzten Bewertung anzeigen. Sie können auch die Gesamtanzahl der Ergebnisse für ein hohes Risiko, mittleres Risiko, geringes Risiko, Beratung und Bewertung der Ergebnisse für jedes Ziel anzeigen.

Registerkarte "Zielgruppenübersicht"

In der Tabelle auf dieser Registerkarte werden die Zieldatenbankgruppen im ausgewählten Geltungsbereich aufgeführt. Für jede Zieldatenbankgruppe können Sie die Anzahl der Prüfungen, die Anzahl konformer und nicht konformer Ergebnisse, die Anzahl konformer und nicht konformer Zieldatenbanken sowie das Datum und die Uhrzeit des letzten Vergleichs der Gruppe mit der Baselinebewertung anzeigen.

Struktur einer Sicherheitsbewertung für eine Zieldatenbank

Eine Sicherheitsbewertung für eine Zieldatenbank ist in drei Registerkarten unterteilt: Details, Bewertungsübersicht und Bewertungsdetails.

Registerkarte "Details"

Auf dieser Registerkarte werden die folgenden allgemeinen, Baseline- und Template-Informationen angezeigt.

• OCID der Sicherheitsbewertung

• Compartment, in dem die Sicherheitsbewertung gespeichert wird

• Erstellt (Zeitstempel) - wenn die Sicherheitsbewertung erstellt wurde

• Datenbankversion

• Bewertete Zeit (Zeitstempel) - Datum/Zeit der letzten Bewertung für die Zieldatenbank

• Zieldatenbankname

• Plan - falls vorhanden

• Baseline - "Keine Baseline festgelegt" oder der Name der Baseline

• Entspricht dem Basisplan - "Kein Basisplan festgelegt", "Ja" oder "Nein"

• Bewertungsvorlage - Name der zugeordneten Bewertungsvorlage (falls vorhanden)

• Vorlagenbaseline - Name der Vorlagenbaseline (falls vorhanden)

Bewertungsübersicht (Registerkarte)

Diese Registerkarte enthält zwei Abschnitte: Top 5 allgemeine Sicherheitssteuerelemente und Zusammenfassung.

• Im Abschnitt Top 5 allgemeine Sicherheitskontrollen werden die wichtigsten 5 wichtigsten Ergebnisse für die Sicherheit Ihrer Zieldatenbank, ihre Risikostufen und eine kurze Zusammenfassung jedes Ergebnisses von Oracle angezeigt.

• Der Abschnitt Übersicht besteht aus einer Tabelle, in der die Summen für jede Risikostufe nach Kategorie angezeigt werden.

Registerkarte "Bewertungsdetails"

Diese Registerkarte besteht aus einer Tabelle, in der alle Ergebnisse für die Zieldatenbank erläutert werden. Für jedes in der Tabelle aufgeführte Ergebnis können Sie die Risikostufe, die Kategorie, Referenzen und Dokumentationsquellen (sofern vorhanden) anzeigen. Sie können Ergebnisse erweitern, um zusätzliche Informationen anzuzeigen, darunter:

• Überblick: Dies ist eine kurze Beschreibung des Ergebnisses.

• Zusammenfassung: Dies ist eine Übersicht darüber, welche Sicherheitsbewertung in der Zieldatenbank ermittelt wurde.

• Details: Diese detaillierte Beschreibung beschreibt, welche Sicherheitsbewertung in der Zieldatenbank ermittelt wurde.

• Bemerkungen: Dies ist eine Erläuterung, warum das Ergebnis wichtig ist und wie Sie das Ergebnis mindern können.

• CIS-Benchmark: Wenn sie zutrifft, wird die Empfehlungsnummer aufgeführt (Beispiel: Empfehlung 3.7)

• DISCA STIG: Wenn dies zutrifft, wird der Empfehlungscode aufgeführt (Beispiel: V-270561)

• EU-DSGVO: Gilt dies, wird der Empfehlungscode aufgeführt (z. B. Artikel 6, 32, 34)

• Von Oracle empfohlene Vorgehensweisen: Gibt an, ob Oracle sie empfiehlt oder nicht

Registerkarte "Mit Baseline vergleichen"

Auf dieser Registerkarte können Sie die letzte Sicherheitsbewertung für die Zieldatenbank mit einer Baseline- oder Baseline-Vorlage vergleichen, sofern diese verfügbar sind.

Registerkarte "Risikoänderungsbericht"

Auf dieser Registerkarte werden alle geänderten Risikostufen für Ergebnisse in der letzten Sicherheitsbewertung der Zieldatenbank aufgeführt. Für jedes geänderte Risiko können Sie die Begründung (sofern angegeben), das Ablaufdatum (sofern angegeben), den Zeitpunkt der Änderung und den Ersteller der Änderung anzeigen.

Sicherheitsbewertungsworkflow

Dies ist eine Beispielworkflow für Sicherheitsbewertung.

1. Registrieren Sie Ihre Zieldatenbanken in Oracle Data Safe, und rufen sie die erforderlichen Berechtigungen in IAM ab.

   Wenn die Registrierung einer Zieldatenbank abgeschlossen ist, wird automatisch eine Sicherheitsbewertung der Zieldatenbank ausgeführt. Gemäß Zeitplan wird sie jede Woche am selben Tag und zur selben Uhrzeit wie die Registrierung erneut ausgeführt. Dies ist der Standardplan. Bei jeder Ausführung des Jobs werden die neuen Ergebnisse als letzte Bewertung für die Zieldatenbank festgesetzt, und die Kopie wird in der Historie gespeichert.

2. Zeigen Sie auf der Landingpage zur Sicherheitsbewertung die Risiken für alle Zieldatenbanken in Compartments an, in denen Sie Zugriffsrechte haben, und analysieren Sie diese. So erhalten Sie einen umfassenden Überblick über Ihren Sicherheitsstatus.

   • Prüfen Sie die Risiken der höchsten Ebene, und führen Sie dann einen Drilldown zu den letzten Beurteilungen für die Zieldatenbanken durch, in denen diese Risiken auftreten. Die Details zu diesen Risiken werden in jeder Bewertung erläutert.

   • Analysieren Sie die Risikodetails, ergreifen Sie geeignete Maßnahmen, um das Risikoniveau in einer Zieldatenbank zu mindern, und justieren Sie das Risikoniveau basierend auf Ihren Analysen oder Anforderungen. Möglicherweise müssen Sie bestimmte Risikostufen an Ihre Richtlinien anpassen oder angeben, dass andere Sicherheitskontrollen vorhanden sind, oder dieses Risiko verschieben.

3. Wenn Sie die entsprechenden Maßnahmen ergriffen haben, um die identifizierten Risiken in einer Zieldatenbank zu mindern, aktualisieren Sie die Bewertung, und prüfen Sie die Ergebnisse erneut, um zu sehen, ob die Risikostufen wie erwartet gesenkt wurden. Wenn ja, sollten Sie diese Bewertung als Baseline festlegen (weitere Informationen finden Sie in Schritt 8).

4. Passen Sie bei Bedarf die Zeitpläne Ihrer Sicherheitsbewertungen an die Anforderungen Ihres Unternehmens an.

5. Ändern Sie die Namen Ihrer Sicherheitsbewertungen in Namen, die für Sie von Bedeutung sind. Die Standardnamen, die Oracle Data Safe zuweist, haben folgendes Muster: SA_<unique number>. Es ist hilfreich, Ihre eigenen Namen zu wählen. Sie sollten das Präfix SA_ beibehalten, da es Sicherheitsbewertungen von Benutzerbewertungen unterscheidet (UA_).

6. Wenn die Risikoergebnisse bei einer Sicherheitsbewertung für eine Zieldatenbank niedrig sind und das nach der Sicherheitsbewertung einen soliden Sicherheitsstatus darstellt, sollten Sie diese Bewertung als Baseline für diese Zieldatenbank festlegen. Dies ist optional, wird jedoch dringend empfohlen, da es Ihnen ermöglicht, zukünftige Bewertungen bei einer bekannten guten Bewertung zu vergleichen.

7. Wenn Sie zwei oder mehr Sicherheitsbewertungen einer Zieldatenbank angesammelt haben, führen Sie einen Vergleich der letzten Bewertung mit früheren Bewertungen (oder mit der Baseline) aus, um festzustellen, ob Sicherheitsabweichungen vorliegen.

8. Erstellen Sie herunterladbare PDF- oder XLS-Versionen Ihrer Sicherheitsbewertungen.

9. Kopie speichern oder Kopie der letzten Bewertung für eine Zieldatenbank speichern. Alle Bewertungen werden in der Bewertungshistorie gespeichert, die durch die Sicherheitsbewertung bereitgestellt wird. Die Option Neueste Bewertung speichern unter kann jedoch nützlich sein, wenn Sie ein zusätzliches Backup oder die Bewertungsergebnisse in eine andere Abteilung exportieren möchten.

10. Richten Sie im Ereignisservice in Oracle Cloud Infrastructure Ereignisbenachrichtigungen ein. Beispiel: Sie können das Ereignis SecurityAssessmentDriftFromBaseline abonnieren, um automatisch informiert zu werden, wenn eine Sicherheitsbewertung von der Baseline abweicht.

Voraussetzungen für die Verwendung der Sicherheitsbewertung

Für die Sicherheitsbewertung sind registrierte, ordnungsgemäß bereitgestellte Zieldatenbanken erforderlich. Benutzern müssen bestimmte Berechtigungen in Oracle Cloud Infrastructure Identity and Access Management (IAM) erteilt werden.

Dies sind die Voraussetzungen für die Verwendung der Sicherheitsbewertung:

• registrieren Sie die Zieldatenbanken, die Sie mit der Sicherheitsbewertung bewerten möchten.

  Nachdem Sie eine Zieldatenbank registriert haben, führt Oracle Data Safe automatisch einen Sicherheitsbewertungsjob für die Zieldatenbank aus und aktualisiert ihn gemäß dem Zeitplan (standardmäßig einmal pro Woche).

• Erteilen Sie dem Oracle Data Safe-Serviceaccount die Rolle ASSESSMENT in der Zieldatenbank (nur nicht autonome AI-Datenbanken).

  Eine autonome KI-Datenbank wird automatisch mit dem entsprechenden DS$ASSESSMENT_ROLE bereitgestellt, wenn sie als Zieldatenbank registriert ist. Daher müssen Sie keine Rolle erteilen.

• So verwenden Sie die Sicherheitsbewertung: Holen Sie sich die Berechtigung "view" oder "manage" für die Ressource security-assessments in IAM in den relevanten Compartments. Ein OCI-Administrator kann diese Berechtigungen erteilen. Als Alternative zum selektiven Erteilen von Berechtigungen können Sie Berechtigungen für data-safe-assessment-family in den relevanten Compartments erteilen, was Berechtigungen für alle oben genannten Ressourcen sowie für user-assessments umfassen würde. Siehe data-safe-assessments-family Resource.

• So legen Sie Baselines fest oder vergleichen Bewertungen: Rufen Sie die Berechtigung read für die Ressource data-safe-work-requests in IAM ab.

Hilfe zum Festlegen der Voraussetzungen finden Sie in den folgenden Abschnitten:

• Unter Rollen des Oracle Data Safe-Serviceaccounts in einer Zieldatenbank erteilen werden die Rollen beschrieben, die zur Sicherheitsbewertung und für andere Oracle Data Safe-Features erforderlich sind.

• security-assessments Resource stellt die Policy-Anweisung bereit, mit der Benutzern Leseberechtigungen für security-assessments erteilt werden.

• Unter data-safe-work-requests-Ressource wird die Policy-Anweisung bereitgestellt, mit der Benutzern Leseberechtigungen für data-safe-work-requests erteilt werden.

Empfohlen, bevor Sie beginnen

Oracle empfiehlt, den Workshop Erste Schritte mit Oracle Data Safe Fundamentals in LiveLabs durchzuziehen, bevor Sie die Sicherheitsbewertung verwenden. Dieser Workshop beinhaltet praktische Schulungen zur Sicherheitsbewertung. Unabhängig davon, ob Sie den Workshop bereits absolviert haben, werden Sie feststellen, dass Sie das Feature "Sicherheitsbewertung" bei diesen Übungen bereits im Voraus so gut kennen lernen, dass Sie es in Ihrer Organisation leichter einsetzen können. Bevor Sie fortfahren, sollten Sie erwägen, den Workshop durchzuarbeiten, um mehr über die Sicherheitsbewertung zu erfahren.