Güvenlik tehditlerine Oracle zırhı

• MAKALE
• Konuk Yazar
• 03 Şubat 2011 Perşembe
• Yorum
• Yazdır
• PDF

Ancak her bir uygulama farklı kullanıcı depoları ve kimlik denetleme metodları kullanmaktadır. Buna göre her uygulama için kullanıcı adı ve şifreleri farklılık göstermektedir. Ayrıca çoğu uygulamada şifre politikası uygulanmamaktadır. Bu da merkezi olarak yönetilemeyen farklı kimlik depoları anlamına gelir. Her birinin yönetimi de manuel olarak yapıldığından hem büyük güvenlik riski hem de ciddi operasyonel maliyetler doğurur. Bütün bunları çözümlemek amacıyla artık günümüzde güvenlik konusunda kimlik yönetimi, erişim yönetimi ve risk tabanlı erişim yönetimini konuşmaya başladık.

Bununla birlikte, bugün ister KOBİ olsun, ister büyük ölçekli bir firma olsun, kullanılan yazılım, donanım ve ağ bileşenleri gerek internet, gerekse kurum içerisinden gelebilecek tehditlere karşı açık bir halde. Bu tehditlerin biçimleri ve verdikleri zararlar değişmekle beraber, bazıları profesyonel bazıları ise amatörce olabiliyor, ancak kesinlikle bu tehditlerin gün geçtikçe arttığını ve daha gelişmiş metodlar kullanılarak geliştiğini görüyoruz. Şirket veritabanına erişilmesi, kurumsal web sayfasına izinsiz erişim ve değiştirilmesi, şirket internet hattı üzerinden yasal olmayan işlemlerin yapılması gibi birçok olayın yaşanması mümkün. Bu tür olaylar gündelik iş akışının durmasına ya da sekteye uğramasına neden olmakta, aynı zamanda da kurum prestijini olumsuz yönde etkilemekte. Bu anlamda BT altyapılarının güvenliği riske atılmamalı ve güvenlik ihlalleri yaşanmadan önce gerekli önlemler alınmalıdır.

Gizli ya da hassas bilgilerin korunması için kurumların çok faktörlü kimlik doğrulama mekanizmalarının yardımıyla anlık olarak karar alabilen ve kimlik hırsızlığını tespit etmenin ötesinde daha oluşmadan önleyen risk tabanlı erişim sistemlerine olan ihtiyaçları artmıştır. Böylece sadece verinin saklandığı yer değil, kullanıldığı uygulamalar da güvenli hale getirilmiş olur.

Zira unutmamak gerekir ki güvenlik tehditleri her zaman en zayıf halka üzerine odaklanır. Bu sebeble tek bir noktanın ya da kaynağın güvenliği değil uçtan uca güvenliği sağlamak esastır. Ayrıca günümüzde artan iş ihtiyaçları kurumların sadece kendi BT altyapıları ile değil ayrıca iş yaptıkları diğer firmaların altyapılarının güvenli biçimde konuşmasını da gerektiriyor. Burada hassas bir denge kurmak gerekir, zira kurumlar arası BT etkileşiminin hem esnek hem de güvenli olması esastır. İkisinden birinin sağlanamaması durumda riskler artar ve karlılığın azalır. Bu anlamda bir çok müşterimizin hem kurum içi hem de kurumlar arası güvenliği sağlamak için erişim yönetimi çözümlerine yöneldiğini gözlemliyoruz.

Veritabanı verilerinin şifrelenmemesi, arşivlenen, yedeklenen verilerin şifrelenmemesi, risk tabanlı erişim yönetimi gibi hususlar kurumların önem vermesi gereken güvenlik tedbirleri arasında yer alıyor.

Oracle olarak bizim hem veritabanı, hem orta katmanında güvenliğine yönelik ürünlerimiz bulunuyor. Bunu da üçe ayırabiliriz: Birincisi, verinin tutulduğu yerde güvenliğini sağlamak. İkincisi, verinin erişilirken güvenliğini sağlamak. Üçüncüsü ise daha sonrasında monitör ederek, güvenliğe aykırı herhangi bir işlem yapılmış mı, saptanan kuralların dışına çıkılmaya çalışılmış mı diye incelemek. Tüm bunları Oracle Identity and Access Management Suite”, “Oracle Database Vault”, “Oracle Label Security” ve “Oracle Advanced Security”gibi çözümlerimizle kurumlara sağlayabiliyoruz.

Veritabanı yöneticilerinin işlerini yapmak için gerek duydukları standart erişim yetkileri kullanıcı verisine de erişim imkanı sağlamaktadır. Bu da gerek bu yetkilere sahip olanların gerekse de ilgili şifreleri ele geçiren kişilerin kullanıcı verisini kurum dışına çıkarabilmesi tehlikesini beraberinde getirmektedir. Oracle Database Vault, roller ayrılığı prensibi ile veritabanı yöneticisi ve güvenlik yöneticisi rollerini ayırır ve veritabanı yöneticisinin kullanıcı verisine erişimini engeller. Veritabanı yöneticisi rutin yönetim işlerini önceden sahip olduğu yetkilerle ve herhangi bir değişikliğe gerek olmadan devam ettirir. Bu sayede kullanıcı verisi sadece izin verilen kişi ve uygulamaların erişimine açılmış olur.

Standart bir veritabanı içerisinde saklanan veriler disk ortamında, yedekleme ortamında ve kurum yerel ağı içinde şifrelenmemiş ve açık olarak tutulmaktadır. Disklerin bozulması ve kurum dışına servis için çıkarılması, disklerin veya yedekleme kartuşlarının yetkisiz kişilerin eline geçmesi veya yerel ağın yetkisiz kişilerce dinlenmesi sonucunda bu açık verilerin ele geçirilmesi mümkün olmaktadır. Oracle Advanced Security opsiyonu Oracle veritabanında tutulan verinin disk üzerinde,yedekleme ortamında ve ağ iletişiminde şifrelenmesini sağlayarak bu verinin yetkisiz kişilerin eline geçmesi durumunda okunamamasını garanti etmektedir.

Kurumların canlı veritabanlarında bulunan verinin geliştirme ve test ortamlarına kopyalanması yazılım geliştirme süreçlerinde sık sık gerek duyulan bir işlemdir. Bu sayede canlı ortama en yakın bir ortamda geliştirme ve test yapılabilmesi sağlanmaktadır. Bu işlem, geliştirme ve test ortamlarındaki erişimi kontrolü daha esnek olduğu ve bu ortamlara çok sayıda kişinin erişimi olduğu için müşteri bilgileri gibi kritik bilgilerin bu kişilere açılmasına neden olmaktadır. Oracle Data Masking Pack canlı ortamdaki verinin başka ortamlara aktarılırken maskelenerek değiştirilmesini sağlar, bu sayede geliştirme ve test ortamlarına aktarılan veri içindeki müşteri bilgisi gibi kritik bilgiler korunmuş olur.

Birçok kurum farklı firmalardan alınmış veritabanı çözümleri kullanmakta ve bu çözümlerin içerisinde bulunan audit mekanizmaları ile veritabanı kullanıcılarının yaptığı işlemleri kayıt altına almaktadır. Bu kayıtların raporlanması, devlet kurumları veya özel denetleme firmaları tarafından incelenmesi her veritabanı için ayrı ayrı yapılmakta ve birden fazla veritabanında aynı kişinin yapmış olduğu işlemlerin konsolide edilmesi zor hatta imkansız hale gelmektedir. Oracle Audit Vault farklı firmaların veritabanı çözümlerini de kapsayacak biçimde birçok veritabanından audit kayıtlarını merkezi bir ortamda konsolide ederek raporlanmasını sağlar. Bu sayede her veritabanı için ayrı raporlama yapılmasına gerek kalmaz, aynı kişinin birden fazla veritabanı üzerinde yaptığı işlemler tek bir yerden raporlanabilir. Dağıtık audit yapısında yakalanması çok zor olan şüpheli işlemler Audit Vault ile çok daha kolay bir şekilde tespit edilebilir.