Oracle Vault是Oracle推出的一套比较完整的运维安全体系框架。在很多运维机构中,Vault是非常好的可选择方案。
Oracle Vault的原则是安全职责的拆分保护。从原来数据库管理员sys承担安全职责这个假设,转变为单独安全人员dbvowner和dbvaccount manager为安全配置中心。之后,从行为、领域等多个层面设定了很多安全区,对安全区采用额外的保护策略,将管理员屏蔽住。
注意:Vault的出发点是我们进行选型的一个重要考虑。安全威胁是多种类、多层次的。Oracle Vault是针对运维机构对“自己人”的一种约束设置,形成管理员和安全员相互牵制的结构。
数据库管理员虽然可以进行管理工作,但是却不能访问特定敏感区域。而安全员虽然有安全授权能力,但是没有管理员数据授权(系统权限和数据权限),安全员也不能访问敏感数据。
这个过程中是有一些漏洞的,比如管理员存在修改安全员密码,夺取安全员权限的可能,所以Oracle Vault在安装之后,有一些默认的领域和命令规则,将管理员严格的进行束缚。
此外,管理员有一些日常操作,如使用DB Control、Datapump和Recovery Manager,都有触动安全领域规则的风险。这样的情况Oracle是如何处理呢?本篇从Data Pump操作入手,进行简单讨论。
1、Data Pump与Vault
Oracle Data Pump(数据泵)是Oracle10g以后推出的数据备份管理工具。作为Exp/Imp的进化版,Data Pump对于各种Oracle新特性、功能支持力度是比较好的,在海量数据操作的时候,Data Pump也是有独特的优势。
如果我们仔细研究过Data Pump操作过程,就可以得知,Oracle Data Pump进行数据导入的过程并不是一个整体,而是一系列动作的集合。比如:当进行数据导入Schema模式的时候,如果目标数据库没有这个用户,Data Pump时会创建出这个用户。这个过程其实就是一般的create user xxx语句执行。
所以,进行export和import数据的过程,是一个多种权限(系统权限)综合的过程。这也就是为什么Oracle中导入导出数据库的权限是两个角色权限(Import/Export Full Database)。
那么,如果管理员(备份操作员)需要进行数据导入导出敏感数据的时候,是要触动到敏感信息的。Oracle Vault环境下我们是怎么配置呢?
2、默认行为配置
当前我们实验选择Oracle 11gR2版本,数据库已经配置Vault组件。对scott数据进行保护,即使sys管理员也是无法访问的。
SQL> show user;
User is "SYS"
SQL> select count(*) from scott.emp;
select count(*) from scott.emp
ORA-01031: 权限不足
创建directory对象,导出数据。
[oracle@SimpleLinux ~]$ cd /dumps/
[oracle@SimpleLinux dumps]$ ls -l
total 0
Oracle中创建directory对象dumps。尝试进行导出。
[oracle@SimpleLinux dumps]$ expdp \"/ as sysdba\" directory=dumps schemas=scott dumpfile=scottvault.dmp
Export: Release 11.2.0.4.0 - Production on Fri Apr 4 15:21:30 2014
Copyright (c) 1982, 2011, Oracle and/or its affiliates. All rights reserved.
Connected to: Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - Production
(篇幅原因,有省略……)
Processing object type SCHEMA_EXPORT/TABLE/CONSTRAINT/REF_CONSTRAINT
ORA-39127: unexpected error from call to export_string :=SYS.DBMS_TRANSFORM_EXIMP.INSTANCE_INFO_EXP('AQ$_MGMT_NOTIFY_QTABLE_S','SYSMAN',1,1,'11.02.00.04.00',newblock)
ORA-01031: insufficient privileges
ORA-06512: at "SYS.DBMS_TRANSFORM_EXIMP", line 197
ORA-06512: at line 1
ORA-06512: at "SYS.DBMS_METADATA", line 9876
ORA-39127: unexpected error from call to export_string :=SYS.DBMS_TRANSFORM_EXIMP.INSTANCE_INFO_EXP('AQ$_MGMT_LOADER_QTABLE_S','SYSMAN',1,1,'11.02.00.04.00',newblock)
ORA-01031: insufficient privileges
ORA-06512: at "SYS.DBMS_TRANSFORM_EXIMP", line 197
ORA-06512: at line 1
ORA-06512: at "SYS.DBMS_METADATA", line 9876
Processing object type SCHEMA_EXPORT/POST_SCHEMA/PROCACT_SCHEMA
ORA-31693: Table data object "SCOTT"."DEPT" failed to load/unload and is being skipped due to error:
ORA-02354: error in exporting/importing data
ORA-28116: insufficient privileges to do direct path access
ORA-31693: Table data object "SCOTT"."EMP" failed to load/unload and is being skipped due to error:
ORA-02354: error in exporting/importing data
ORA-28116: insufficient privileges to do direct path access
ORA-31693: Table data object "SCOTT"."SALGRADE" failed to load/unload and is being skipped due to error:
ORA-02354: error in exporting/importing data
ORA-28116: insufficient privileges to do direct path access
. . exported "SCOTT"."BONUS" 0 KB 0 rows
Master table "SYS"."SYS_EXPORT_SCHEMA_01" successfully loaded/unloaded
******************************************************************************
Dump file set for SYS.SYS_EXPORT_SCHEMA_01 is:
/dumps/scottvault.dmp
Job "SYS"."SYS_EXPORT_SCHEMA_01" completed with 5 error(s) at Fri Apr 4 15:22:22 2014 elapsed 0 00:00:41
从报错信息中,我们看到Data Pump本质就是调用一系列的包方法,来将数据导出。Sys用户是有导出数据权限的,但是默认情况如果碰触敏感信息,也是报错失败。
3、额外授权
在设置Vault情况下,Oracle对于一些管理操作时需要额外授权的。Dbms_macadm包就是用于进行特定管理操作授权的。
当前我们在sys下,执行权限。
SQL> exec dbms_macadm.authorize_datapump_user('SYS');
begin dbms_macadm.authorize_datapump_user('SYS'); end;
ORA-06550: 第 1 行, 第 7 列:
PLS-00904: insufficient privilege to access object DVSYS.DBMS_MACADM
ORA-06550: 第 1 行, 第 7 列:
PL/SQL: Statement ignored
在Oracle Vault中,所有对于敏感区域的授权动作,都是要通过dvowner管理对象。
SQL> conn dbvowner/qwer1234.@ora11g
Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.4.0
Connected as dbvowner
SQL> exec dbms_macadm.authorize_datapump_user('SYS');
PL/SQL procedure successfully completed
再次调用expdp程序。
[oracle@SimpleLinux dumps]$ expdp \"/ as sysdba\" directory=dumps schemas=scott dumpfile=scottvault.dmp
Export: Release 11.2.0.4.0 - Production on Fri Apr 4 16:15:06 2014
Copyright (c) 1982, 2011, Oracle and/or its affiliates. All rights reserved.
Connected to: Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - Production
With the Partitioning, Oracle Label Security, OLAP, Data
(篇幅原因,有省略……)
SCHEMA_EXPORT/POST_SCHEMA/PROCACT_SCHEMA
. . exported "SCOTT"."DEPT" 5.929 KB 4 rows
. . exported "SCOTT"."EMP" 8.562 KB 14 rows
. . exported "SCOTT"."SALGRADE" 5.859 KB 5 rows
. . exported "SCOTT"."BONUS" 0 KB 0 rows
Master table "SYS"."SYS_EXPORT_SCHEMA_01" successfully loaded/unloaded
******************************************************************************
Dump file set for SYS.SYS_EXPORT_SCHEMA_01 is:
/dumps/scottvault.dmp
Job "SYS"."SYS_EXPORT_SCHEMA_01" successfully completed at Fri Apr 4 16:15:33 2014 elapsed 0 00:00:25
导出成功。
4、导入敏感数据动作
此时,我们设想一个场景。如果一个位于安全领域的数据对象,被导出为dmp文件(或者备份到其他介质中)。还原到一个环境之后,安全原则是否还存在?
我们进行试验测试,导入刚刚导出的dmp文件到数据库中。
--导入相同数据库,不同schema
[oracle@SimpleLinux dumps]$ impdp \"/ as sysdba\" dumpfile=scottvault.dmp directory=dumps remap_schema=scott:test
Import: Release 11.2.0.4.0 - Production on Fri Apr 4 16:20:49 2014
Copyright (c) 1982, 2011, Oracle and/or its affiliates. All rights reserved.
Connected to: Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - Production
With the Partitioning, Oracle Label Security, OLAP, Data Mining,
Oracle Database Vault and Real Application Testing options
Master table "SYS"."SYS_IMPORT_FULL_01" successfully loaded/unloaded
Starting "SYS"."SYS_IMPORT_FULL_01": "/******** AS SYSDBA" dumpfile=scottvault.dmp directory=dumps remap_schema=scott:test
Processing object type SCHEMA_EXPORT/USER
Processing object type SCHEMA_EXPORT/SYSTEM_GRANT
Processing object type SCHEMA_EXPORT/ROLE_GRANT
Processing object type SCHEMA_EXPORT/DEFAULT_ROLE
Processing object type SCHEMA_EXPORT/PRE_SCHEMA/PROCACT_SCHEMA
Processing object type SCHEMA_EXPORT/TABLE/TABLE
Processing object type SCHEMA_EXPORT/TABLE/TABLE_DATA
. . imported "TEST"."DEPT" 5.929 KB 4 rows
. . imported "TEST"."EMP" 8.562 KB 14 rows
. . imported "TEST"."SALGRADE" 5.859 KB 5 rows
. . imported "TEST"."BONUS" 0 KB 0 rows
Processing object type SCHEMA_EXPORT/TABLE/INDEX/INDEX
Processing object type SCHEMA_EXPORT/TABLE/CONSTRAINT/CONSTRAINT
Processing object type SCHEMA_EXPORT/TABLE/CONSTRAINT/REF_CONSTRAINT
Processing object type SCHEMA_EXPORT/POST_SCHEMA/PROCACT_SCHEMA
Job "SYS"."SYS_IMPORT_FULL_01" successfully completed at Fri Apr 4 16:20:59 2014 elapsed 0 00:00:08
导入成功,查看Vault约束是否存在。
SQL> conn sys/oracle@ora11g as sysdba
Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.4.0
Connected as SYS
SQL> select * from scott.emp;
select * from scott.emp
ORA-01031: 权限不足
SQL> select * from test.bonus;
ENAME JOB SAL COMM
---------- --------- ---------- ----------
到一个新的环境之后,数据约束消失。
5、结论与讨论
发现导入敏感vault失效之后,一些朋友是有疑惑的,认为这样是Oracle的一个问题缺陷。在这个问题上,笔者是和Oracle站在相同的立场的。
首先,Vault的本质是一种系统级别的控制技术。而不是一种数据加密技术。如果寻求加密,可以考虑TDE或者应用端加密技术。Vault是在访问层面的一种控制机制。所以,当数据被合法的读取留存之后,被解密是合理的想法。
第二,在进行Export的时候,Oracle Vault是要求额外授权的。Oracle认为:既然已经让安全管理员允许特定用户导出敏感数据,那么安全责任就转移出系统了,担负在特定用户的身上。所以,这样也是合理的。
最后,Vault的本质是“防范自己人”。这也就是限制了Oracle Vault发挥作用的层面。安全是一个多层面考虑的问题。没有单独的一种技术手段可以避免问题出现。在什么都不可信的时候,我们总需要相信一些什么。
注意:在11gR2版本中,已经取消了对于Exp/Imp在Vault环境的使用。Data Pump已经成为唯一选择。
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/17203031/viewspace-1139756/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/17203031/viewspace-1139756/