نشر بواسطة : Obay Salah , November 20, 2024

تشتمل الOracle Advanced Security علي ميزات من اهمها Transparent Data Encryption (TDE) وهي تقوم بتشفير البيانات غير النشطة بشفافية.

تستخدم TDE لحماية البيانات الحساسة من الهجمات التي تتجاوز قاعدة البيانات وتحاول قراءة ملفات قاعدة البيانات  (Datafiles) الإساسية مباشرة, ومن امثلة هذا النوع من الهجمات برامج الفدية (معظم برامج الفدية تقوم بجمع البيانات من القرص والتسلل اليها لاستخدامها في محاولات الإبتزاز)، أو ملفات النسخ الإحتياطي المفقودة او المسروقة, أو الوصول المباشر الي البيانات المخزنة بإستخدام أدوات نظام التشغيل، يمكنك تشفير أعمدة معينة في الجداول أو يمكنك تشفير الTablespace بأكمله، وفي جميع الحالات تقريباً يجب أن يكون تشفير الTablespace هو خيارك الأول.

لاستخدام الTDE لا تحتاج الي تعديل تطبيقاتك, يسمح الTDE تطبيقاتك من مواصلة العمل بسلاسة كما كان من قبل، فهو يقوم تلقائياً بتشفير البيانات عن متابتها علي القرص ومن ثم يقوم بفك التشفير البيانات تلقائياً عند وصول تطبيقاتك اليها, فعملية أدارة المفاتيح مدمجة مما يلغي المهمة المعقدة المتمثلة في إدارة مفاتيح التشفير وتامينها.

إذا الTDE يسمح لك بتشفير البيانات الحساسة المخزنة في الجداول والTablespace وايضاً النسخ الإحتياطي لقاعدة البيانات.

بعد تشفير البيانات يتم فك تشفير هذه البيانات بشفافية للمستخدمين او التطبيقات المصرح لها عند وصولهم الي هذه البيانات.

يساعد TDE علي حماية البيانات المخزنة علي الوسائط (وتسمي أيضاً البيانات غير النشطة) في حالة سرقة وسائط التخزين أو ملف البيانات.

تستخدم قاعدة البيانات اوركل اليات المصادقة والترخيص والتدقيق لتأمين البيانات في قاعدة البيانات, ولكن ليس في ملفات بيانات نظام التشغيل حيث يتم تخزين البيانات. ولحماية هذه الDatafiles توفر قاعدة البيانات TDE , حيث تقوم TDE بتشفير البيانات الحساسة المخزنة في الDatafiles.

لمنع فك التشفير غير المصرح به، تقوم TDE بتخزين مفاتيح التشفير في وحدة أمان خارجية لقاعدة البيانات وهي علي النحو التالي:

• TDE Wallets

• External Keystores

لتهيئة الTDE تحتاج للصلاحية ADMINISTER KEY MANAGEMENT.

إذا كان عليك فتح الKeystore فأنت بحاجة للامتياز الإداري SYSKM الذي يحتوي علي الصلاحية ADMINISTER KEY MANAGEMENT وبعض الصلاحيات الضرورية الأخري.

أما لإستخدام الTDE فأنت لا تحتاج للصلاحيات SYSKM or ADMINISTER KEY MANAGEMENT، انت بحاجة لبعض الصلاحيات الأخري لتشفير الأعمدة والTablespaces:

• CREATE TABLE

• ALTER TABLE

• CREATE TABLESPACE

• ALTER TABLESPACE

• ALTER DATABASE

يستخدم كل من TDE Column Encryption and TDE Tablespace Encryption بنية قائمة علي المفاتيح ذات مستويين، لا يمكن للمستخدمين غير المصرح لهم، مثل المتطفلين الذين يحاولون شن هجمات أمنية قراءة البيانات من وسائط التخزين والنسخ الإحتياطي ما لم يكن لديهم مفتح التشفير الرئيسي TDE Master Encryption Key لفك تشفيرها.

يتم تشفير كافة الكائنات التي تم إنشاؤها في الEncrypted Tablespace، ويعد تشفير الTablespace مفيداً إذا كانت جداولك تحتوي علي بيانات حساسة في اعمدة متعددة.

TDE Tablespace Encryption يقوم بتشفير جميع البيانات المخزنة في الTablespace حتي الRedo Data. ولكن TDE Tablespace Encryption لا يقوم بتشفير البيانات خارج الTablespace، علي سبيل المثال BFILE Data لا يتم تشفيرها لانها مخزنة خارج الTablespace، لذا إذا قمت بإنشاء جدول مع عمود من نوع BFILE في Encrypted Tablespace فإن هذا العمود لن يتم تشفيره.

يتم تخزين كافة البيانات الموجودة في الEncrypted Tablespace بتنسيق مشفر علي القرص، يتم فك تشفير البيانات بشفافية لمستخدم مرخص وله الإمتيازات اللازمة لعرض البيانات او تعديلها، ولا يحتاج مستخدم قاعدة البيانات او التطبيق لمعرفة ما إذا كانت البيانات الموجودة في جدول معين مشفرة علي القرص او وسائط النسخ الإحتياطي.

تتم تشفير البيانات أثناء عمليات الJoin or Sort وهذا يعني ان البيانات تكون امنة عند نقلها الي الTemporary Tablespace وايضاً البيانات في الUndo and Redo Logs تكون محمية.

يتم تخزين مفتاح التشفير الرئيسي في وحدة أمان خارجية وخارج قاعدة البيانات ولا يمكن الوصول اليها إلا للمستخدم الذي تم منحه الإمتيازات المناسبة.

توفر قاعدة البيانات اطار عمل لإدارة المفاتيح (key management framework) للTDE بحيث تقوم بتخزين المفاتيح وبيانات الإعتماد وإدارتها.

لتهيئة الTDE يجب عليك إجراء إعدادات مرة واحدة قبل إنشاء الKeyStore وتشفير البيانات.

قبل البدء في تشفير البيانات يجب عليك القيام تهيئة متغيرين وهي المتغير الثابت WALLET_ROOT والمتغير الديناميكي TDE_CONFIGURATION لتعيين موقع ونوع الKeystore الذي تخطط لاستخدامه.

WALLET_ROOT: هذا المتغير يحدد مسار تخزين الSoftware Keystores.

TDE_CONFIGURATION: هذا المتغير لتحديد نوع الKeystore وهو (software KeyStore or Oracle Key Vault) بعد تهيئة هذا المتغير وعند إنشاء الKeystore تقوم قاعدة البيانات اوركل بإنشاء دليل داخل الموقع WALLET_ROOT للKeystore Type, علي سبيل المثال إذا قمت بتعيين المتغير TDE_CONFIGURATION ليأخذ القيمة FILE فإن قاعدة البيانات تقوم بإنشاء TDE Wallet في WALLET_ROOT/tde.

 software keystoreهو مكان لتخزين الTDE Master Encryption Key لذا قبل البدء في تهيئة الTDE Wallet يجب عليك أولا تهيئة المتغير WALLET_ROOT ثم قم بإعادة تشغيل قاعدة البيانات ومن ثم تهيئة المتغير TDE_CONFIGURATION لتوجيه قاعدة البيانات لإسترداد المفتاح الرئيسي Master Encryption Key من الTDE Wallet.

تحدد قاعدة البيانات موقع الTDE Wallet عن طريق التحقق أولاً من اعداد الWALLET_ROOT. إذا لم يتم إعداد هذا المتغير فستقوم قاعدة البيانات بفحص الملف sqlnet.ora.

تستطيع إنشاء TDE Wallets اخري مثل نسخ Wallet ونسخ الملفات التي تحتوي علي المفاتيح وذلك حسب احتياجاتك، إذا كان عليك إزالة او نقل محفظة فيجب عليك القيام بذلك بعد نسخ جميع الTDE Wallets من الموقع القديم الي الموقع الجديد ومن ثم يجب عليك إعادة تعيين المتغير WALLET_ROOT للإشارة لوقع TDE Wallet الجديد.

بعد تهيئة الTDE Wallet بإستخدام المتغير WALLET_ROOT والمتغير TDE_CONFIGURATION يمكنك الدخول لقاعدة البيانات لاإنشاء وفتح الKeystore ومن ثم تعيين الTDE Master Key, بعد إكمال هذه الخطوات يمكنك البدء في تشفير البيانات.

اليك خطوات تهيئة الTDE Wallet Location and Type:

1- الإتصال بالخادم الذي يحوي قاعدة البيانات.

2- قم بإنشاء المسارات المطلوبة علي سبيل المثال $ORACLE_BASE/admin/db_unique_name قم بإنشاء فولدر بالاسم Wallet ويجب أن يكون فارغاً.

3- الإتصال بقاعدة البيانات من خلال الإمتياز الإداري SYSDBA .

4- قم بتعيين المتغير WALLET_ROOT لتحديد موقع الWallet، سيتم إنشاء TDE Wallet في المسار WALLET_ROOT/tde وكذلك تعيين المتغير TDE_CONFIGURATION.

ALTER SYSTEM SET WALLET_ROOT = '$ORACLE_BASE/ADMIN/ORCL/WALLET' SCOPE=SPFILE SID='*';
ALTER SYSTEM SET TDE_CONFIGURATION="KEYSTORE_CONFIGURATION=FILE" SCOPE=BOTH SID='*';


علامات : Advanced Security

يمكن ان يعجبك ايضا


Comments

لايوجد تعليق حتى الان