Ne bízzunk az adatbázis adminisztrátorban
Az Oracle az elmúlt években a saját rendszereihez korábban is biztosított biztonsági megoldásait úgy terjesztette ki, hogy azok heterogén környezeteket is ki tudjanak szolgálni, akár az Oracle termékeinek jelenléte nélkül is. A vállalat biztonsági stratégiájáról Patrick McLaughlinnal, a biztonsági megoldásokért felelős regionális igazgatóval beszélgettünk.
McLaughlin előadásában rámutatott, az azonosságkezelő rendszerek bevezetése mellett nem csak a magasabb -- akár törvényi szabályozások által is megkövetelt szintű -- biztonság és az auditálhatóság szól, adott esetben akár költségcsökkentő tényezők is lehetnek. Egy fejlett azonosság- és hozzáféréskezelési megoldás single sign-on rendszerrel kiegészítve például lehetővé teszi a vállalati dolgozók számára, hogy kevesebb jelszót kelljen fejben tartaniuk, ami jótékonyan hat a helpdeskhez beérkező hívások számára. McLaughlin állítása szerint a 40 ezer IT-felhasználóval rendelkező amerikai Southwest Airlines légitársaság havonta és felhasználónként ezzel mintegy 30 dollárt takarított meg.
Az Oracle az elmúlt években a saját rendszereihez korábban is biztosított biztonsági megoldásait úgy terjesztette ki, hogy azok heterogén környezeteket is ki tudjanak szolgálni, akár az Oracle termékeinek jelenléte nélkül is. Ebbe a stratégiába illeszkedett többek között az Oblix (felhasználó azonosítás és hozzáféréskezelés), a Thor (felhasználó- és jogosultságkezelés, provisioning), valamint az OctetString (címtár virtualizáció) akvizíciója. A vállalat biztonsági megoldásokkal kapcsolatos stratégiájáról Patrick McLaughlinnal beszélhettünk.
 |
Patrick McLaughlin: Van jópár. Az első, hogy mi adatbázisunkat használják a legtöbben és a számuk folyamatosan emelkedik. Az információbiztonság pedig az adatbázisokhoz áll a legközelebb, hiszen ezeket az adatokat kell megvédeni. Van többszázezer felhasználó világszerte, akiknek a legfontosabb értéke az az adattömeg, amit a mi adatbázisunkban tárolnak. A köztesszoftver-rétegben, tehát az azonosságkezelés területén a legnagyobb előnyünk azokban a cégekben és technológiákban van, amelyeket felvásároltunk. Ezeket a termékeket az elemzők kitűnőre értékelik, nekünk csak az a feladatunk, hogy tudásunk legjavát bevetve továbbra is fejlesszük őket.
Végül, de nem utolsósorban mi igazi szoftvercég vagyunk. Jó minőségű szoftvereket kell készíteni, és mi a kezdetektől ezt tesszük. Nem úgy vagyunk vele, hogy belekezdünk mindenfélébe, aztán ha nem jön be, inkább hagyjuk. A következő generációs, Fusion alkalmazásoknak szerves része lesz az azonosságkezelés és a biztonság, mi nagyon komolyan vesszük ezt a területet, és biztosak akarunk lenni abban hogy jól csináluk amit csinálunk, hiszen az elkövetkező 10 évben ez lesz a stratégiánk alapja.
HWSW: Meg tudnak nyerni majd olyan ügyfeleket is biztonsági megoldásaiknak, amelyek jelenleg nem Oracle szoftvereket használnak?
Patrick McLaughlin: Persze. Már most is adunk el biztonsági megoldásokat olyan cégeknek, amelyek nem Oracle adatbázist vagy alkalmazást használnak. Az általunk felvásárolt cégek biztonsági megoldásai már rég itt vannak ezeknél a vállalatoknál, hiszen a kezdettől fogva heterogén környezetbe tervezték őket.
HWSW: Az Oracle-t gyakran éri kritika az adatbáziskezelőjének biztonsága miatt, hogy a javítások túl későn jönnek vagy hogy nem jó minőségűek. Ezzel együtt hiteles lehet a cég, mint a biztonsági megoldások szállítója?
Patrick McLaughlin: Igen. A mi adatbázisunkhoz kiadott biztonsági kiegészítések a legjobbak, csak éppen kevesen használják őket. A patcheléssel valóban voltak problémák, üzleti kritikus környezetben erre az lenne a megoldás, ha a vállalatok Real Applications Clustert használnának, az egyik csomóponton telepítenék és próbálnák ki a patcheket, akár meg is gondolhatják magukat és visszatérhetnek egy korábbi változathoz, aztán ha mindent rendben találnak, folytathatják a többivel, miközben a rendszer nem áll le. A patcheléssel kapcsolatban a legnagyobb gond, hogy az üzleti kritikus folyamatait senki sem akarja leállítani a javítások telepítéséhez. Egy foglalási vagy tőzsdei rendszer nem állhat le. Mondjanak valami más lehetőséget!
HWSW: Nem túlzás csak a patchek telepítése miatt fürtözött rendszert építeni?
Patrick McLaughlin: Ha üzleti kritikus feladatról van szó, akkor nem. Persze ha olyan a rendszer, hogy leállhat hajnali kettőtől négyig, amíg telepítik a javításokat, akkor nincs gond.
HWSW: De a Real Applications Cluster nem véd akkor, ha a javítások későn jönnek. Emlékszem egy esetre, amikor az Oracle adatbázisban mintegy 800 napig állt befoltozatlanul egy sérülékenység. Ilyenkor nem segít a RAC.
Patrick McLaughlin: Nos, a patchekért nem én vagyok a felelős, szóval erről nem mondhatok sokat. A legtöbb amit tehetünk, hogy előre meghatározott rendszerességgel, háromhavonta adjuk ki a javításokat, így a felhasználók felkészülhetnek az érkezésükre és a telepítésükre.
[oldal:Ne bízz az adminisztrátorban!]
HWSW: Említette, hogy az Oracle adatbázishoz számos biztonsági kiegészítés létezik, azonban a felhasználók túlnyomó többsége nem használja őket. Miért nem?
Patrick McLaughlin: Egyrészt azért, mert ezeket nem hirdettük eléggé, másrészt mert nem volt meg a megfelelő értékesítési tudásunk. Ahhoz, hogy valaki ilyeneket eladjon, magabiztosnak kell lennie és válaszolnia kell néhány kemény kérdésre, amire tényleg csak kevés értékesítő tud. Harmadszor, az ügyfelek részéről sem volt nagy igény rájuk, hiszen az adatbázisok annyira el vannak ásva a vállalatoknál, hogy senki sem gondol rájuk támadási célpontként: biztonságosnak tűnnek, oda senki sem tud behatolni.
Az internet elterjedésével ráadásul általánossá vált, hogy a szervezetek a kintről jövő támadások ellen kezdtek védelmet kiépíteni. Nagy luxus még a belső veszélyek ellen is védekezni, először mindenki a határait védi, aztán foglalkozhat azzal, mi van belül. Ez volt az elterjedt nézet. A belső emberekben, például az adatbázisok adminsztrátoraiban pedig mindenki megbízik és mindent megenged nekik.
HWSW: De miért bíznak meg bennük? Ez egyáltalán nem logikus!
Patrick McLaughlin: Ez egyfajta kulturális örökség, a vállalatok mindent megengednek az informatikai dolgozóknak, nem csak hogy megbíznak bennük, hanem nagyra is értékelik őket, hiszen ők gondoskodnak arról, hogy a dolgok rendben menjenek, ha valami leáll, mindennek annyi.
De őszintén szólva nem is sokan mondták ezelőtt, hogy ennek nem így kell lennie. Még az Oracle sem mondta, hogy veszélyes az, ha az adatbázis-adminsztrátor mindenhez hozzáfér, például a dolgozók fizetési adataihoz, a vezetők leveleihez, vagy a bizalmas üzleti adatokhoz. Ez az egész világon így működik, nem csak Magyarországon vagy Európában. A vállalati informatikai szabályzatokban viszont nincs leírva, hogy az adminisztrátoroknak joga van betekinteni az adatokba, a legtöbb cég egyszerűen még nem foglalkozott ezzel a veszélyforrással. De ennek nem szabadna így lennie.
Úgy gondolom, ez hamarosan változni is fog, nyilvánvaló okok miatt. A biztonsági események négyötöde belső okokra vezethető vissza, az informatkai biztonság leggyengébb láncszeme gyakran az ember, és ha valaki a cég adataira utazik, egyszerűbb megvenni őket az adminisztrátortól, mint nehéz munkával feltörni a rendszert. Persze az adminisztrátorok 99 százaléka becsületes, de senki sem tudja, melyik 1 százalék az, amelyik kiadja vagy eladja a bizalmas adatokat. Sokan egyszerűen csak azért nézik meg ezeket az adatokat mert kíváncsiak, a legtöbb ember szeret titkokat tudni. Az Oracle Database Vault segítségével megakadályozható az adminisztrátorok, vagy más felhasználók hozzáférése az adatokhoz. A termék ugyanakkor nem csak az adatokat védi a kíváncsi adminisztrátoroktól, hanem a becsületes adminisztrátorokat is, hiszen így ki van zárva, hogy rajtuk keresztül akár véletlenül is kiszivárogjon valami.
HWSW: Ez egy új termék?
Patrick McLaughlin: Igen, egész új, bár béta állapotban már jó ideje elérhető volt és sok ügyfelünk tesztelte. A kezdetek igen biztatóan alakulnak, az érdeklődés nagy.
HWSW: Nemrég olvastam egy felmérést, amely szerint a vállalati felhasználók harmada valahová leírja jelszavát. Ugyanez a jelentés azt állította, hogy ez attól függetlenül így van, hogy a vállalatnál használnak-e single sign-on megoldást.
Patrick McLaughlin: Én egy másik jelentést olvastam egy másik elemzőcégtől, ami szintén azt állította, hogy a dolgozók mintegy harmada leírja a jelszavát, de talált összefüggést a single sign-on megoldások használata és a jelszókezelési szokások között. Szerintem ez logikus, hiszen ha single sign-on rendszert használ a cég, a dolgozóknak kevesebb jelszóra kell emlékezni. Kevés, de erős jelszóra van szükség. Az azonosítás azonban nem csak jelszóval oldható meg, ott vannak a smart cardok vagy a biometrikus azonosítás is.
HWSW: De az ilyesmik egyelőre nemigen terjedtek el.
Patrick McLaughlin: Ez igaz, több oka is van. Az első a költség, hiszen a bevezetés pénzbe kerül, ki kell építeni az infrastruktúrát, ki kell adni például a kártyákat, telepíteni kell az olvasókat és a felügyeleti rendszert. A biometriával ugyanez a helyzet, kellenek ujjlenyomat-olvasók és kell egy rendszer, ami kezeli az egészet. De a biometria nem olyan biztonságos mint a jelszavak vagy a smart cardok. Egyszerűen azért, mert az azonosításra használt adatok nem titkosak. Az ember ujjlenyomata nem titok. Alacsony vagy közepes biztonságot igénylő környezetben, például egy irodában persze jól használható.
A repülőtereken is csak azért vált be a biometrikus azonosítás, mert az ujjlenyomatot ellenőrzött körülmények között olvassák le, ott áll egy ember és látja, ha valaki ki akarja játszani a rendszert. Persze az ujjlenyomat-olvasás nagyon menő, de közel sem olyan biztonságos, mint amilyennek sokan gondolják. Szerintem a jelszavak még jó ideig velünk maradnak, a legmagasabb biztonságot igénylő helyeken, például a katonaságnál vagy bankokban pedig a smart cardok vagy tokenek fognak elterjedni. Kell valami, ami nálam van, és valami, amit tudok. Ha a token vagy a kártya elveszik, azt be kell jelenteni és letiltják. A jelszót viszont más is használhatja anélkül, hogy a tulajdonosa tudna róla.
HWSW: Korábban már esett szó az Oracle felvásárlásairól. Mit tanult a biztonság tekintetében az Oracle ezektől a cégektől? Hiszen sok vállalatról van szó, amelyek valószínűleg sokféleképp tekintettek a biztonságra, amelyekből most egységes szemléletet kell kialakítani.
Patrick McLaughlin: Nos, az eltérések nem voltak nagyok. Egyvalami azonban közös például a PeopleSoftban, a Siebelben és az Oracle eBusiness Suite-ban, mégpedig az, hogy egyik sem feltételezi egy központi azonosságkezelő rendszer meglétét, mivel amikor ezeket elkezdték fejleszteni, még nem léteztek ilyenek. Ezért mindegyik tartalmaz saját azonosítási megoldást. A Fusion persze már nem ilyen, de nekünk azt is figyelembe kell vennünk, hogy a megjelenése után még sokan használnak majd Siebelt vagy PeopleSoftot, szóval még működnie kell a régi, "hagyományos" környezetben is.
HWSW: Köszönjük hogy időt szakított a HWSW kérdéseinek megválaszolására!
Patrick McLaughlin: Én köszönöm a lehetőséget.