Oracle TDEはDBAからデータを保護できますか？

Question

オラクルの専門家。

私のクライアントは、クレジットカード番号をデータベースに保持する必要があるアプリケーションを導入したいと考えています。クライアントは明らかにセキュリティに関心があります。

私たちは、特に苦しい話をしています。 「ビジネス上知っておく必要がある」権限を持つユーザーだけがデータにアクセスできるようにするにはどうすればよいでしょうか？ DBAからデータを保護するにはどうすればよいですか？

明らかな解決策の1つは、アプリケーションレベルで暗号化することです。私たちはそれをしたくありません。

可能な解決策として登場したオラクル製品は、Orace TDE（Transparent Data Encryption）です。それはディスク上の暗号化の場合をうまくカバーしているようです。しかし、DBA権限を持つ人物からデータを隠すために使用できるのであれば、主張に異議を申し立てています。

私が扱っているユースケースについて詳しく説明したいと思います。私たちには24/7/365の稼働中のアプリケーションがあり、データアクセスを絶えず行っています。これは、Oracle Walletがオープンであり、データがデータベースによって暗号解読されていることを意味します。同じ時間にDBAは引き続きデータにアクセスできません。

私は、Oracleがこの問題についてOracle Database Vaultを販売していることを知っています。私がやりたいことは、ある特定のテーブルからのDBAアクセスをブロックすることだと思うのですが、Vaultが本当に必要か、TDEを使​​うことができますか？

支援はずっと私の推測では、Oracle Vaultを必要とすることで、

それとも

Answer 1

をいただければ幸いです。 TDEでは、データファイルを読み取ることが不可能になりますが、単純な選択は引き続き暗号化されていないデータを取得します。

しかし、Oracle Vaultを使用せずにTDEを実行する方法を説明するには、TDEで十分であると主張した人または同僚にお尋ねください。

編集：この問題に関する2つのスレッド：

http://forums.oracle.com/forums/thread.jspa?messageID=3249532&#3249532

http://forums.oracle.com/forums/thread.jspa?messageID=3261345&#3261345

Answer 2

は「DBA権限を持つ誰かからのデータを非表示にするために使用することができた場合の請求が論争されています。」 おそらく、DBA権限を構成するものが何かについて矛盾する考えがある可能性があるからです。 DBAデータベース・ロール、SYSDBA権限およびオペレーティング・システム・レベルでサーバーにoracle（またはAdministrator）としてログインでき、それぞれがより高い特権を持つユーザーがある場合 権限がDBAロールから取り消される可能性があるため、 。

VPDは、たとえば、クレジットカードの列が特定のIP（たとえばアプリケーションサーバー）からログインしたユーザー、特定のユーザーまたは特定の役割のみに表示されることを保証できます。 DBAロールを持つユーザーは、VPD権限を変更したり、適切なロールを付与したり、関連ユーザーを偽装したりすることができますが、これは監査ログに表示されます。

Answer 3

私も同様の問題を抱えていました。評価プロセス中、私はドイツのセキュリティ会社から可能な解決策を見つけました。 DBAが機密データにアクセスするのを防ぐシステムを開発したようです。彼らのwebsiteを見てください。それはまだ深い外観を取っていないので、私はあなたにこのソリューションについての詳細な情報を与えることはできません。

Answer 4

DBAとセキュリティ管理者の間の厳格な職務分担を実現するDB暗号化とアクセス制御ソリューションを持つ特定の代替企業があります。

韓国の会社Penta Security SystemsのD'Amoをご覧ください。

免責事項：私はDBコンサルタントとして働いており、多くのお客様にこのソリューションを導入しました。