|
Действия ...
Новые сообщения [новые:0]
Дайджест
Горячие темы
Избранное [новые:0]
Форумы
Пользователи
Статистика
Статистика нагрузки
Мод. лог
Поиск
|
|
30.05.2017, 10:18
|
|||
|---|---|---|---|
Сеансовые гранты |
|||
|
#18+
Всем добрый день! Наш CSO (security officer который) выдвинул такое предложение - а давайте у владельцев объектов отберем все гранты, которые им ранее выдали для создания этих объектов, и будем выдавать только на момент установки патчей. Аргумент такой - "бизопасно". Минимум времени, в течение которого присутствуют гранты. Про цель не спрашивайте, словом "бизопасно" закрывается все. Началось это обсуждение с CREATE JOB и MANAGE SCHEDULER. Эти гранты вроде как не нужны для выполнения ранее созданных jobs. В чем могут быть подвохи в такой схеме? Разве что процедура патча усложнится, и потребуется какой-то привилегированный пользователь (подозреваю, что это будет SYS) для раздачи грантов и последующего отбора. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
30.05.2017, 11:24
|
|||
|---|---|---|---|
Сеансовые гранты |
|||
|
#18+
ВадиманРазве что процедура патча усложнится, и потребуется какой-то привилегированный пользователь (подозреваю, что это будет SYS) для раздачи грантов и последующего отбора.Выдели для наката патча отдельного юзера patcher (к вопросу о безопасности - для этого sys обладает избыточными правами), и все изменения в БД, в том числе grant/revoke grants веди через него. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
30.05.2017, 11:26
|
|||
|---|---|---|---|
Сеансовые гранты |
|||
|
#18+
Как правило, владельцем объектов является схема. Имена (аккаунты) схем для коннекта к базе, как правило, не исользуются. Пароли аккаунтов схем, обычно никто не знает (в исключительных случаях некоторые хранятся в запечатанном конверте в сейфе ограниченного доступа), так как для коннекта к базе, они как правило, не используются, а администратор базы в своей работе без них прекрасно обходится.. Патчи обычно накатывает человек с powerful аккаунтом, либо deploy manager, аккаунт которого разблокируют только на время проведения работ. Уточните вашу технологию... но в любом случае, ваш CSO своими требованиям закладывает верояность трудноотслеживаемого нарушения нормального фукционирования системы. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
31.05.2017, 02:48
|
|||
|---|---|---|---|
Сеансовые гранты |
|||
|
#18+
Viewerваш CSO своими требованиям закладывает верояность трудноотслеживаемого нарушения нормального фукционирования системы Да, согласен. Но пока не могу пробиться. Технология у нас такая: используется external auth для установки изменений в разные схемы под правами этих схем без ввода пароля для каждой схемы. Т.е. для всех этих схем было выполнено ALTER USER ... GRANT CONNECT THROUGH ops$oracle. А в скрипте выполняется "conn [schema...]/". Патчи ставят сами админы, которые с ораклом ну не то что бы очень... "скажите нам, что делать, и мы сделаем". Вопросы по якобы излишним грантам поднимаются потому, что PCI DSS... чтобы меньше вопросов от аудиторов было. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
31.05.2017, 02:50
|
|||
|---|---|---|---|
Сеансовые гранты |
|||
|
#18+
Последняя фраза была приведена в качестве примера обоснования со стороны CSO ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
31.05.2017, 02:51
|
|||
|---|---|---|---|
Сеансовые гранты |
|||
|
#18+
Для коннектов приложения используют, конечно, отдельные учетки с ограниченным набором прав. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
31.05.2017, 03:32
|
|||
|---|---|---|---|
|
|||
Сеансовые гранты |
|||
|
#18+
Вадиман...а давайте у владельцев объектов отберем все гранты... Началось это обсуждение с CREATE JOB и MANAGE SCHEDULER. Эти гранты вроде как не нужны для выполнения ранее созданных jobs... imho все гранты отбирать низзя - может не работать сразу или незаметно (не сразу заметно) потом. Засада в том, что некоторые гранты обязательно нужны собственнику схемы или выполняющему в соответствии с требованиями Oracle. На примере тех же Job-ов: - пока job-ы создаются только при инсталяции/патчинге всё будет замечательно при новом порядке; - если job-ы уже или потом создаются (или копируются) из пакета, см. dbms_scheduler, будет облом - Security Model требует прямых грантов. - для малозаметности проблемы достаточно дёргать этот пакет другим "обычным" job-ом - ошибка упадёт в лог job-а (или пакет инвалидируется...не помню). А если он lightweight job, то заметность ошибок ещё ниже. Получается, что придётся проверять всё приложение на предмет используемых операций с объектами и проверять что требует Oracle в Security Model для каждого типа объектов. И так для каждого новшевства в приложении. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
31.05.2017, 07:11
|
|||
|---|---|---|---|
Сеансовые гранты |
|||
|
#18+
CSO просто языком машет, или бумагой с утверждёнными требованиям (подтверждёными заключеним профильных специалистов)? Если существуют утверждённые ограничения - на отклонение от них офорляется так называемый business case, сроком действия 1 год (по истечении офомляется запрос на продление) В business case указывается: на что оформляется каковы риски чем эти риски компенсируются какие есть, если есть, альтернативы В вашем случае, компенсацией рисков был бы соответсующий аудит действий, с составлением ежемесячного отчета и отправлением оного лицу, исполняющему роль compliance manager. Со стороны compliance manager могут поступить вопросы по отдельным записям аудита, на что даётся письменное объяснение, и всё это складывется в соответсующие папочки с ограниченным доступом. Такова, в несколько упрощённом виде, наша модель... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
31.05.2017, 08:42
|
|||
|---|---|---|---|
Сеансовые гранты |
|||
|
#18+
Да нет никакой бумаги. Просто язык плюс task management system а-ля jira. Аудит всего и вся включен. Действительно, предложить в случае чего использовать аудит для ответов на его опасения... Он "боится" джобов, которые работают не по красной кнопке, а "сами по себе". Вот злючие программисты сделают джоб, который будет... плодиться и размножаться, дропать таблицы, удалять записи, и все это "само", никто никакой кнопки не нажимал. Вот она, причина его фобий. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
31.05.2017, 09:30
|
|||
|---|---|---|---|
Сеансовые гранты |
|||
|
#18+
ВадиманОн "боится" джобов, которые работают не по красной кнопке, а "сами по себе" ....который будет... плодиться и размножаться, дропать таблицы Monitoring Jobs Аудит DDL 2626827 Триггер уровня базы данных на запрет DDL от процессов джобов ( Oracle DDL Event Triggers ) Вадиман....удалять записи, вообще то, это одно из прямых назначений джобов... Настройте периодичексую отправку результатов аудитов вашему CSO, чтоб захлебнулся в информации. На каждое замечание - общайте настороить ещё один новый аудит, чтобы CSO всё знал. Не думаю что его надолго хватит... А вы, попутно, обретёте бесценные знания и защиту пятой точки от любых внешних аудиторов :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
31.05.2017, 11:18
|
|||
|---|---|---|---|
Сеансовые гранты |
|||
|
#18+
Вадиман, Лично я урезал права на создание, число джобов, доступ программистов на прод. Помимо заданий, которые выполняют строго регламентированную по расписанию работу, создал пул демонов для них, чтобы могли брать операции из таблицы. Легко контролировать, журнализировать. [offtop] Теперь больше говорим о синхронизации процессов, параллельных вычислениях, приоритетах, в кабинете появился кофе с кофемашиной, чай, конфеты. Многие перестали таскать домой отоваренные в конце месяца талоны на доппаёк, а стали оставлять сладости у нас. Ещё до PCI DSS, в конце инструкции по установке оракла, есть с десяток рекомендаций по безопасности, которые редко кто исполняет. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
31.05.2017, 12:39
|
|||
|---|---|---|---|
|
|||
Сеансовые гранты |
|||
|
#18+
ViewerНастройте периодичексую отправку результатов аудитов вашему CSO, чтоб захлебнулся в информации. На каждое замечание - общайте настороить ещё один новый аудит, чтобы CSO всё знал. Не думаю что его надолго хватит...Они с этим легко справляются В отличии от других подразделений им расширяют штат по первому требованию У нас их уже как программистов А если учесть, что требования к квалификации у них скорее отрицательные (даже не нулевые), людей они находят быстро ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
start [/forum/topic.php?fid=52&mobile=1&tid=1885838]: |
0ms |
get settings: |
7ms |
get forum list: |
9ms |
check forum access: |
2ms |
check topic access: |
2ms |
track hit: |
155ms |
get topic data: |
7ms |
get forum data: |
2ms |
get page messages: |
42ms |
get tp. blocked users: |
1ms |
| others: | 239ms |
| total: | 466ms |
| 0 / 0 |
